Ручное резервное копирование и восстановление ключей защиты состояния гостей для доверенного запуска локальных виртуальных машин Azure, включенных с помощью Azure Arc

Область применения: гиперконвергентные развертывания локальной среды Azure

В этой статье описывается, как вручную создавать резервные копии и восстанавливать ключи защиты гостевого состояния для локальных виртуальных машин Azure с доверительным запуском, использующих Azure Arc.

Для локальной версии Azure 2505 и более поздних версий: резервное копирование и восстановление ключей защиты состояния гостевой виртуальной машины Azure в и из папки файловой системы.
Для локальных выпусков Azure до 2505: выполняйте резервное копирование и восстановление ключей защиты состояния гостевых виртуальных машин Azure, перенося их в хранилище ключей в другом локальном экземпляре Azure.

Локальная версия Azure 2505 и последующих
Локальные выпуски Azure до 2505

Этот раздел относится к локальному выпуску Azure 2505 и более поздних версий.

Для резервного копирования ключи защиты гостевого состояния виртуальной машины копируются из локального хранилища ключей локального экземпляра Azure в папку, которая периодически выполняет резервное копирование. Ключи защиты гостевой виртуальной машины, хранящиеся в этой папке, находятся в зашифрованной форме.

Для восстановления ключи защиты гостевого состояния виртуальной машины восстанавливаются из папки, содержащей копию резервной копии в хранилище ключей локального экземпляра Azure, где необходимо восстановить виртуальные машины.

Резервное копирование ключей

Приведенные ниже действия включают копирование ключей защиты состояния гостевой виртуальной машины из локального хранилища ключей вашего локального экземпляра Azure в папку, резервные копии которой выполняются периодически.

На защищенном компьютере с помощью PowerShell 7 создайте ключ упаковки размером 2048:

$rsa = [System.Security.Cryptography.RSA]::Create(2048) 

$privateKeyPem = $rsa.ExportPkcs8PrivateKeyPem() 

$privateKeyPem | Out-File -FilePath .\private.pem 

$publicKeyPem = $rsa.ExportRSAPublicKeyPem() 

$publicKeyPem | Out-File -FilePath .\public.pem

Запишите ключ упаковки, так как он понадобится позднее.
Скопируйте файл .\public.pem на локальный экземпляр Azure.
Скопируйте ключи защиты ВМ из локального хранилища ключей экземпляра Azure в папку, резервное копирование которой выполняется периодически.
1. Скачайте сценарий TvmBackupUtils.psm1 с GitHub на локальный экземпляр Azure. Примечание. Этот скрипт является примером, который можно адаптировать для конкретных потребностей.
2. Выполните следующее:
```
import-module .\TvmBackupUtils.psm1 -force

Backup-TVMKeys -WrappingKeyPath <path to public.pem> -BackupRootPath <path to backup root folder where the timestamped backup folder is stored>
```
  Ниже приведен пример выходных данных после выполнения этой команды:
```
Backing up TVM Vault keys to .\<backup root folder>\20250722192116
Backing up key 7fb16fe7-00a0-476f-92b3-ccb98fd9525a to AES folder
Backing up key AzureStackTvmAKRootKey to RSA folder
```
Обратите внимание на папку резервной копии с отметкой времени, созданную в корневой папке резервных копий. Это необходимо позже во время восстановления. Например, папка резервного копирования с именем "2025-06-12-20-53-55" с форматом "гггг-ММ-dd-HH-mm-ss".

Восстановление ключей

Приведенные ниже действия включают восстановление ключей защиты гостевой виртуальной машины из папки, содержащей копию резервной копии в хранилище ключей локального экземпляра Azure, где необходимо восстановить виртуальные машины.

Скопируйте файлы закрытого и открытого ключей для ключа-оболочки, созданного ранее, в локальный экземпляр Azure.
Скопируйте папку резервной копии с меткой времени в локальный экземпляр Azure. Выберите папку в корневой папке резервного копирования с последней меткой времени, так как эта папка будет иметь последнюю копию. Не изменяйте папку резервного копирования.
Импортируйте ключ упаковки, созданный ранее, в локальный экземпляр Azure:
1. Скачайте сценарий TvmBackupUtils.psm1 с GitHub на локальный экземпляр Azure. Примечание. Этот скрипт является примером, который можно адаптировать для конкретных потребностей.
2. Выполните следующие команды.
  
