通过

Azure Site Recovery 对 Azure 受信任启动虚拟机的支持

受信任启动可防范持久性高级攻击技术。 它由可单独启用的多种协调式基础结构技术组成。 每种技术都针对错综复杂的威胁提供另一层防御。 要部署 Azure 受信任启动 VM,请执行以下步骤

支持矩阵

使用 Azure Site Recovery 查找 Azure 受信任启动虚拟机的支持矩阵:

  • 操作系统:对 Windows 和 Linux 操作系统的支持已普遍可用。 详细了解 受支持的 Linux 分发版和内核。
  • 区域:在所有 Azure Site Recovery 支持的区域中可用。
  • 专用终结点:可以使用专用终结点配置的恢复服务保管库保护 Azure 受信任的虚拟机
  • 迁移:不支持将 Azure Site Recovery 保护的现有第 1 代 Azure VM 迁移到受信任 VM,也不支持 将第 2 代 Azure 虚拟机迁移到受信任 VM详细了解如何迁移第 2 代 Azure VM。
  • 磁盘网络访问:Azure Site Recovery 会创建默认启用公共访问的磁盘(副本和目标磁盘)。 要禁用这些磁盘的公共访问,请执行以下步骤
  • 启动完整性监视:不支持复制启动完整性监视状态。 如果要使用它,请在故障转移的虚拟机上显式启用它。
  • 共享磁盘:当前仅 Windows OS 支持具有附加共享磁盘的受信任虚拟机。
  • 方案:仅适用于 Azure 到 Azure 方案。
  • 创建新的 VM 流:“创建新的虚拟机流”中的“启用>Site Recovery”选项目前仅支持 Windows OS。 尚不支持 Linux OS。
  • VM 创建时间:仅支持在 1-Apr-2024 之后创建的 Linux 可信 VM。 不支持在此日期之前创建的 Linux 受信任的 VM。

支持的 Linux 分发版和内核

受信任的启动虚拟机支持以下 Linux 分发版和内核:

以下是支持的发行版:

  • Ubuntu:18.04、20.04、22.04、24.04
  • RHEL:8.3、8.4、8.5、8.6、8.7、8.8、8.9、8.10、9.0、9.1、9.2、9.3、9.4、9.5
  • SUSE 15:SP3、SP4、SP5、SP6
  • Alma Linux:8.10、9.4、9.5
  • Debian:12

Azure Site Recovery 支持与列出的 Linux 分发版中的 Azure 标准 VM 相同的 Azure 受信任 VM 内核。 对于 SUSE,Azure Site Recovery 仅支持以下内核用于 Azure 受信任的启动 VM,条件是这些内核也获得 Azure Site Recovery 的 Azure 标准 VM 支持。

  • SUSE 15 SP3:5.3.18-150300.59.179.1 及更高版本
  • SUSE 15 SP4:5.14.21-150400.24.141.1 及更高版本
  • SUSE 15 SP5:5.14.21-150500.55.83.1 及更高版本
  • SUSE 15 SP6:6.4.0-150600.23.25.1 及更高版本

面向受信任 VM 的 Azure Site Recovery

对于使用受信任虚拟机的 Azure Site Recovery,可以执行与使用标准 Azure虚拟机 的 Azure Site Recovery 相同的步骤。

将 Azure Site Recovery 保护的 Azure 第 2 代 VM 迁移到受信任 VM

由 Azure Site Recovery 保护的 Azure 第 2 代 VM 无法迁移到受信任启动。 虽然门户会阻止此迁移,但 PowerShell 和 CLI 等其他通道不会阻止。 在继续操作之前,请查看迁移先决条件并制订相应规划。 如果仍希望将由 Azure Site Recovery 保护的第 2 代 Azure VM 迁移到受信任启动,请执行以下步骤:

  1. 禁用 Azure Site Recovery 复制。
  2. 从 VM 卸载 Azure Site Recovery 代理。 要实现这一点,请执行下列操作:
    1. 转到 Azure 门户中的虚拟机。
    2. 选择“设置”“扩展”>
    3. 选择“Site Recovery 扩展”。
    4. 选择“卸载” 。
    5. 使用这些命令卸载 Azure Site Recovery 移动服务。
  3. 触发将第 2 代 VM 迁移到受信任启动 VM

注意

迁移虚拟机后,将会禁用现有保护,并删除现有恢复点。 迁移后的虚拟机不再受 Azure Site Recovery 保护。 如果需要,必须在受信任虚拟机上重新启用 Azure Site Recovery 保护。

后续步骤

要了解有关受信任虚拟机的详细信息,请参阅 Azure 虚拟机的受信任启动