Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: wdrożenia hiperkonwergentne platformy Azure w wersji lokalnej 2311.2 lub nowszej
W tym artykule przedstawiono funkcję Zaufanego Uruchamiania maszyn wirtualnych lokalnych Azure, obsługiwanych przez Azure Arc. Możesz utworzyć Zaufane Uruchamianie dla lokalnej maszyny wirtualnej Azure, korzystając z Azure Portal lub interfejsu wiersza polecenia Azure (CLI).
Introduction
Zaufane uruchamianie dla lokalnych maszyn wirtualnych platformy Azure umożliwia bezpieczny rozruch, instaluje wirtualne urządzenie trusted platform Module (vTPM), automatycznie przesyła stan vTPM, gdy maszyna wirtualna migruje lub przechodzi w tryb failover na inną maszynę w systemie i obsługuje możliwość potwierdzania, czy maszyna wirtualna została uruchomiona w znanym dobrym stanie.
Zaufane uruchamianie to typ zabezpieczeń, który można określić podczas tworzenia lokalnych maszyn wirtualnych platformy Azure. Aby uzyskać więcej informacji, zobacz Zaufane uruchamianie dla lokalnych maszyn wirtualnych platformy Azure z włączoną usługą Azure Arc.
Funkcje i korzyści
| Capability | Benefit |
|---|---|
| Bezpieczny rozruch | Pomaga zmniejszyć ryzyko złośliwego oprogramowania (rootkits) podczas rozruchu, sprawdzając, czy składniki rozruchowe są podpisane przez zaufanych wydawców. |
| vTPM | Zwirtualizowana wersja sprzętowego modułu TPM, który służy jako dedykowany magazyn kluczy, certyfikatów i wpisów tajnych. |
| Przeniesienie stanu vTPM | Zachowuje vTPM podczas migracji maszyny wirtualnej lub przechodzenia w tryb failover w klastrze. |
| Zabezpieczenia oparte na wirtualizacji (VBS) | Gość na maszynie wirtualnej może tworzyć izolowane regiony pamięci przy użyciu obsługi języka VBS. |
Note
Weryfikacja integralności rozruchu gościa maszyny wirtualnej jest niedostępna.
Guidance
IgvmAgent to składnik zainstalowany na wszystkich maszynach w systemie lokalnym platformy Azure. Umożliwia ona obsługę izolowanych maszyn wirtualnych, takich jak zaufane uruchamianie dla lokalnych maszyn wirtualnych platformy Azure, na przykład.
Zaufane uruchamianie dla lokalnych maszyn wirtualnych platformy Azure obsługuje obecnie tylko wybrany zestaw obrazów witryny Azure Marketplace. Aby uzyskać listę obsługiwanych obrazów, zobacz Obrazy systemu operacyjnego gościa. Podczas tworzenia zaufanej maszyny wirtualnej uruchamiania w witrynie Azure Portal lista rozwijana Obraz zawiera tylko obrazy obsługiwane przez zaufane uruchamianie. Lista rozwijana Obraz jest pusta, jeśli wybierzesz nieobsługiwany obraz, w tym obraz niestandardowy. Lista jest również wyświetlana jako pusta, jeśli żadna z obrazów dostępnych w systemie lokalnym platformy Azure nie jest obsługiwana przez zaufane uruchamianie.
W ramach Zaufanego uruchamiania na potrzeby tworzenia lokalnej maszyny wirtualnej na platformie Azure, Hyper-V tworzy pliki maszyny wirtualnej w domyślnej lokalizacji na dysku w celu przechowywania stanu maszyny wirtualnej. Domyślnie dostęp do tych plików maszyn wirtualnych jest ograniczony tylko do administratorów serwera hosta. Jeśli przechowujesz te pliki maszyn wirtualnych w innej lokalizacji, musisz upewnić się, że lokalizacja ma dostęp ograniczony tylko do administratorów serwera hosta.
Ruch sieciowy migracji na żywo maszyny wirtualnej nie jest szyfrowany. Zdecydowanie zalecamy włączenie technologii szyfrowania warstwy sieciowej, takiej jak IPsec, aby chronić ruch sieciowy migracji na żywo.
Obrazy systemu operacyjnego gościa
Obsługiwane są wszystkie obrazy systemu Windows i obrazy systemu Windows Server z witryny Azure Marketplace, które są wspierane przez lokalne maszyny wirtualne w Azure. Aby uzyskać listę wszystkich obsługiwanych obrazów systemu Windows 11, zobacz Utwórz lokalny obraz maszyny wirtualnej w Azure przy użyciu obrazów z Azure Marketplace.