  Note
  
  Обязательно создайте уникальное имя для WrappingKeyName. В противном случае это приводит к сбою во время импорта:
```
Import-Module .\TvmBackupUtils.psm1 -force 

Import-TvmWrappingKeyFromPem -KeyName <WrappingKeyName> -PublicKeyPath <path to public.pem> -PrivateKeyPath <path to private.pem> -KeySize 2048
```
  Ниже приведен пример выходных данных:
```
Generating import JSON for key <WrappingKeyName> at temporary location C:\Users\HCIDeploymentUser\AppData\Local\Temp\tmpD383.tmp... 
Importing key <WrappingKeyName> into the vault...
Key <WrappingKeyName> successfully imported into the vault.
Temporary file C:\Users\HCIDeploymentUser\AppData\Local\Temp\tmpD383.tmp has been cleaned up.
```
Выполните этот шаг, только если вы восстанавливаете виртуальную машину в том же локальном экземпляре Azure, где виртуальная машина находилась до сбоя. Удалите следующее AzureStackTvmAKRootKey.
```
Remove-MocKey -name  AzureStackTvmAKRootKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault
```

Восстановите ключи из резервной копии:

Import-TVMKeys -WrappingKeyName <WrappingKeyName> -BackupPath <path to timestamped backup folder>

Ниже приведен пример выходных данных:

Importing TVM  keys from .\<backup root folder>\20250722192116\

Importing key 7fb16fe7-00a0-476f-92b3-ccb98fd9525a with size 256 from AES folder path = .\<backup root folder>\20250722192116\AES\7fb16fe7-00a0-476f-92b3-ccb98fd9525a_256.json

Importing key AzureStackTvmAKRootKey with size 4096 from RSA folder path = .\<backup root folder>\20250722192116\RSA\AzureStackTvmAKRootKey_4096.json

Если локальное хранилище ключей локального экземпляра Azure уже имеет ключ защиты гостевой виртуальной машины с тем же именем или уже имеет AzureStackTvmAKRootKeyзначение, вы получите ошибку InvalidVersion для этого ключа. Это можно игнорировать, так как ключ уже находится в хранилище ключей.

Ниже приведен пример выходных данных, показывающих эту ошибку:

Importing TVM  keys from .\<backup root folder>\20250722192116\
Importing key 7fb16fe7-00a0-476f-92b3-ccb98fd9525a with size 256 from AES folder path = .\<backup root folder>\20250722192116\AES\7fb16fe7-00a0-476f-92b3-ccb98fd9525a_256.json
Import-TVMKeys : Error Importing Key: C:\Program Files\AksHci\mocctl.exe --cloudFqdn
s-cluster.v.masd.stbtest.microsoft.com  security keyvault key import --group "AzureStackHostAttestation" --key-size
"256" --vault-name "AzureStackTvmKeyVault" --key-type "AES" --key-file-path
".\<backup root folder>\20250722192116\AES\7fb16fe7-00a0-476f-92b3-ccb98fd9525a_256.json" --name
"7fb16fe7-00a0-476f-92b3-ccb98fd9525a" --wrapping-key-name "WrappingKey" System.Collections.Hashtable.generic_non_zero
1 [Error: Keys Import failed:  Type[Key] Vault[AzureStackTvmKeyVault] Name[7fb16fe7-00a0-476f-92b3-ccb98fd9525a]:
InvalidVersion]
+ CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
+ FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,Import-TVMKeys

Importing key AzureStackTvmAKRootKey with size 4096 from RSA folder path = .\<backup root folder>\20250722192116\RSA\AzureStackTvmAKRootKey_4096.json
Import-TVMKeys : Error Importing Key: C:\Program Files\AksHci\mocctl.exe --cloudFqdn
s-cluster.v.masd.stbtest.microsoft.com  security keyvault key import --group "AzureStackHostAttestation" --key-size
"4096" --vault-name "AzureStackTvmKeyVault" --key-type "RSA" --key-file-path
".\<backup root folder>\20250722192116\RSA\AzureStackTvmAKRootKey_4096.json" --name "AzureStackTvmAKRootKey"
--wrapping-key-name "WrappingKey" System.Collections.Hashtable.generic_non_zero 1 [Error: Keys Import failed:
Type[Key] Vault[AzureStackTvmKeyVault] Name[AzureStackTvmAKRootKey]: InvalidVersion]
+ CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
+ FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,Import-TVMKeys

Очистка файлов и ключей:
1. Удалите оба файла public.pem и private.pem из локального экземпляра Azure.
  
  Important
  
  Удалите ключ-оболочку из хранилища ключей локального экземпляра Azure с помощью Remove-MocKey. Это помогает избежать конфликтов позже.
```
Remove-MocKey -name WrappingKeyName -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault
```

Этот раздел относится к локальным выпускам Azure до 2505 года.

Для резервного копирования ключи защиты гостевой виртуальной машины копируются из локального хранилища ключей локального экземпляра Azure в хранилище ключей другого локального экземпляра Azure, используемого для резервного копирования ключей.

