Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Hyperconverged-Bereitstellungen von Azure Local
In diesem Artikel wird der vertrauenswürdige Start für Azure Local virtuellen Computer (VMs) eingeführt, die von Azure Arc aktiviert sind. Sie können einen vertrauenswürdigen Start für eine Azure Local VM mithilfe des Azure Portals oder mithilfe Azure Command-Line Interface (CLI) erstellen.
Introduction
Der vertrauenswürdige Start für Azure Local VMs ermöglicht den sicheren Start, installiert ein vTPM-Gerät (Virtual Trusted Platform Module), überträgt automatisch den vTPM-Zustand, wenn der virtuelle Computer zu einem anderen Computer im System migriert oder fehlschlägt, und unterstützt die Möglichkeit, zu bestätigen, ob der virtuelle Computer in einem bekannten guten Zustand gestartet wurde.
Der vertrauenswürdige Start ist ein Sicherheitstyp, der beim Erstellen Azure Local VMs angegeben werden kann. Weitere Informationen finden Sie unter Vertrauenswürdiger Start für lokale Azure-VMs aktiviert durch Azure Arc.
Funktionen und Vorteile
| Capability | Benefit |
|---|---|
| Sicherer Start | Trägt dazu bei, das Risiko von Schadsoftware (Rootkits) während des Starts zu verringern, indem sichergestellt wird, dass Startkomponenten von vertrauenswürdigen Herausgebern signiert sind. |
| vTPM | Virtualisierte Version eines Hardware-TPM, das als dedizierter Tresor für Schlüssel, Zertifikate und geheime Schlüssel dient. |
| vTPM-Statusübertragung | Behält vTPM bei, wenn die VM innerhalb eines Clusters migriert oder fehlschlägt. |
| Virtualisierungsbasierte Sicherheit (VBS) | Gast in der VM kann isolierte Speicherregionen mithilfe der VBS-Unterstützung erstellen. |
| Überprüfung der Startintegrität | Überprüft, ob der virtuelle Computer in einem bekannten guten Zustand (Vorschau) gestartet wurde. Siehe Gastnachweis. |
Guidance
Als Teil des vertrauenswürdigen Starts für Azure Local VM-Erstellung erstellt Hyper-V VM-Dateien an einem Standardspeicherort auf dem Datenträger, um den VM-Zustand zu speichern. Standardmäßig ist der Zugriff auf diese VM-Dateien nur auf Hostserveradministratoren beschränkt. Wenn Sie diese VM-Dateien an einem anderen Speicherort speichern, müssen Sie sicherstellen, dass der Speicherort nur auf Hostserveradministratoren beschränkt ist.
Vm Live Migration Netzwerkdatenverkehr ist nicht verschlüsselt. Es wird dringend empfohlen, eine Verschlüsselungstechnologie auf Netzwerkebene wie IPsec zum Schutz des Livemigrationsnetzwerkdatenverkehrs zu aktivieren.
Gastbetriebssystemimages
Alle Windows Images vom Azure Marketplace, die von lokalen Azure VMs unterstützt werden, sind unterstützt. Darüber hinaus können Sie ihr eigenes Windows benutzerdefiniertes Bild mitbringen. Weitere Informationen finden Sie unter Create Azure Local VM image using Azure Marketplace images für eine Liste aller unterstützten Windows 11-Images. Linux-Images werden auch durch die Bereitstellung eines eigenen benutzerdefinierten Images unterstützt – um loszulegen, sehen Sie sich die Verwendung von Ubuntu VM-Image, CentOS VM-Image, Red Hat Enterprise VM-Image und SUSE Linux VM-Image an.
Note
Sie können Ihr eigenes angepasstes Image mitbringen und mit vertrauenswürdigen Start-VMs verwenden. Da diese Bilder jedoch nicht überprüft wurden, wird der Gastnachweis für benutzerdefinierte Bilder deaktiviert. Weitere Informationen finden Sie unter "Aktivieren des Gastnachweises".
