Gestire la chiave di protezione dello stato guest di Arc vm Di avvio attendibile in Azure Stack HCI versione 23H2

Si applica a: Azure Stack HCI, versione 23H2

Questo articolo descrive come gestire una chiave di protezione dello stato guest della macchina virtuale Arc di avvio attendibile in Azure Stack HCI.

Una chiave di protezione dello stato guest della macchina virtuale viene usata per proteggere lo stato guest della macchina virtuale, ad esempio lo stato vTPM, mentre è inattivo nell'archiviazione. Non è possibile avviare una macchina virtuale Arc di avvio attendibile senza la chiave di protezione dello stato guest. La chiave viene archiviata in un insieme di credenziali delle chiavi nel cluster Azure Stack HCI in cui si trova la macchina virtuale.

Esportare e importare la macchina virtuale

Il primo passaggio consiste nell'esportare la macchina virtuale dal cluster Azure Stack HCI di origine e quindi importarla nel cluster Azure Stack HCI di destinazione.

1. Per esportare la macchina virtuale dal cluster di origine, vedere Export-VM (Hyper-V).

2. Per importare la macchina virtuale nel cluster di destinazione, vedere Import-VM (Hyper-V).

Trasferire la chiave di protezione dello stato guest della macchina virtuale

Dopo aver esportato e importato la macchina virtuale, seguire questa procedura per trasferire la chiave di protezione dello stato guest della macchina virtuale dal cluster Azure Stack HCI di origine al cluster Azure Stack HCI di destinazione:

1. Nel cluster Azure Stack HCI di destinazione

Eseguire i comandi seguenti dal cluster Azure Stack HCI di destinazione.

1. Accedere all'insieme di credenziali delle chiavi usando privilegi amministrativi.

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. Creare una chiave master nell'insieme di credenziali delle chiavi di destinazione. Eseguire il comando seguente.

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. Scaricare il file Privacy Enhanced Mail (PEM).

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2. Nel cluster Azure Stack HCI di origine

Eseguire i comandi seguenti dal cluster Azure Stack HCI di origine.

1. Copiare il file PEM dal cluster di destinazione nel cluster di origine.

2. Eseguire il cmdlet seguente per determinare l'ID della macchina virtuale.

   (Get-VM -Name <vmName>).vmid  
   

3. Accedere all'insieme di credenziali delle chiavi usando privilegi amministrativi.

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. Esportare la chiave di protezione dello stato guest della macchina virtuale per la macchina virtuale.

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3. Nel cluster HCI di Azure Stack di destinazione

Eseguire i comandi seguenti dal cluster Azure Stack HCI di destinazione:

1. Copiare il vmID file e vmID.json dal cluster di origine nel cluster di destinazione.

2. Importare la chiave di protezione dello stato guest della macchina virtuale per la macchina virtuale.

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

Passaggi successivi

• Gestire le estensioni della macchina virtuale.