Gerenciar a chave de proteção de estado convidado da VM do Arc de inicialização confiável no Azure Stack HCI, versão 23H2

Aplica-se a: Azure Stack HCI, versão 23H2

Este artigo descreve como gerenciar uma chave de proteção de estado convidado da VM do Arc de inicialização confiável no Azure Stack HCI.

Uma chave de proteção de estado de convidado da VM é usada para proteger o estado convidado da VM, como o estado do vTPM, enquanto em repouso no armazenamento. Não é possível inicializar uma VM arc de inicialização confiável sem a chave de proteção de estado convidado. A chave é armazenada em um cofre de chaves no cluster do Azure Stack HCI em que a VM está localizada.

Exportar e importar a VM

A primeira etapa é exportar a VM do cluster do Azure Stack HCI de origem e importá-la para o cluster do Azure Stack HCI de destino.

1. Para exportar a VM do cluster de origem, consulte Export-VM (Hyper-V).

2. Para importar a VM para o cluster de destino, consulte Import-VM (Hyper-V).

Transferir a chave de proteção de estado de convidado da VM

Depois de exportar e importar a VM, use as seguintes etapas para transferir a chave de proteção de estado convidado da VM do cluster do Azure Stack HCI de origem para o cluster do Azure Stack HCI de destino:

1. No cluster do Azure Stack HCI de destino

Execute os comandos a seguir no cluster do Azure Stack HCI de destino.

1. Entre no cofre de chaves usando privilégios administrativos.

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. Crie uma chave master no cofre de chaves de destino. Execute o comando a seguir.

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. Baixe o arquivo PEM (Email Avançado de Privacidade).

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2. No cluster do Azure Stack HCI de origem

Execute os comandos a seguir no cluster do Azure Stack HCI de origem.

1. Copie o arquivo PEM do cluster de destino para o cluster de origem.

2. Execute o cmdlet a seguir para determinar a ID da VM.

   (Get-VM -Name <vmName>).vmid  
   

3. Entre no cofre de chaves usando privilégios administrativos.

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. Exporte a chave de proteção de estado convidado da VM para a VM.

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3. No cluster do Azure Stack HCI de destino

Execute os seguintes comandos no cluster do Azure Stack HCI de destino:

1. Copie o vmID arquivo e vmID.json do cluster de origem para o cluster de destino.

2. Importe a chave de proteção de estado de convidado da VM para a VM.

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

Próximas etapas

• Gerenciar extensões de VM.