简要介绍 Azure Arc 启用的 Azure Local VM 的受信任启动

适用于：Azure Local 2311.2 及更高版本

本文介绍由 Azure Arc 启用的 Azure 本地虚拟机（VM）的受信任启动。可以使用 Azure 门户或使用 Azure Command-Line 接口（CLI）为 Azure 本地 VM 创建受信任的启动。

Introduction

Azure 预置 VM 的受信任启动功能可启用安全启动、安装虚拟受信任平台模块 (vTPM) 设备，并在 VM 迁移或故障转移到系统中的另一台机器时自动传输 vTPM 状态。同时，它支持证明 VM 是否以已知良好状态启动。

受信任的启动是可在创建 Azure 本地 VM 时指定的安全类型。 有关详细信息，请参阅 由 Azure Arc 启用的适用于 Azure 本地 VM 的可信启动。

功能和优点

Guidance

• IgvmAgent 是在 Azure 本地系统的所有计算机上安装的组件。 例如，它支持独立 VM，例如 Azure Local VM 的受信任启动。

• Azure 本地 VM 的受信任启动目前仅支持一组选择的 Azure 市场映像。 有关受支持的映像的列表，请参阅来宾作系统映像。 在 Azure 门户中创建受信任启动 VM 时，“映像”下拉列表仅显示受信任启动支持的映像。 如果选择不受支持的映像（包括自定义映像），“映像”下拉列表将显示为空白。 如果受信任启动不支持 Azure Local 系统上可用的映像，则该列表也显示为空白。

• 作为 Azure 本地 VM 创建受信任启动的一部分，Hyper-V 在磁盘上的默认位置创建 VM 文件以存储 VM 状态。 默认情况下，对这些 VM 文件的访问权限仅限于主机服务器管理员。 如果将这些 VM 文件存储在其他位置，则必须确保该位置仅对主机服务器管理员进行访问。

• VM 实时迁移网络流量未加密。 强烈建议启用网络层加密技术（如 IPsec）以保护实时迁移网络流量。

来宾操作系统映像

支持通过 Azure 本地虚拟机支持的来自 Azure 市场的所有 Windows 映像和 Windows Server 映像。 有关所有支持的 Windows 11 映像列表，请参阅 在 Azure 中使用 Azure 市场映像创建本地 VM 映像。

备份和灾难恢复注意事项

使用受信任的启动 Azure 本地 VM 时，请确保了解与 VM 备份和恢复相关的以下重要注意事项和限制。

VM 备份

• 备份所有 VM 文件。 只要遵循标准 Hyper-V 备份方法，就可以使用任何备份解决方案或工具来备份所有 VM 文件。

• 备份虚拟机客体状态保护密钥。 与标准 Azure 本地 VM 不同，受信任启动 Azure 本地 VM 使用 VM 来宾状态保护密钥来保护处于静止状态的 VM 来宾状态（包括虚拟 TPM (vTPM) 状态）。 VM 来宾状态保护密钥存储在 VM 所在的 Azure 本地实例的本地密钥保管库中。 创建受信任的启动 VM 后，必须立即手动备份 VM 来宾状态保护密钥，如手动备份和恢复 VM 来宾状态保护密钥中所述。 如果没有来宾状态保护密钥，则无法启动 VM。

VM 恢复

• 还原所有 VM 文件。 只要备份解决方案或工具遵循标准 Hyper-V 备份方法，就可以使用任何备份解决方案或工具还原所有 VM 文件。

• 恢复 VM 虚拟机访客状态保护密钥。 必须按照 手动备份和恢复 VM 来宾状态保护密钥中所述，将 VM 来宾状态保护密钥还原到 Azure 本地实例的本地密钥保管库。

还原到同一 Azure 本地实例

• 在某些情况下，VM 可能还原到同一 Azure 本地实例，与 VM 在发生故障前驻留的 Azure 本地实例相同。 成功将受信任的启动 VM 还原到同一 Azure 本地实例时，可以通过 Azure 本地控制平面管理 VM，就像以前一样。

还原到不同的 Azure 本地实例

• 在某些情况下，VM 可能会还原到不同的 Azure 本地实例，不同于 VM 在发生故障前驻留的 Azure 本地实例。 成功将受信任的启动 VM 还原到其他 Azure 本地实例时，无法再通过 Azure Arc 控制平面管理 VM，但可以使用本地 VM 管理工具对其进行管理。

VM 复制

不支持通过 Azure Site Recovery 将您在本地环境的 Azure 实例上的虚拟机复制到 Azure。

后续步骤

• 为 Azure 本地 VM 创建受信任的启动。