Bevezetés az Azure Arc virtuális gépek megbízható üzembe helyezésébe az Azure Local-on
A következőkre vonatkozik: Azure Local 2311.2 és újabb verziók
Ez a cikk bemutatja az Azure Arc virtuális gépek (VM-ek) megbízható indítását az Azure Local-on. Megbízható indítású Arc virtuális gépet az Azure Portalon vagy az Azure Parancssori felület (CLI) használatával hozhat létre.
Bevezetés
Az Azure Arc virtuális gépek megbízható indítása lehetővé teszi a biztonságos rendszerindítást, telepíti a virtuális platformmodul (vTPM) eszközét, automatikusan átviszi a vTPM állapotát, amikor a virtuális gép migrál vagy a rendszeren belül egy másik gépre meghibásodik, és támogatja annak igazolását, hogy a virtuális gép ismert jó állapotban indult-e.
A megbízható indítás olyan biztonsági típus, amely az Arc-alapú virtuális gépek Azure Local-on való létrehozásakor adható meg. További információ: Azure Arc virtuális gépek megbízható indítása az Azure Local-on.
Képességek és előnyök
| Képesség | Előny |
|---|---|
| Biztonságos rendszerindítás | A rendszerindítás során a kártevők (rootkits) kockázatának csökkentéséhez ellenőrizze, hogy a rendszerindító összetevőket megbízható közzétevők írták-e alá. |
| vTPM | A hardveres TPM virtualizált verziója, amely dedikált tárolóként szolgál kulcsokhoz, tanúsítványokhoz és titkos kódokhoz. |
| vTPM-állapotátvitel | Megőrzi a vTPM-et, amikor a virtuális gép migrál vagy átkerül egy másik csomópontra egy fürtön belül. |
| Virtualizációalapú biztonság (VBS) | A virtuális gép vendége a VBS-támogatással izolált memóriaterületeket hozhat létre. |
Feljegyzés
A virtuális gép vendég rendszerindítási integritásának ellenőrzése nem érhető el.
Útmutató
Az IgvmAgent egy olyan összetevő, amely az Azure Local rendszer összes gépére telepítve van. Lehetővé teszi például az izolált virtuális gépek, például a megbízható indítású Arc virtuális gépek támogatását.
A Megbízható indítású Arc virtuális gép létrehozása során Hyper-V a virtuálisgép-fájlokat a lemez alapértelmezett helyén hozza létre a virtuális gép állapotának tárolásához. Alapértelmezés szerint ezekhez a virtuálisgép-fájlokhoz csak a gazdagépkiszolgáló-rendszergazdák férhetnek hozzá. Ha ezeket a virtuálisgép-fájlokat más helyen tárolja, győződjön meg arról, hogy a hely csak a gazdagépkiszolgáló-rendszergazdák számára érhető el.
A virtuális gép élő áttelepítési hálózati forgalma nincs titkosítva. Határozottan javasoljuk, hogy engedélyezze a hálózati réteg titkosítási technológiáit, például az IPsec-et az élő migrálási hálózati forgalom védelme érdekében.
Vendég operációs rendszer képfájlok
Az Azure Arc VM-ek által támogatott Azure Marketplace-en elérhető összes Windows 11 rendszerkép (a 24H2 Windows 11 termékváltozatok kivételével), valamint a Windows Server 2022 rendszerképek támogatottak. Az összes támogatott Windows 11-rendszerkép listáját az Azure Marketplace-rendszerképek használatával azure-beli helyi virtuálisgép-rendszerképek létrehozása című témakörben találja.
Feljegyzés
Az Azure Marketplace-en kívül beszerzett virtuálisgép-vendégképek nem támogatottak.
Biztonsági mentési és vészhelyreállítási szempontok
Ha megbízható indítású Arc virtuális gépekkel dolgozik, győződjön meg arról, hogy tisztában van a biztonsági mentéssel és helyreállítással kapcsolatos legfontosabb szempontokkal és korlátozásokkal:
A megbízható indítású Arc virtuális gépek és a standard Arc virtuális gépek közötti különbségek: A standard Azure Arc virtuális gépektől eltérően a megbízható indítású Arc virtuális gépek egy virtuálisgép-vendégállapot-védelmi kulcsot használnak a virtuális gép vendégállapotának védelmére, beleértve a virtuális TPM (vTPM) állapotot, amíg inaktív állapotban vannak. A virtuálisgép-védelmi kulcs egy helyi kulcstartóban van tárolva abban az Azure Helyi rendszerben, ahol a virtuális gép található. A megbízható indítású Arc virtuális gépek két fájlban tárolják a virtuális gép vendégállapotát: a virtuális gép vendégállapotát és a virtuális gép futtatókörnyezeti állapotát. A megbízható indítású virtuális gépek biztonsági mentéséhez és visszaállításához a biztonsági mentési megoldásnak biztonsági másolatot kell készítenie és vissza kell állítania az összes virtuálisgép-fájlt, beleértve a vendégállapotot és a futtatókörnyezeti állapotfájlokat, valamint biztonsági másolatot kell készítenie és vissza kell állítania a virtuális gép védelmi kulcsát.
biztonsági mentési és vészhelyreállítási eszköztámogatási: A megbízható indítású Arc virtuális gépek jelenleg nem támogatnak külső vagy Microsoft-tulajdonú biztonsági mentési és vészhelyreállítási eszközöket, többek között az Azure Backupot, az Azure Site Recoveryt, a Veeamet és a Commvaultot. Ha egy megbízható indítású Arc virtuális gépet át kell helyezni egy másik fürtbe, olvassa el a manuális folyamatot, Megbízható indítású Arc virtuális gépek manuális biztonsági mentése és helyreállítása az összes szükséges fájl és a virtuális gép védelmi kulcsának menedzseléséhez, hogy a virtuális gép sikeresen visszaállítható legyen.
Feljegyzés
Egy másik Azure-beli helyi rendszeren visszaállított megbízható indítású Arc virtuális gépek nem kezelhetők az Azure vezérlősíkjáról.