Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Azure Local 2311.2 und höher
In diesem Artikel wird der vertrauenswürdige Start für virtuelle Azure-Computer (VMs) eingeführt, die von Azure Arc aktiviert sind. Sie können einen vertrauenswürdigen Start für eine lokale Azure-VM mithilfe des Azure-Portals oder mithilfe der Azure Command-Line Interface (CLI) erstellen.
Introduction
Der vertrauenswürdige Start für lokale Azure-VMs ermöglicht den sicheren Start, installiert ein virtuelles vTPM-Gerät (Trusted Platform Module), überträgt automatisch den vTPM-Zustand, wenn der virtuelle Computer zu einem anderen Computer innerhalb des Systems migriert oder fehlschlägt, und unterstützt die Möglichkeit, zu bestätigen, ob der virtuelle Computer in einem bekannten guten Zustand gestartet wurde.
Der vertrauenswürdige Start ist ein Sicherheitstyp, der beim Erstellen lokaler Azure-VMs angegeben werden kann. Weitere Informationen finden Sie unter "Vertrauenswürdiger Start für lokale virtuelle Azure-Computer, die von Azure Arc aktiviert sind".
Funktionen und Vorteile
| Capability | Benefit |
|---|---|
| Sicherer Start | Trägt dazu bei, das Risiko von Schadsoftware (Rootkits) während des Starts zu verringern, indem sichergestellt wird, dass Startkomponenten von vertrauenswürdigen Herausgebern signiert sind. |
| vTPM | Virtualisierte Version eines Hardware-TPM, das als dedizierter Tresor für Schlüssel, Zertifikate und geheime Schlüssel dient. |
| vTPM-Statusübertragung | Behält vTPM bei, wenn die VM innerhalb eines Clusters migriert oder fehlschlägt. |
| Virtualisierungsbasierte Sicherheit (VBS) | Gast in der VM kann isolierte Speicherregionen mithilfe der VBS-Unterstützung erstellen. |
Note
Die Überprüfung der Vm-Gaststartintegrität ist nicht verfügbar.
Guidance
IgvmAgent ist eine Komponente, die auf allen Computern im lokalen Azure-System installiert ist. Sie ermöglicht beispielsweise die Unterstützung für isolierte VMs wie den vertrauenswürdigen Start für lokale Azure-VMs.
Der vertrauenswürdige Start für Azure Local VMs unterstützt aktuell nur ein ausgewähltes Set von Azure Marketplace Images. Eine Liste der unterstützten Images finden Sie unter Gastbetriebssystem-Images. Wenn Sie eine Trusted Launch VM im Azure-Portal erstellen, zeigt die Dropdown-Liste Image nur die von Trusted Launch unterstützten Images an. Die Dropdown-Liste Image erscheint leer, wenn Sie ein nicht unterstütztes Image auswählen, einschließlich eines angepassten Images. Die Liste wird auch leer angezeigt, wenn keines der auf Ihrem Azure Local-System verfügbaren Images von Trusted Launch unterstützt wird.
Als Teil des vertrauenswürdigen Starts für die Erstellung lokaler Azure-VM erstellt Hyper-V VM-Dateien an einem Standardspeicherort auf dem Datenträger, um den VM-Zustand zu speichern. Standardmäßig ist der Zugriff auf diese VM-Dateien nur auf Hostserveradministratoren beschränkt. Wenn Sie diese VM-Dateien an einem anderen Speicherort speichern, müssen Sie sicherstellen, dass der Speicherort nur auf Hostserveradministratoren beschränkt ist.
Vm Live Migration Netzwerkdatenverkehr ist nicht verschlüsselt. Es wird dringend empfohlen, eine Verschlüsselungstechnologie auf Netzwerkebene wie IPsec zum Schutz des Livemigrationsnetzwerkdatenverkehrs zu aktivieren.