Для восстановления ключи защиты гостевой виртуальной машины восстанавливаются из локального хранилища ключей резервного копирования локального экземпляра Azure в хранилище ключей локального экземпляра Azure, где необходимо восстановить виртуальные машины.

Резервное копирование ключей

Выполните следующие действия, чтобы скопировать ключ защиты гостевой виртуальной машины из локального хранилища ключей локального экземпляра Azure, где виртуальная машина находится в хранилище ключей резервного копирования в другом локальном экземпляре Azure:

В локальной системе Azure с хранилищем ключей резервного копирования выполните следующие команды в локальной системе Azure с хранилищем ключей резервного копирования:
1. Создайте ключ-оболочку в хранилище ключей резервного копирования. Запомните имя, так как оно понадобится позже.
```
New-MocKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type RSA -size 2048
```
2. Скачайте файл защищённой электронной почты (PEM):
```
Get-MocKeyPublicKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -outputFile wrappingKey.pem
```
В локальной системе Azure, в которой находится виртуальная машина, выполните следующие команды в локальной системе Azure:
1. Скопируйте PEM-файл в локальную систему Azure.
2. Подтвердите узел владельца виртуальной машины, выполнив следующую команду:
```
Get-ClusterGroup <VM name>
```
3. Выполните следующий командлет на узле владельца, чтобы определить идентификатор виртуальной машины:
```
(Get-VM -Name <VM name>).vmid
```
4. Экспорт ключа защиты гостевого состояния виртуальной машины:
```
Export-MocKey -name <VM ID> -wrappingKeyName wrappingKey -wrappingPubKeyFile wrappingKey.pem -outFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -size 256
```
В локальной системе Azure с хранилищем ключей резервного копирования выполните следующие действия:
1. Скопируйте файл VM ID и VM ID.json в локальную систему Azure.
2. Импортируйте ключ защиты гостевой виртуальной машины в хранилище ключей резервного копирования:
```
Import-MocKey -name <VM ID> -importKeyFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type AES -size 256
```

Восстановление ключей

Выполните следующие действия, чтобы скопировать ключ защиты гостевой виртуальной машины. Ключ копируется из хранилища ключей резервного копирования локального экземпляра Azure в хранилище ключей целевой локальной системы Azure, где виртуальная машина должна быть восстановлена:

В исходной локальной системе Azure, в которой требуется восстановить виртуальную машину, выполните следующие команды:
1. Создайте ключ-оболочку в хранилище ключей:
```
New-MocKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type RSA -size 2048
```
2. Скачайте PEM-файл:
```
Get-MocKeyPublicKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -outputFile wrappingKey.pem
```
В локальной системе Azure с хранилищем ключей резервного копирования выполните следующие команды:
1. Скопируйте PEM-файл в локальную систему Azure.
2. VM ID Получите данные из файлов виртуальной машины, хранящихся на диске. Существует файл конфигурации виртуальной машины (.xml), имеющий VM ID имя. Вы также можете использовать следующую команду, чтобы получить VM ID, если вы знаете имя виртуальной машины. Выполните этот шаг на узле Hyper-V с файлами виртуальной машины:
```
(Get-VM -Name <VM name>).vmid
```
3. Экспорт ключа защиты гостевого состояния виртуальной машины:
```
Export-MocKey -name <VM ID> -wrappingKeyName wrappingKey -wrappingPubKeyFile wrappingKey.pem -outFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -size 256
```
В локальной системе Azure, в которой требуется восстановить виртуальную машину, выполните следующие команды из целевой локальной системы Azure:
1. Скопируйте файл VM ID и VM ID.json в локальную систему Azure.
2. Импортируйте ключ защиты гостевой виртуальной машины:
```
Import-MocKey -name <VM ID> -importKeyFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type AES -size 256
```
  Note
  
  Восстановите ключ гостевого состояния виртуальной машины (выполните описанные выше действия) перед запуском виртуальной машины в локальном экземпляре Azure, где необходимо восстановить виртуальную машину. Это гарантирует, что виртуальная машина использует восстановленный ключ защиты гостевой виртуальной машины. В противном случае создание виртуальной машины завершается сбоем, а новый ключ защиты гостевой виртуальной машины создается системой. Если это происходит по ошибке (человеческая ошибка), удалите ключ защиты гостевого состояния виртуальной машины, а затем повторите шаги по восстановлению ключа защиты гостевой виртуальной машины.
```
Remove-MocKey -name <vm id> -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault
```

Дальнейшие шаги

Управление расширениями виртуальных машин.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-04-23

Ручное резервное копирование и восстановление ключей защиты состояния гостей для доверенного запуска локальных виртуальных машин Azure, включенных с помощью Azure Arc

Резервное копирование ключей

Восстановление ключей

Дальнейшие шаги

Обратная связь

Дополнительные ресурсы