Azure Arc 啟用之 Azure 本地虛擬機器的信任啟動介紹

適用於：Azure Local 2311.2 及以後版本的超融合部署

本文介紹由 Azure Arc 啟用的 Azure 本地虛擬機的受信任啟動。您可以使用 Azure 入口網站或 Azure Command-Line 介面（CLI）來建立 Azure 本地 VM 的受信任啟動。

Introduction

Azure 本機 VM 的信任啟動可啟用安全開機、安裝虛擬信任平臺模組（vTPM）裝置、在 VM 移轉或故障轉移至系統內另一部電腦時自動傳輸 vTPM 狀態，並支持證明 VM 是否以已知良好狀態啟動的能力。

受信任的啟動是可在您建立 Azure 本機 VM 時指定的安全性類型。如需詳細資訊，請參閱由 Azure Arc 啟用的 Azure 本機 VM 的信任啟動。

Capability	Benefit
安全開機	藉由確認受信任發行者已簽署開機組件，協助降低開機期間惡意代碼（rootkits）的風險。
vTPM	虛擬版本的硬體 TPM，可作為密鑰、憑證和秘密的專用保存庫。
vTPM 狀態傳輸	當 VM 在叢集內移轉或故障轉移時，會保留 vTPM。
虛擬化型安全性 (VBS)	VM 中的客體可以使用 VBS 支援來建立記憶體的隔離區域。

Note

VM 客體開機完整性驗證無法使用。

IgvmAgent 是安裝在 Azure 本機系統的所有機器上的元件。它可以支援隔離的虛擬機，例如，支持 Azure 本地虛擬機的受信任啟動。
Azure 本機 VM 的信任啟動目前僅支援一組選取的 Azure Marketplace 映射。如需支援的映射清單，請參閱客體作系統映像。當您在 Azure 入口網站中建立受信任的啟動 VM 時，[映射] 下拉式清單只會顯示 [信任啟動] 支援的映像。如果您選取不支援的映像，則 [影像] 下拉式清單會顯示空白，包括自定義映像。如果受信任的啟動不支援 Azure 本機系統上可用的映像，清單也會顯示為空白。
作為 Azure 本機 VM 建立信任啟動的一部分，Hyper-V 會在磁碟上的預設位置建立 VM 檔案，以儲存 VM 狀態。根據預設，這些 VM 檔案的存取僅限於主機伺服器管理員。如果您將這些 VM 檔案儲存在不同的位置，您必須確定該位置僅限主機伺服器管理員存取。
VM 實時移轉網路流量不會加密。強烈建議您啟用網路層加密技術，例如 IPsec 來保護即時移轉網路流量。

支援由 Azure 本機 VM 支援的所有 Windows 映像，以及來自 Azure Marketplace 的 Windows Server 映像。如需所有支援的 Windows 11 映像檔清單，請參閱使用 Azure Marketplace 映像檔建立 Azure 本機 VM 映像檔。

Note

不支援在 Azure Marketplace 外部取得的虛擬機客端映像檔。

使用受信任的啟動 Azure 本機 VM 時，請務必瞭解下列與 VM 備份和復原相關的重要考慮和限制。

備份所有 VM 檔案。只要遵循標準 Hyper-V 備份方法，您就可以使用任何備份解決方案或工具來備份所有 VM 檔案。
備份 VM 客體狀態保護金鑰。不同於標準 Azure 本機 VM，受信任啟動的 Azure 本機 VM 使用客體狀態保護密鑰來保護 VM 客體狀態，包括待機時的虛擬 TPM（vTPM）狀態。 VM 客體狀態保護金鑰會儲存在 VM 所在的 Azure 本機實例的本機金鑰保存庫中。建立受信任的啟動 VM 時，您必須儘快手動備份 VM 客體狀態保護密鑰，如手動備份和復原 VM 客體狀態保護密鑰中所述。如果沒有客體狀態保護密鑰，您就無法啟動 VM。

還原至相同的 Azure 本機實例

在某些情況下，VM 可能會還原至相同的 Azure 本機實例，與 VM 在失敗前所在的 Azure 本機實例相同。成功將受信任的啟動 VM 還原至相同的 Azure 本機實例後，VM 可透過之前所使用的 Azure 本機控制平面進行管理。

還原至不同的 Azure 本地實例

在某些情況下，VM 可能會還原至不同的 Azure 本機實例，不同於 VM 在失敗前所在的 Azure 本機實例。成功將受信任的啟動虛擬機還原至不同的 Azure 本機實例時，將無法再透過 Azure Arc 控制平面來管理該虛擬機，但可使用本機 VM 管理工具進行管理。

不支援 Azure Site Recovery，它可以將 Azure 本機執行個體上的虛擬機器複寫至 Azure。

此頁面對您有幫助嗎？