Поделиться через

Управление резервным копированием и восстановлением для доверенного запуска локальных виртуальных машин Azure, включенных в Azure Arc.

Область применения: Azure Local 2311.2 и более поздних версий

В этой статье описывается, как вручную создать резервную копию и восстановить доверенный запуск для локальной виртуальной машины Azure, включенной Azure Arc.

В отличие от стандартных локальных виртуальных машин Azure, доверенный запуск для локальных виртуальных машин использует ключ защиты состояния гостевой виртуальной машины (GSP) для защиты состояния гостевой виртуальной машины, включая состояние виртуального доверенного платформенного модуля (vTPM), во время хранения. Ключ GSP виртуальной машины хранится в локальном хранилище ключей в локальной системе Azure, где находится виртуальная машина.

Безопасный запуск для локальных виртуальных машин Azure сохраняет состояние гостевой ОС виртуальной машины в двух файлах: VM Guest state (VMGS) и VM Runtime state (VMRS). Если ключ GSP виртуальной машины потерян, вы не сможете запустить доверенный запуск для локальной виртуальной машины Azure.

Важно периодически создавать резервные копии доверенного запуска для локальной виртуальной машины Azure, чтобы можно было восстановить виртуальную машину в случае потери данных. Чтобы создать резервную копию доверенной виртуальной машины запуска, создайте резервную копию всех файлов виртуальных машин, включая VMGS и VMRS-файлы. Кроме того, создайте резервную копию ключа GSP виртуальной машины в хранилище ключей резервного копирования.

Аналогичным образом, чтобы восстановить доверенный запуск для локальной виртуальной машины Azure в целевую локальную систему Azure, восстановите все файлы виртуальных машин, включая VMGS и VMRS-файлы. Кроме того, восстановите ключ GSP виртуальной машины из хранилища ключей резервного копирования в другое хранилище ключей в целевой локальной системе Azure.

В следующих разделах описано, как создать резервную копию доверенного запуска для локальной виртуальной машины Azure и восстановить его в случае потери данных.

Резервное копирование виртуальной машины

Вы можете использовать export-VM для получения копии всех файлов виртуальных машин, включая VMGS и VMRS-файлы для доверенного запуска для локальной виртуальной машины Azure. Затем вы можете создать резервную копию этих файлов виртуальной машины.

Выполните следующие действия, чтобы скопировать ключ GSP виртуальной машины из хранилища ключей в локальной системе Azure (где находится виртуальная машина) в хранилище ключей резервного копирования в другой локальной системе Azure:

1. В локальной системе Azure с хранилищем ключей резервного копирования

Выполните следующие команды в локальной системе Azure с помощью хранилища ключей резервного копирования.

  1. Создайте ключ-оболочку в хранилище ключей резервного копирования.

    New-MocKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type RSA -size 2048

  2. Скачайте файл почты с расширенной конфиденциальностью (PEM).

    Get-MocKeyPublicKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -outputFile wrappingKey.pem

2. В локальной системе Azure, в которой находится виртуальная машина

Выполните следующие команды в локальной системе Azure.

  1. Скопируйте PEM-файл в локальную систему Azure.

  2. Подтвердите узел, который является владельцем виртуальной машины.

    Get-ClusterGroup <VM name>

  3. Выполните следующий командлет на узле владельца, чтобы определить идентификатор виртуальной машины.

    (Get-VM -Name <VM name>).vmid

  4. Экспортируйте ключ GSP для виртуальной машины.

    Export-MocKey -name <VM ID> -wrappingKeyName wrappingKey -wrappingPubKeyFile wrappingKey.pem -outFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -size 256

3. В локальной системе Azure с хранилищем ключей резервного копирования

Выполните следующие действия в локальной системе Azure.

  1. Скопируйте файл <VM ID> и <VM ID>.json в локальную систему Azure.

  2. Импортируйте ключ GSP для виртуальной машины в хранилище ключей резервного копирования.

    Import-MocKey -name <VM ID> -importKeyFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type AES -size 256

Восстановление виртуальной машины

В случае потери данных используйте резервную копию файлов виртуальной машины и восстановите виртуальную машину в целевой локальной системе Azure с помощью import-VM. Это восстанавливает все файлы виртуальных машин, включая VMGS и VMRS-файлы.

Выполните следующие действия, чтобы скопировать ключ GSP виртуальной машины из хранилища ключей резервного копирования в локальной системе Azure (где хранится резервная копия ключа GSP виртуальной машины) в хранилище ключей целевой локальной системы Azure (где виртуальная машина должна быть восстановлена).

Заметка

Доверенный запуск для локальных виртуальных машин Azure, восстановленных на альтернативной локальной системе Azure (отличной от той, где изначально находилась виртуальная машина), не может быть управляем через систему управления Azure.

1. В исходной локальной системе Azure, в которой необходимо восстановить виртуальную машину

Выполните следующие команды в локальной системе Azure.

  1. Создайте ключ-оболочку в хранилище ключей.

    New-MocKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type RSA -size 2048

  2. Скачайте файл почты с расширенной конфиденциальностью (PEM).

    Get-MocKeyPublicKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -outputFile wrappingKey.pem

2. В локальной системе Azure с хранилищем ключей резервного копирования

Выполните следующие команды в локальной системе Azure.

  1. Скопируйте PEM-файл в локальную систему Azure.

  2. Получите <VM ID> из файлов виртуальной машины, хранящихся на диске (где бы это ни находилось). Будет файл конфигурации виртуальной машины (.xml), имеющий <VM ID> в качестве имени. Вы также можете использовать следующую команду, чтобы получить <VM ID>, если вы знаете имя виртуальной машины. Этот шаг необходимо выполнить на узле Hyper-V с файлами виртуальной машины.

    (Get-VM -Name <VM name>).vmid

  3. Экспортируйте ключ GSP виртуальной машины.

    Export-MocKey -name <VM ID> -wrappingKeyName wrappingKey -wrappingPubKeyFile wrappingKey.pem -outFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -size 256

3. В локальной системе Azure, в которой необходимо восстановить виртуальную машину

Выполните следующие команды из целевой локальной системы Azure.

  1. Скопируйте файл <VM ID> и <VM ID>.json в локальную систему Azure.

  2. Импортируйте ключ GSP для виртуальной машины.

    Import-MocKey -name <VM ID> -importKeyFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type AES -size 256

    Заметка

    Восстановите ключ GSP виртуальной машины (выполните описанные выше действия) перед запуском виртуальной машины в локальной системе Azure (где необходимо восстановить виртуальную машину). Это гарантирует, что виртуальная машина использует восстановленный ключ GSP виртуальной машины. В противном случае создание виртуальной машины завершается сбоем, а новый ключ GSP виртуальной машины создается системой. Если это происходит по ошибке (человеческая ошибка), удалите ключ GSP виртуальной машины и повторите шаги по восстановлению ключа GSP виртуальной машины.

    Remove-MocKey -name <vm id> -group AzureStackHostAttestation -keyvaultName > AzureStackTvmKeyVault

Следующие шаги