Hantera betrodd start arc VM-gästtillståndsskyddsnyckel på Azure Stack HCI, version 23H2

Gäller för: Azure Stack HCI, version 23H2

I den här artikeln beskrivs hur du hanterar en betrodd startnyckel för arc VM-gästtillstånd på Azure Stack HCI.

En vm-gästtillståndsskyddsnyckel används för att skydda gästtillståndet för den virtuella datorn, till exempel vTPM-tillståndet, i vila i lagringen. Det går inte att starta en virtuell Arc-dator med betrodd start utan gästtillståndsskyddsnyckeln. Nyckeln lagras i ett nyckelvalv i Azure Stack HCI-klustret där den virtuella datorn finns.

Exportera och importera den virtuella datorn

Det första steget är att exportera den virtuella datorn från Azure Stack HCI-källklustret och sedan importera den till Azure Stack HCI-målklustret.

1. Information om hur du exporterar den virtuella datorn från källklustret finns i Export-VM (Hyper-V).

2. Information om hur du importerar den virtuella datorn till målklustret finns i Import-VM (Hyper-V).

Överföra den virtuella datorns gästtillståndsskyddsnyckel

När du har exporterat och sedan importerat den virtuella datorn använder du följande steg för att överföra den virtuella datorns gästtillståndsskyddsnyckel från Azure Stack HCI-källklustret till Azure Stack HCI-målklustret:

1. I Azure Stack HCI-målklustret

Kör följande kommandon från Azure Stack HCI-målklustret.

1. Logga in på nyckelvalvet med administratörsbehörighet.

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. Skapa en huvudnyckel i målnyckelvalvet. Kör följande kommando.

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. Ladda ned PEM-filen (Privacy Enhanced Mail).

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2. I Azure Stack HCI-källklustret

Kör följande kommandon från Azure Stack HCI-källklustret.

1. Kopiera PEM-filen från målklustret till källklustret.

2. Kör följande cmdlet för att fastställa den virtuella datorns ID.

   (Get-VM -Name <vmName>).vmid  
   

3. Logga in på nyckelvalvet med administratörsbehörighet.

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. Exportera den virtuella datorns gästtillståndsskyddsnyckel för den virtuella datorn.

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3. På Azure Stack HCI-målklustret

Kör följande kommandon från Azure Stack HCI-målklustret:

1. vmID Kopiera filen och vmID.json från källklustret till målklustret.

2. Importera den virtuella datorns gästtillståndsskyddsnyckel för den virtuella datorn.

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

Nästa steg

• Hantera VM-tillägg.