Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: Azure Local 2311.2 и более поздних версий
В этой статье представлен доверенный запуск для локальных виртуальных машин Azure, включенных Azure Arc. Вы можете создать доверенный запуск для локальной виртуальной машины Azure с помощью портала Azure или с помощью интерфейса командной строки Azure Command-Line.
Введение
Доверенный запуск для виртуальных машин Azure на локальных серверах обеспечивает безопасную загрузку, устанавливает устройство виртуальной доверенной платформы (vTPM), автоматически передает состояние vTPM при миграции виртуальной машины или переходе на другую машину в системе и поддерживает возможность засвидетельствовать, запущена ли виртуальная машина в известном хорошем состоянии.
Доверенный запуск — это тип безопасности, который можно указать при создании локальных виртуальных машин Azure. Для получения более подробной информации см. Доверенный запуск для локальных виртуальных машин Azure под управлением Azure Arc.
Возможности и преимущества
| Возможность | Преимущества |
|---|---|
| Безопасная загрузка | Помогает снизить риск вредоносных программ (rootkits) во время загрузки, убедившись, что компоненты загрузки подписаны доверенными издателями. |
| VTPM | Виртуализированная версия аппаратного доверенного платформенного модуля, используемая как специализированное хранилище для ключей, сертификатов и секретов. |
| Передача состояния vTPM | Сохраняет vTPM при миграции или отказоустойчивости виртуальной машины в кластере. |
| Безопасность на основе виртуализации (VBS) | Гость в виртуальной машине может создавать изолированные области памяти с использованием поддержки VBS. |
Примечание.
Проверка целостности гостевой загрузки виртуальной машины недоступна.
Руководство
IgvmAgent — это компонент, установленный на всех компьютерах в локальной системе Azure. Она обеспечивает поддержку изолированных виртуальных машин, таких как доверенный запуск для локальных виртуальных машин Azure, например.
Доверенный запуск для локальных виртуальных машин Azure в настоящее время поддерживает только набор образов Azure Marketplace. Список поддерживаемых образов см. в разделе "Образы гостевой операционной системы". При создании доверенной виртуальной машины запуска на портале Azure раскрывающийся список образов отображает только образы, поддерживаемые доверенным запуском. В раскрывающемся списке "Изображение" отображается пусто, если выбран неподдерживаемый образ, включая пользовательский образ. Список также отображается пустым, если ни один из образов, доступных в локальной системе Azure, не поддерживается доверенным запуском.
В рамках функции доверенного запуска для создания локальной виртуальной машины Hyper-V создает файлы виртуальных машин в стандартном расположении на диске для хранения состояния виртуальной машины. По умолчанию доступ к этим файлам виртуальной машины ограничен только администраторами сервера узла. Если эти файлы виртуальных машин хранятся в другом месте, необходимо убедиться, что доступ к этому месту ограничен только администраторами серверов хостов.
Сетевой трафик динамической миграции виртуальной машины не шифруется. Настоятельно рекомендуется включить технологию шифрования сетевого слоя, такую как IPsec, для защиты сетевого трафика в процессе миграции.
Образы гостевой операционной системы
Поддерживаются все образы Windows 11 (за исключением 24H2 SKU Windows 11) и образы Windows Server 2022 из Azure Marketplace, поддерживаемые локальными виртуальными машинами Azure. См. статью "Создание образа локальной виртуальной машины Azure" с помощью образов Azure Marketplace для списка всех поддерживаемых образов Windows 11.
Примечание.
Гостевые образы виртуальных машин, полученные за пределами Azure Marketplace, не поддерживаются.
Рекомендации по резервному копированию и аварийному восстановлению
При работе с доверенным запуском для локальных виртуальных машин Azure необходимо понимать следующие основные аспекты и ограничения, связанные с резервным копированием и восстановлением:
Различия между доверенным запуском локальных виртуальных машин Azure и стандартными локальными виртуальными машинами Azure: в отличие от стандартных локальных виртуальных машин Azure, доверенный запуск для локальных виртуальных машин использует ключ защиты гостевого состояния виртуальной машины для защиты состояния гостевой машины, включая состояние виртуальной платформы TPM (vTPM), в состоянии покоя. Ключ защиты виртуальной машины хранится в локальном хранилище ключей в локальной системе Azure, где находится виртуальная машина. Доверенный запуск для локальных виртуальных машин Azure сохраняет состояние гостя виртуальной машины в двух файлах: состояние гостя виртуальной машины и состояние среды выполнения виртуальной машины. Для резервного копирования и восстановления виртуальной машины с доверенным запуском решение резервного копирования должно создавать резервные копии и восстанавливать все файлы виртуальных машин, включая гостевое состояние и файлы состояния среды выполнения, а также должно обеспечивать резервное копирование и восстановление ключа защиты виртуальных машин.
Поддержка средств резервного копирования и аварийного восстановления. В настоящее время доверенный запуск для локальных виртуальных машин Azure не поддерживает сторонние средства резервного копирования и аварийного восстановления майкрософт, включая, но не ограничивается, Azure Backup, Azure Site Recovery, Veeam и Commvault. Если возникает необходимость переместить доверенный запуск для Azure Local TVM в альтернативный кластер, см. инструкцию по резервному копированию и восстановлению доверенного запуска для локальных виртуальных машин Azure , чтобы управлять всеми необходимыми файлами и ключом защиты виртуальных машин, чтобы убедиться, что виртуальная машина может быть успешно восстановлена.
Примечание.
Доверенным запуском для локальных виртуальных машин Azure, которые восстановлены в альтернативной локальной системе Azure, нельзя управлять через контрольную панель Azure.