Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för: Hyperkonvergerade distributioner av Azure Local 2311.2 och senare
Den här artikeln beskriver betrodd start för virtuella Azure-datorer (VM) som aktiveras av Azure Arc. Du kan skapa en betrodd start för en lokal Azure-dator med hjälp av Azure-portalen eller med hjälp av Azure Command-Line Interface (CLI).
Introduction
Betrodd start för lokala Azure-datorer möjliggör säker start, installerar en virtuell vTPM-enhet (Trusted Platform Module), överför automatiskt vTPM-tillståndet när den virtuella datorn migreras eller redundansväxlar till en annan dator i systemet och stöder möjligheten att intyga om den virtuella datorn startade i ett känt bra tillstånd.
"Trusted launch" är en säkerhetstyp som kan anges när du skapar lokala virtuella datorer i Azure. För mer information, se Trusted launch för lokala Azure-VM:er aktiverade av Azure Arc.
Funktioner och fördelar
| Capability | Benefit |
|---|---|
| Säker uppstart | Hjälper till att minska risken för skadlig kod (rootkits) under starten genom att kontrollera att startkomponenter är signerade av betrodda utgivare. |
| vTPM | Virtualiserad version av en maskinvaru-TPM som fungerar som ett dedikerat valv för nycklar, certifikat och hemligheter. |
| vTPM-tillståndsöverföring | Bevarar vTPM när den virtuella datorn migrerar eller byter över i ett kluster. |
| Virtualiseringsbaserad säkerhet (VBS) | Gäst på den virtuella datorn kan skapa isolerade minnesregioner med hjälp av VBS-stöd. |
Note
Integritetsverifiering av startprocessen för VM-gäster är inte tillgänglig.
Guidance
IgvmAgent är en komponent som är installerad på alla datorer i Det lokala Azure-systemet. Det ger stöd för isolerade virtuella datorer som t.ex. betrodd start för lokala Azure-datorer.
Tillförlitlig start för lokala virtuella datorer i Azure stöder för närvarande endast en utvald uppsättning Azure Marketplace-avbildningar. En lista över avbildningar som stöds finns i Avbildningar av gästoperativsystem. När du skapar en virtuell dator med betrodd start i Azure-portalen visar listrutan Bild endast de avbildningar som stöds av betrodd start. Listrutan Bild visas tom om du väljer en bild som inte stöds, inklusive en anpassad avbildning. Listan visas också tom om ingen av de bilder som är tillgängliga i din lokala installation av Azure stöds av pålitlig start.
Som en del av Betrodd start för skapande av lokala Azure-datorer skapar Hyper-V VM-filer på en standardplats på disken för att lagra VM-tillståndet. Som standard är åtkomsten till de virtuella datorfilerna begränsad till endast värdserveradministratörer. Om du lagrar dessa VM-filer på en annan plats måste du se till att platsen endast är åtkomst till värdserveradministratörer.
Nätverkstrafiken för live-migrering av virtuell maskin krypteras inte. Vi rekommenderar starkt att du aktiverar en nätverksnivåkrypteringsteknik som IPsec för att skydda nätverkstrafiken för direktmigrering.
Avbildningar av gästoperativsystem
Alla Windows-avbildningar och Windows Server-avbildningar från Azure Marketplace som stöds av lokala Azure-datorer stöds. Se Skapa Azure lokal VM-avbildning med hjälp av Azure Marketplace-avbildningar för en lista över alla Windows 11-avbildningar som stöds.
Note
Vm-gästavbildningar som hämtas utanför Azure Marketplace stöds inte.
Överväganden för säkerhetskopiering och haveriberedskap
När du arbetar med betrodd start av lokala Azure-datorer måste du förstå följande viktiga överväganden och begränsningar som rör säkerhetskopiering och återställning av virtuella datorer.
Säkerhetskopiering av virtuella datorer
Säkerhetskopiera alla VM-filer. Du kan använda valfri säkerhetskopieringslösning eller ett verktyg för att säkerhetskopiera alla VM-filer så länge de följer standardmetoderna förHyper-V säkerhetskopiering.
Säkerhetskopiera vm-gästtillståndsskyddsnyckel. Till skillnad från vanliga lokala Azure-datorer använder betrodda lokala virtuella Azure-datorer en nyckel för skydd av VM-gästtillstånd för att skydda den virtuella datorns gästtillstånd, inklusive vTPM-tillståndet under vila. Den virtuella datorns gästtillståndsskyddsnyckel lagras i ett lokalt nyckelvalv i den lokala Azure-instansen där den virtuella datorn finns. Du måste manuellt säkerhetskopiera den virtuella datorns gästtillståndsskyddsnyckel så snart du skapar en betrodd virtuell startdator enligt beskrivningen i Manuell säkerhetskopiering och återställning av vm-gästtillståndsskyddsnyckeln. Utan gästtillståndets skyddsnyckel kan du inte starta den virtuella datorn.
Återställning av virtuell dator
Återställ alla VM-filer. Du kan använda valfri säkerhetskopieringslösning eller ett verktyg för att återställa alla vm-filer så länge säkerhetskopieringslösningen eller verktyget följer standardmetoderna förHyper-V säkerhetskopiering.
Återställa den virtuella datorns gästtillståndsskyddsnyckel. Du måste återställa den virtuella datorns gästtillståndsskyddsnyckel till det lokala nyckelvalvet i den lokala Azure-instansen enligt beskrivningen i Manuell säkerhetskopiering och återställning av den virtuella datorns gästtillståndsskyddsnyckel.
Återställa till samma lokala Azure-instans
- I vissa fall kan den virtuella datorn återställas till samma lokala Azure-instans, samma som den lokala Azure-instansen där den virtuella datorn finns före ett fel. När en betrodd virtuell startdator har återställts till samma lokala Azure-instans kan den virtuella datorn hanteras via ett lokalt Azure-kontrollplan som tidigare.
Återställa till en annan lokal Azure-instans
- I vissa situationer kan den virtuella datorn återställas till en annan lokal Azure-instans, som skiljer sig från den lokala Azure-instansen där den virtuella datorn finns före ett fel. När en betrodd virtuell startdator har återställts till en annan lokal Azure-instans kan den virtuella datorn inte längre hanteras via Azure Arc-kontrollplanet, men den kan hanteras med hjälp av lokala verktyg för hantering av virtuella datorer.
Replikering av virtuella datorer
Azure Site Recovery, som kan replikera virtuella datorer på din lokala Azure-instans till Azure, stöds inte.
Nästa steg
- Skapa betrodd start för lokala Azure-VM-ar.