適用於:Azure Local 2311.2 和更新版本
本文介紹由 Azure Arc 啟用的 Azure 本地虛擬機的受信任啟動。您可以使用 Azure 入口網站或 Azure Command-Line 介面(CLI)來建立 Azure 本地 VM 的受信任啟動。
簡介
Azure 本機 VM 的信任啟動可啟用安全開機、安裝虛擬信任平臺模組 (vTPM) 裝置、在 VM 移轉或故障轉移至系統內另一部電腦時自動傳輸 vTPM 狀態,並支持證明 VM 是否以已知良好狀態啟動的能力。
受信任的啟動是可在您建立 Azure 本機 VM 時指定的安全性類型。 如需詳細資訊,請參閱 由 Azure Arc 啟用的 Azure 本機 VM 的信任啟動。
功能和優點
| 能力 | 優點 |
|---|---|
| 安全開機 | 藉由確認受信任發行者已簽署開機組件,協助降低開機期間惡意代碼 (rootkits) 的風險。 |
| vTPM | 虛擬版本的硬體 TPM,可作為密鑰、憑證和秘密的專用保存庫。 |
| vTPM 狀態傳輸 | 當 VM 在叢集內移轉或故障轉移時,會保留 vTPM。 |
| 虛擬化型安全性 (VBS) | VM 中的客體可以使用 VBS 支援來建立記憶體的隔離區域。 |
備註
VM 客體開機完整性驗證無法使用。
指引
IgvmAgent 是安裝在 Azure 本機系統的所有機器上的元件。 它可以支援隔離的虛擬機,例如,支持 Azure 本地虛擬機的受信任啟動。
Azure 本機 VM 的信任啟動目前僅支援一組選取的 Azure Marketplace 映射。 如需支援的映射清單,請參閱 客體作系統映像。 當您在 Azure 入口網站中建立受信任的啟動 VM 時,[映射] 下拉式清單只會顯示 [信任啟動] 支援的映像。 如果您選取不支援的映像,則 [影像] 下拉式清單會顯示空白,包括自定義映像。 如果受信任的啟動不支援 Azure 本機系統上可用的映像,清單也會顯示為空白。
作為 Azure 本機 VM 建立信任啟動的一部分,Hyper-V 會在磁碟上的預設位置建立 VM 檔案,以儲存 VM 狀態。 根據預設,這些 VM 檔案的存取僅限於主機伺服器管理員。 如果您將這些 VM 檔案儲存在不同的位置,您必須確定該位置僅限主機伺服器管理員存取。
VM 實時移轉網路流量不會加密。 強烈建議您啟用網路層加密技術,例如 IPsec 來保護即時移轉網路流量。
虛擬機作業系統映像
支援所有 Windows 11 映像檔(不包括 24H2 Windows 11 SKUs)和來自 Azure Marketplace 且由 Azure 本地虛擬機器支援的 Windows Server 2022 映像檔。 如需所有支援的 Windows 11 映像檔清單,請參閱 使用 Azure Marketplace 映像檔建立 Azure 本機 VM 映像檔。
備註
不支援在 Azure Marketplace 外部取得的虛擬機客端映像檔。
備份和災害復原考慮
在使用 Azure 本地虛擬機器的受信任的啟動時,請確保了解以下與備份和復原相關的重要考量事項和限制:
Azure 本機 VM 的受信任啟動與標準 Azure 本機 VM 之間的差異:不同於標準 Azure 本機 VM,Azure 本機 VM 的信任啟動會使用 VM 客體狀態保護密鑰來保護 VM 客體狀態,包括虛擬 TPM (vTPM) 狀態,同時待用時。 VM 保護金鑰會儲存在 VM 所在的 Azure 本機系統中的本機金鑰保存庫中。 Azure 本機 VM 的信任啟動會將 VM 客體狀態儲存在兩個檔案中:VM 客體狀態和 VM 運行時間狀態。 若要備份和還原受信任的啟動 VM,備份解決方案必須備份和還原所有 VM 檔案,包括客體狀態和運行時間狀態檔案,以及備份和還原 VM 保護密鑰。
備份和災害復原工具支援:目前,Azure 本機 VM 的信任啟動不支援任何第三方或Microsoft擁有的備份和災害復原工具,包括但不限於 Azure 備份、Azure Site Recovery、Veeam 和 Commvault。 如果需要將 Azure Local TVM 的受信任啟動移至替代叢集,請參閱手動程式 手動備份和復原 Azure 本機 VM 的受信任啟動 ,以管理所有必要的檔案和 VM 保護密鑰,以確保 VM 可以成功還原。
備註
在替代 Azure 本機系統上還原的 Azure 本機 VM 的啟動信任無法從 Azure 控制平面管理。