适用于:Azure Local 2311.2 及更高版本
本文介绍由 Azure Arc 启用的 Azure 本地虚拟机(VM)的受信任启动。可以使用 Azure 门户或使用 Azure Command-Line 接口(CLI)为 Azure 本地 VM 创建受信任的启动。
简介
Azure 预置 VM 的受信任启动功能可启用安全启动、安装虚拟受信任平台模块 (vTPM) 设备,并在 VM 迁移或故障转移到系统中的另一台机器时自动传输 vTPM 状态。同时,它支持证明 VM 是否以已知良好状态启动。
受信任的启动是可在创建 Azure 本地 VM 时指定的安全类型。 有关详细信息,请参阅 由 Azure Arc 启用的适用于 Azure 本地 VM 的可信启动。
功能和优点
| 功能 | 好处 |
|---|---|
| 安全启动 | 通过验证受信任的发布者是否已对启动组件签名,帮助降低启动期间恶意软件(rootkit)的风险。 |
| vTPM | 硬件 TPM 的虚拟化版本,用作密钥、证书和机密的专用保管库。 |
| vTPM 状态传输 | 在 VM 迁移或故障转移群集中时保留 vTPM。 |
| 基于虚拟化的安全性 (VBS) | VM 中的来宾可以使用 VBS 支持创建独立内存区域。 |
注意
虚拟机客户机启动完整性验证不可用。
指南
IgvmAgent 是在 Azure 本地系统的所有计算机上安装的组件。 例如,它支持独立 VM,例如 Azure Local VM 的受信任启动。
Azure 本地 VM 的受信任启动目前仅支持一组选择的 Azure 市场映像。 有关受支持的映像的列表,请参阅 来宾作系统映像。 在 Azure 门户中创建受信任的启动 VM 时,“映像”下拉列表仅显示受信任启动支持的图像。 如果选择不受支持的映像(包括自定义映像),“映像”下拉列表将显示为空。 如果受信任的启动不支持 Azure 本地系统上可用的映像,该列表也显示为空白。
作为 Azure 本地 VM 创建受信任启动的一部分,Hyper-V 在磁盘上的默认位置创建 VM 文件以存储 VM 状态。 默认情况下,对这些 VM 文件的访问权限仅限于主机服务器管理员。 如果将这些 VM 文件存储在其他位置,则必须确保该位置仅对主机服务器管理员进行访问。
VM 实时迁移网络流量未加密。 强烈建议启用网络层加密技术(如 IPsec),以保护实时迁移网络流量。
来宾操作系统映像
支持所有 Windows 11 映像(不包括 24H2 Windows 11 SKU)以及来自 Azure 市场并由 Azure 本地 VM 支持的 Windows Server 2022 映像。 有关所有支持的 Windows 11 映像列表,请参阅 在 Azure 中使用 Azure 市场映像创建本地 VM 映像。
注意
不支持在 Azure 市场外部获取的 VM 来宾映像。
备份和灾难恢复注意事项
使用 Azure 本地 VM 的受信任启动时,请务必了解与备份和恢复相关的以下重要注意事项和限制:
Azure 本地 VM 的受信任启动与标准 Azure 本地 VM 不同:与标准 Azure 本地 VM 不同,Azure 本地 VM 的受信任启动使用 VM 来宾状态保护密钥来保护 VM 来宾状态,包括虚拟 TPM (vTPM) 状态,同时处于静态状态。 VM 保护密钥存储在 VM 所在的 Azure 本地系统中的本地密钥保管库中。 Azure 本地 VM 的受信任启动将 VM 来宾状态存储在两个文件中:VM 来宾状态和 VM 运行时状态。 若要备份和还原受信任的启动 VM,备份解决方案必须备份和还原所有 VM 文件,包括来宾状态和运行时状态文件,以及备份和还原 VM 保护密钥。
备份和灾难恢复工具支持:目前,Azure 本地 VM 的受信任启动不支持任何第三方或Microsoft拥有的备份和灾难恢复工具,包括但不限于 Azure 备份、Azure Site Recovery、Veeam 和 Commvault。 如果需要将 Azure Local TVM 的受信任启动移动到备用群集,请参阅手动过程 手动备份和恢复 Azure 本地 VM 的受信任启动 ,以管理所有必要的文件和 VM 保护密钥,以确保可以成功还原 VM。
注意
无法从 Azure 控制平面管理在备用 Azure 本地系统上还原的 Azure 本地 VM 的受信任启动。