Note
Obrazy gości maszyn wirtualnych uzyskane poza witryną Azure Marketplace nie są obsługiwane.
Zagadnienia dotyczące tworzenia kopii zapasowych i odzyskiwania po awarii
Podczas pracy z zaufanym uruchamianiem lokalnych maszyn wirtualnych platformy Azure, miej świadomość następujących ważnych kwestii i ograniczeń związanych z tworzeniem i odzyskiwaniem kopii zapasowych maszyn wirtualnych.
Kopia zapasowa maszyny wirtualnej
Utwórz kopię zapasową wszystkich plików maszyn wirtualnych. Możesz użyć dowolnego rozwiązania do tworzenia kopii zapasowych lub narzędzia do tworzenia kopii zapasowych wszystkich plików maszyn wirtualnych, o ile są zgodne ze standardowymi metodami tworzenia kopii zapasowychHyper-V.
Kopia zapasowa klucza ochrony stanu gościa maszyny wirtualnej. W przeciwieństwie do standardowych lokalnych maszyn wirtualnych Azure, lokalne maszyny wirtualne Azure z funkcją zaufanego uruchamiania używają klucza ochrony stanu gościa do zabezpieczenia stanu gościa maszyny wirtualnej, w tym stanu wirtualnego modułu TPM (vTPM), gdy dane są nieaktywne. Klucz ochrony stanu gościa maszyny wirtualnej jest przechowywany w lokalnym magazynie kluczy w wystąpieniu lokalnym platformy Azure, w którym znajduje się maszyna wirtualna. Należy ręcznie utworzyć kopię zapasową klucza ochrony stanu gościa maszyny wirtualnej zaraz po utworzeniu zaufanej maszyny wirtualnej uruchamiania zgodnie z opisem w temacie Ręczne tworzenie kopii zapasowej i odzyskiwanie klucza ochrony stanu gościa maszyny wirtualnej. Bez klucza ochrony stanu gościa nie można uruchomić maszyny wirtualnej.
Odzyskiwanie maszyny wirtualnej
Przywróć wszystkie pliki maszyny wirtualnej. Możesz użyć dowolnego rozwiązania lub narzędzia do tworzenia kopii zapasowych, aby przywrócić wszystkie pliki maszyn wirtualnych, o ile rozwiązanie lub narzędzie do tworzenia kopii zapasowych jest zgodne ze standardowymi metodami tworzenia kopii zapasowychHyper-V.
Przywróć klucz ochrony stanu gościa maszyny wirtualnej. Należy przywrócić klucz ochrony stanu gościa maszyny wirtualnej do lokalnego magazynu kluczy wystąpienia lokalnego platformy Azure zgodnie z opisem w Ręczne tworzenie kopii zapasowej i odzyskiwanie klucza ochrony stanu gościa maszyny wirtualnej.
Przywracanie do tego samego lokalnego wystąpienia Azure
- W niektórych sytuacjach maszyna wirtualna może zostać przywrócona do tego samego wystąpienia lokalnego platformy Azure, co wystąpienie lokalne platformy Azure, w którym znajdowała się maszyna wirtualna przed awarią. Po pomyślnym przywróceniu maszyny wirtualnej zaufanego uruchamiania do tego samego lokalnego wystąpienia Azure, maszyna wirtualna może być zarządzana za pośrednictwem lokalnej płaszczyzny sterowania Azure, tak jak wcześniej.
Przywracanie do innego lokalnego wystąpienia usługi Azure
- W niektórych sytuacjach maszyna wirtualna może zostać przywrócona do innego wystąpienia lokalnego platformy Azure, niezależnie od lokalnego wystąpienia platformy Azure, w którym znajdowała się maszyna wirtualna przed awarią. Po pomyślnym przywróceniu Trusted Launch VM do innego lokalnego wystąpienia platformy Azure, maszyna wirtualna nie może być już zarządzana przez usługę Azure Arc, ale można nią zarządzać przy użyciu lokalnych narzędzi do zarządzania maszynami wirtualnymi.
Replikacja VM
Usługa Azure Site Recovery, która może replikować maszyny wirtualne w lokalnym wystąpieniu platformy Azure na platformę Azure, nie jest obsługiwana.
Obsługiwane operacje
Aby uzyskać listę obsługiwanych i nieobsługiwanych operacji maszyn wirtualnych platformy Azure, zobacz Obsługiwane operacje maszyn wirtualnych platformy Azure włączone przez usługę Azure Arc .
Note
Klonowanie maszyn wirtualnych lub kopiowanie maszyn wirtualnych nie jest obecnie obsługiwane, ponieważ może to spowodować uszkodzenie, błędy zarządzania lub niepowodzenie uruchamiania.