Gastbetriebssystemimages
Alle Windows-Images und Windows Server-Images von Azure Marketplace, die von lokalen Azure-VMs unterstützt werden, werden unterstützt. Eine Liste aller unterstützten Windows 11-Images finden Sie unter Azure Local VM-Image aus Azure Marketplace-Images erstellen.
Note
VM-Gastimages, die außerhalb von Azure Marketplace abgerufen wurden, werden nicht unterstützt.
Überlegungen zur Sicherung und Notfallwiederherstellung
Wenn Sie mit Azure Local-VMs für vertrauenswürdigen Start arbeiten, müssen Sie die folgenden wichtigen Aspekte und Einschränkungen im Zusammenhang mit der Sicherung und Wiederherstellung von VMs kennen.
VM-Sicherung
Sichern Sie alle VM-Dateien. Sie können jede Sicherungslösung oder jedes Tool verwenden, um alle VM-Dateien zu sichern, solange sie den Standard-Hyper-V Sicherungsansätzen entsprechen.
Gaststatusschutzschlüssel für Backup-VM. Im Gegensatz zu standardmäßigen Azure Local-VMs verwenden Azure Local-VMs mit vertrauenswürdigem Start einen Gaststatusschutzschlüssel, um den Gastzustand der VM sowie den vTPM-Zustand zu schützen, während sich die VM im Ruhezustand befindet. Der Vm-Gaststatusschutzschlüssel wird in einem lokalen Schlüsseltresor in der lokalen Azure-Instanz gespeichert, in der sich die VM befindet. Sie müssen den Schutzschlüssel für den Gastzustand der VM manuell sichern, sobald Sie eine Trusted Launch-VM erstellen, wie in der manuellen Sicherung und Wiederherstellung des Schutzschlüssels für den Gastzustand der VM beschrieben. Ohne den Gaststatusschutzschlüssel können Sie die VM nicht starten.
VM-Wiederherstellung
Stellen Sie alle VM-Dateien wieder her. Sie können jede Sicherungslösung oder jedes Tool verwenden, um alle VM-Dateien wiederherzustellen, solange die Sicherungslösung oder das Tool standard Hyper-V Sicherungsansätzen folgt.
Stellen Sie den Schutzschlüssel für den VM-Gaststatus wieder her. Sie müssen den Vm-Gaststatusschutzschlüssel auf den lokalen Schlüsseltresor der lokalen Azure-Instanz wiederherstellen, wie in der manuellen Sicherung und Wiederherstellung des Vm-Gaststatusschutzschlüssels beschrieben.
Wiederherstellen derselben lokalen Azure-Instanz
- In einigen Fällen kann der virtuelle Computer in derselben lokalen Azure-Instanz wiederhergestellt werden, genauso wie die lokale Azure-Instanz, in der sich der virtuelle Computer befindet, bevor ein Fehler auftritt. Wenn eine VM für den vertrauenswürdigen Start erfolgreich in derselben lokalen Azure-Instanz wiederhergestellt wird, kann der virtuelle Computer wie zuvor über die Lokale Steuerungsebene von Azure verwaltet werden.
Wiederherstellen einer anderen lokalen Azure-Instanz
- In einigen Fällen kann der virtuelle Computer in einer anderen lokalen Azure-Instanz wiederhergestellt werden, die sich von der lokalen Azure-Instanz unterscheidet, in der sich der virtuelle Computer befindet, bevor ein Fehler auftritt. Wenn eine vm für den vertrauenswürdigen Start erfolgreich in einer anderen lokalen Azure-Instanz wiederhergestellt wird, kann die VM nicht mehr über die Azure Arc-Kontrollebene verwaltet werden, sie kann jedoch mit lokalen VM-Verwaltungstools verwaltet werden.
VM-Replikation
Azure Site Recovery, die virtuelle Computer auf Ihrer lokalen Azure-Instanz in Azure replizieren kann, wird nicht unterstützt.