Introdução ao lançamento confiável para VMs Azure Local ativadas pelo Azure Arc

Aplica-se a: Implementações hiperconvergentes do Azure Local

Este artigo apresenta o lançamento confiável para máquinas virtuais (VMs) do Azure Local ativado pelo Azure Arc. Pode criar um lançamento confiável para uma VM Azure Local usando o portal Azure ou usando Azure Command-Line Interface (CLI).

Introduction

O lançamento confiável para VMs Azure Local permite arranque seguro, instala um dispositivo virtual Trusted Platform Module (vTPM), transfere automaticamente o estado vTPM quando a VM migra ou faz failover para outra máquina dentro do sistema, e suporta a capacidade de atestar se a VM iniciou num estado bom conhecido.

Trusted launch é um tipo de segurança que pode ser especificado quando crias VMs Azure Local. Para mais informações, consulte Lançamento confiável para VMs Locais Azure, ativadas pelo Azure Arc.

Capacidades e vantagens

Capability	Benefit
Arranque seguro	Ajuda a reduzir o risco de malware (rootkits) durante a inicialização, verificando se os componentes de inicialização são assinados por editores confiáveis.
vTPM	Versão virtualizada de um TPM de hardware que serve como um cofre dedicado para chaves, certificados e segredos.
vTPM transferência de estado	Preserva o vTPM quando a VM migra ou realiza failover em um cluster.
Segurança baseada em virtualização (VBS)	O convidado na VM pode criar regiões isoladas de memória usando o suporte a VBS.
Verificação da integridade do arranque	Verifica se a VM arrancou num estado de funcionamento correto conhecido (versão prévia). Ver Atestação de Hóspedes.

Guidance

Como parte do lançamento Trusted para criação de VMs Azure Local, o Hyper-V cria ficheiros VM numa localização padrão no disco para armazenar o estado da VM. Por padrão, o acesso a esses arquivos de VM é restrito apenas aos administradores do servidor host. Se você armazenar esses arquivos de VM em um local diferente, deverá garantir que o local seja de acesso restrito apenas aos administradores do servidor host.
O tráfego de rede de migração ao vivo da VM não é criptografado. É altamente recomendável que você habilite uma tecnologia de criptografia de camada de rede, como IPsec, para proteger o tráfego de rede de migração ao vivo.

Imagens do sistema operacional convidado

Todas as imagens do Windows do Azure Marketplace suportadas por VMs Azure Local são suportadas. Além disso, pode trazer a sua própria imagem personalizada do Windows. Para mais informações, consulte Criar imagem de VM Local do Azure usando imagens do Azure Marketplace para uma lista de todas as imagens Windows 11 disponíveis. As imagens Linux também são suportadas através da utilização de uma imagem personalizada — para começar, consulte Using Ubuntu VM Image, CentOS VM Image, Red Hat Enterprise VM Image, e SUSE Linux VM Image.

Note

Pode trazer a sua própria imagem personalizada e usá-la com VMs de lançamento confiáveis. No entanto, como essas imagens não foram validadas, a atestação de convidados será desativada para imagens personalizadas. Para mais informações, veja, Ativar atestação de convidado.

Considerações sobre backup e recuperação de desastres

Ao trabalhar com VMs do Azure de Lançamento Confiável Locais, certifique-se de compreender as seguintes considerações-chave e limitações relacionadas com o backup e a recuperação de VMs.

Backup de VM

Faz backup de todos os ficheiros da VM. Pode usar qualquer solução ou ferramenta de backup para fazer backup de todos os ficheiros de VM, desde que sigam as Abordagens de Backup padrão Hyper-V .
Efetuar cópia de segurança da chave de proteção do estado de convidados da VM. Ao contrário das VMs Azure Local padrão, as VMs Trusted launch Azure Local usam uma chave de proteção do estado de convidado da VM para proteger o estado do convidado da VM, incluindo o estado virtual TPM (vTPM), enquanto estão em repouso. A chave de proteção do estado de convidado da VM é armazenada num cofre de chave local na instância Azure Local onde a VM reside. Deve efetuar manualmente o backup da chave de proteção do estado do convidado da VM assim que criar uma VM de inicialização confiável, conforme descrito em Backup manual e recuperação da chave de proteção do estado do convidado da VM. Sem a chave de proteção de estado convidado, não é possível iniciar a VM.

Recuperação de VM

Restaure todos os arquivos VM. Pode usar qualquer solução ou ferramenta de backup para restaurar todos os ficheiros da VM, desde que a solução ou ferramenta de backup siga as Abordagens de Backup padrão Hyper-V.
Restaure a chave de proteção do estado do convidado da VM. Deve restaurar a chave de proteção do estado do guest VM no cofre de chaves local da instância local do Azure conforme descrito em Backup manual e recuperação da chave de proteção do estado do guest VM.

Restaurar para a mesma instância local do Azure

Em algumas situações, a VM pode ser restaurada na mesma instância Azure Local, igual à instância Azure Local onde a VM residia antes da falha. Quando uma VM de lançamento confiável é restaurada com sucesso na mesma instância Azure Local, a VM pode ser gerida através do plano de controlo Azure Local como era anteriormente.

Restaurar para uma instância Azure Local diferente

Em algumas situações, a VM pode ser restaurada numa instância Azure Local diferente, diferente da instância Azure Local onde a VM residia antes da falha. Quando uma VM de lançamento confiável é restaurada com sucesso para uma instância Azure Local diferente, a VM já não pode ser gerida através do plano de controlo do Azure Arc, mas pode ser gerida usando ferramentas locais de gestão de VM.

Replicação de VM

Azure Site Recovery, que pode replicar máquinas virtuais na sua instância Azure Local para Azure, não é suportado.

Operações suportadas

Consulte Supported Operations for Azure Local Máquinas Virtuais (VMs) Enabled by Azure Arc para uma lista de operações de VM suportadas e não suportadas.