Verwalten des vertrauenswürdigen Arc-VM-Gaststatusschutzschlüssels in Azure Stack HCI, Version 23H2

Gilt für: Azure Stack HCI, Version 23H2

In diesem Artikel wird beschrieben, wie Sie einen vertrauenswürdigen Arc-VM-Gaststatusschutzschlüssel in Azure Stack HCI verwalten.

Ein VM-Gaststatusschutzschlüssel wird verwendet, um den VM-Gaststatus zu schützen, z. B. den vTPM-Zustand, während im Ruhezustand im Speicher. Es ist nicht möglich, einen virtuellen Arc-Computer mit vertrauenswürdigem Start ohne den Schutzschlüssel des Gastzustands zu starten. Der Schlüssel wird in einem Schlüsseltresor im Azure Stack HCI-Cluster gespeichert, in dem sich die VM befindet.

Exportieren und Importieren des virtuellen Computers

Der erste Schritt besteht darin, den virtuellen Computer aus dem Azure Stack HCI-Quellcluster zu exportieren und dann in den Azure Stack HCI-Zielcluster zu importieren.

1. Informationen zum Exportieren des virtuellen Computers aus dem Quellcluster finden Sie unter Export-VM (Hyper-V).

2. Informationen zum Importieren des virtuellen Computers in den Zielcluster finden Sie unter Import-VM (Hyper-V).

Übertragen des VM-Gaststatusschutzschlüssels

Nachdem Sie den virtuellen Computer exportiert und dann importiert haben, führen Sie die folgenden Schritte aus, um den VM-Gaststatusschutzschlüssel aus dem Azure Stack HCI-Quellcluster in den Azure Stack HCI-Zielcluster zu übertragen:

1. Auf dem Azure Stack HCI-Zielcluster

Führen Sie die folgenden Befehle aus dem Azure Stack HCI-Zielcluster aus.

1. Melden Sie sich mit Administratorrechten beim Schlüsseltresor an.

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. Erstellen Sie einen master Schlüssel im Zielschlüsseltresor. Führen Sie den folgenden Befehl aus.

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. Laden Sie die PEM-Datei (Privacy Enhanced Mail) herunter.

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2. Im Azure Stack HCI-Quellcluster

Führen Sie die folgenden Befehle aus dem Azure Stack HCI-Quellcluster aus.

1. Kopieren Sie die PEM-Datei aus dem Zielcluster in den Quellcluster.

2. Führen Sie das folgende Cmdlet aus, um die ID des virtuellen Computers zu ermitteln.

   (Get-VM -Name <vmName>).vmid  
   

3. Melden Sie sich mit Administratorrechten beim Schlüsseltresor an.

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. Exportieren Sie den VM-Gaststatusschutzschlüssel für den virtuellen Computer.

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3. Auf dem Azure Stack HCI-Zielcluster

Führen Sie die folgenden Befehle aus dem Azure Stack HCI-Zielcluster aus:

1. Kopieren Sie die vmID Datei und vmID.json aus dem Quellcluster in den Zielcluster.

2. Importieren Sie den VM-Gaststatusschutzschlüssel für den virtuellen Computer.

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

Nächste Schritte

• Verwalten von VM-Erweiterungen