共用方式為

管理 Azure Stack HCI 版本 23H2 上受信任的啟動 Arc VM 客體狀態保護密鑰

  • 發行項

適用於:Azure Stack HCI 版本 23H2

本文說明如何在 Azure Stack HCI 上管理受信任的啟動 Arc VM 客體狀態保護密鑰。

VM 客體狀態保護密鑰是用來保護 VM 客體狀態,例如 vTPM 狀態,同時在記憶體中待用。 若沒有客體狀態保護密鑰,就無法啟動受信任的啟動 Arc VM。 金鑰會儲存在 VM 所在的 Azure Stack HCI 叢集中的金鑰保存庫中。

匯出和匯入 VM

第一個步驟是從來源 Azure Stack HCI 叢集匯出 VM,然後將它匯入目標 Azure Stack HCI 叢集。

  1. 若要從來源叢集匯出 VM,請參閱 Export-VM (Hyper-V)

  2. 若要將 VM 匯入目標叢集,請參閱 Import-VM (Hyper-V)

傳輸 VM 客體狀態保護金鑰

匯出並匯入 VM 之後,請使用下列步驟將 VM 客體狀態保護金鑰從來源 Azure Stack HCI 叢集傳輸到目標 Azure Stack HCI 叢集:

1.在目標 Azure Stack HCI 叢集上

從目標 Azure Stack HCI 叢集執行下列命令。

  1. 使用系統管理許可權登入金鑰保存庫。

    mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn

  2. 在目標金鑰保存庫中建立主要金鑰。 執行下列命令。

    mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master

  3. 下載 Privacy Enhanced Mail (PEM) 檔案。

    mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault

2.在來源 Azure Stack HCI 叢集上

從來源 Azure Stack HCI 叢集執行下列命令。

  1. 將 PEM 檔案從目標叢集複製到來源叢集。

  2. 執行下列 Cmdlet 來判斷 VM 的識別碼。

    (Get-VM -Name <vmName>).vmid

  3. 使用系統管理許可權登入金鑰保存庫。

      mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn

  4. 匯出 VM 的 VM 客體狀態保護金鑰。

    mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json

3.在目標 Azure Stack HCI 叢集上

從目標 Azure Stack HCI 叢集執行下列命令:

  1. vmIDvmID.json 檔案從來源叢集複製到目標叢集。

  2. 匯入 VM 的 VM 客體狀態保護金鑰。

    mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256

下一步