Überlegungen zur Sicherung und Notfallwiederherstellung
Achten Sie beim Arbeiten mit der vertrauenswürdigen Azure Local VM-Startfunktion darauf, die folgenden wichtigen Überlegungen und Einschränkungen in Bezug auf die Sicherung und Wiederherstellung von virtuellen Computern zu verstehen.
VM-Sicherung
Sichern Sie alle VM-Dateien. Sie können jede Sicherungslösung oder jedes Tool verwenden, um alle VM-Dateien zu sichern, solange sie den Standard-Hyper-V Sicherungsansätzen folgen.
Sichern Sie den Schutzschlüssel für den VM-Gaststatus. Im Gegensatz zu Standard-Azure-Local-VMs verwenden Trusted-Launch-Azure-Local-VMs einen VM-Gaststatusschutzschlüssel, um den VM-Gaststatus zu schützen, einschließlich des vTPM-Zustands (Virtual TPM), im Ruhezustand. Der Vm-Gaststatusschutzschlüssel wird in einem lokalen Schlüsseltresor in der Azure Local Instanz gespeichert, in der sich die VM befindet. Sie müssen den Schutzschlüssel für den Gaststatus des virtuellen Computers manuell sichern, sobald Sie einen virtuellen Vertrauenswürdigen Startcomputer erstellen, wie in der manuellen Sicherung und Wiederherstellung des Schutzschlüssels für den Gaststatus des virtuellen Computers beschrieben. Ohne den Gaststatusschutzschlüssel können Sie die VM nicht starten.
VM-Wiederherstellung
Stellen Sie alle VM-Dateien wieder her. Sie können jede Sicherungslösung oder ein beliebiges Tool verwenden, um alle VM-Dateien wiederherzustellen, solange die Sicherungslösung oder das Tool standardmäßigen Hyper-V Sicherungsansätzen folgt.
Stellen Sie den Schutzschlüssel für den VM-Gaststatus wieder her. Sie müssen den Vm-Gaststatusschutzschlüssel auf den lokalen Schlüsseltresor der Azure Local Instanz wiederherstellen, wie in Manual backup and recovery of VM guest state protection key beschrieben.
Wiederherstellung in dieselbe Azure Local Instance
- In einigen Fällen kann der virtuelle Computer in derselben Azure Local Instanz wiederhergestellt werden, die mit der Azure Local Instanz identisch ist, in der sich der virtuelle Computer vor einem Fehler befindet. Wenn eine VM für den vertrauenswürdigen Start erfolgreich auf dieselbe Azure Local Instanz wiederhergestellt wird, kann der virtuelle Computer wie zuvor über Azure Local Steuerebene verwaltet werden.
Wiederherstellen in verschiedenen Azure Local Instanzen
- In einigen Fällen kann der virtuelle Computer in einer anderen Azure Local Instanz wiederhergestellt werden, die sich von der Azure Local Instanz unterscheidet, in der sich der virtuelle Computer vor einem Fehler befindet. Wenn eine VM für den vertrauenswürdigen Start erfolgreich in einer anderen Azure Local Instanz wiederhergestellt wird, kann die VM nicht mehr über die Azure Arc Steuerebene verwaltet werden, sie kann jedoch mit lokalen VM-Verwaltungstools verwaltet werden.
VM-Replikation
Azure Site Recovery, die virtuelle Computer auf Ihrer Azure Local Instanz auf Azure replizieren können, wird nicht unterstützt.
Unterstützte Vorgänge
Eine Liste der unterstützten und nicht unterstützten VM-Vorgänge finden Sie unter Supported Operations for Azure Local Virtual Machines (VMs) Enabled by Azure Arc.
Note
Das Klonen oder Kopieren von virtuellen Computern wird derzeit nicht unterstützt, da es zu Beschädigungen, Verwaltungsfehlern oder Fehler beim Starten führen kann.
Nächste Schritte
- Vertrauenswürdigen Start für Azure Local VMs erstellen.