Úvod do důvěryhodného spuštění pro místní virtuální počítače Azure povolené službou Azure Arc
Platí pro: Azure Local 2311.2 a novější
Tento článek představuje důvěryhodné spuštění pro místní virtuální počítače Azure povolené službou Azure Arc. Důvěryhodné spuštění pro místní virtuální počítač Azure můžete vytvořit pomocí webu Azure Portal nebo pomocí rozhraní příkazového řádku Azure Command-Line.
Úvod
Důvěryhodné spuštění místních virtuálních počítačů Azure umožňuje zabezpečené spuštění, nainstaluje virtuální zařízení vTPM (Trusted Platform Module), automaticky přenese stav vTPM, když virtuální počítač migruje nebo přechází na jiný stroj v systému v případě selhání, a podporuje možnost ověření, zda se virtuální počítač spustil ve známém dobrém stavu.
Důvěryhodné spuštění je typ zabezpečení, který je možné zadat při vytváření místních virtuálních počítačů Azure. Další informace najdete v tématu Důvěryhodné spuštění pro místní virtuální počítače Azure povolené službou Azure Arc.
Funkce a výhody
| Schopnost | Výhoda |
|---|---|
| Zabezpečené spuštění | Pomáhá snížit riziko malwaru (rootkits) během spouštění ověřením, že spouštěcí komponenty jsou podepsány důvěryhodnými vydavateli. |
| vTPM | Virtualizovaná verze hardwarového čipu TPM, která slouží jako vyhrazený trezor pro klíče, certifikáty a tajné kódy. |
| Přenos stavu vTPM | Zachová vTPM při migraci nebo převzetí při selhání virtuálního počítače v rámci clusteru. |
| Zabezpečení na základě virtualizace (VBS) | Host na virtuálním počítači může vytvářet izolované oblasti paměti pomocí podpory VBS. |
Poznámka:
Ověření integrity spouštění hosta virtuálního počítače není k dispozici.
Pokyny
IgvmAgent je komponenta nainstalovaná na všech počítačích v místním systému Azure. Umožňuje například podporu izolovaných virtuálních počítačů, jako je důvěryhodné spuštění pro místní virtuální počítače Azure.
V rámci funkce Trusted launch pro vytvoření místního virtuálního počítače v Azure vytvoří Hyper-V soubory VM ve výchozím umístění na disku k uložení stavu virtuálního počítače. Ve výchozím nastavení je přístup k těmto souborům virtuálních počítačů omezen pouze na správce hostitelského serveru. Pokud tyto soubory virtuálních počítačů uložíte do jiného umístění, musíte zajistit, aby toto umístění bylo omezeno pouze na správce hostitelského serveru.
Síťový provoz migrace za provozu virtuálního počítače není šifrovaný. Důrazně doporučujeme povolit technologii šifrování síťové vrstvy, jako je protokol IPsec, abyste ochránili síťový provoz během živé migrace.
Image hostovaného operačního systému
Podporují se všechny image Windows 11 (s výjimkou skladových položek Windows 11 24H2 a Windows Server 2022 z Azure Marketplace podporované místními virtuálními počítači Azure). Pro úplný seznam všech podporovaných obrazů Windows 11 se podívejte na Vytvoření místního obrazu VM Azure pomocí obrazů z Azure Marketplace.
Poznámka:
Obrazy hosta virtuálního počítače získané mimo Azure Marketplace nejsou podporovány.
Aspekty zálohování a zotavení po havárii
Při práci s důvěryhodným spuštěním pro místní virtuální počítače Azure nezapomeňte pochopit následující klíčové aspekty a omezení související se zálohováním a obnovením:
Rozdíly mezi důvěryhodným spuštěním místních virtuálních počítačů Azure a standardními místními virtuálními počítači Azure: Na rozdíl od standardních místních virtuálních počítačů Azure používají důvěryhodné spuštění místních virtuálních počítačů Azure klíč ochrany stavu hosta virtuálního počítače k ochraně stavu hosta virtuálního počítače, včetně stavu virtuálního čipu TPM (vTPM) v klidovém stavu. Klíč ochrany virtuálního počítače je uložený v místním trezoru klíčů v místním systému Azure, kde se nachází virtuální počítač. Důvěryhodné spuštění pro místní virtuální počítače Azure ukládá stav hosta virtuálního počítače ve dvou souborech: stav hosta virtuálního počítače a stav modulu runtime virtuálního počítače. Pokud chcete zálohovat a obnovovat důvěryhodně spouštěný virtuální počítač, musí zálohovací řešení zálohovat a obnovovat všechny soubory virtuálního počítače, včetně stavu hosta a souborů stavu běhového prostředí, a také zálohovat a obnovovat klíč ochrany virtuálního počítače.
podpora nástrojů pro zálohování a zotavení po havárii: Důvěryhodné spuštění místních virtuálních počítačů Azure nepodporuje žádné nástroje třetích stran ani nástroje vlastněné společností Microsoft pro zálohování a zotavení po havárii, včetně, ale nejen, nástrojů Azure Backup, Azure Site Recovery, Veeam a Commvault. Pokud dojde k nutnosti přesunout důvěryhodné spuštění místního televizního počítače Azure do alternativního clusteru, přečtěte si ruční proces Ruční zálohování a obnovení důvěryhodného spuštění pro místní virtuální počítače Azure ke správě všech potřebných souborů a klíče ochrany virtuálních počítačů, abyste zajistili úspěšné obnovení virtuálního počítače.
Poznámka:
Důvěryhodné spuštění místních virtuálních počítačů Azure obnovených v alternativním místním systému Azure nejde spravovat z řídicí roviny Azure.