Azure Site Recovery 对 Azure 受信任启动虚拟机的支持

受信任启动可防范持久性高级攻击技术。 它由可单独启用的多种协调式基础结构技术组成。 每种技术都针对错综复杂的威胁提供另一层防御。 要部署 Azure 受信任启动 VM,请执行以下步骤

支持矩阵

使用 Azure Site Recovery 查找 Azure 受信任启动虚拟机的支持矩阵:

  • 区域:在所有 Azure Site Recovery 支持的区域中可用。
  • 操作系统:支持仅适用于 Windows OS。 目前不支持 Linux OS。
  • 专用终结点:可以使用配置了专用终结点的恢复服务保管库保护 Azure 受信任虚拟机,但条件如下:
    • 可以创建新的恢复服务保管库并在其中配置专用终结点。 然后,可以开始使用它保护 Azure 受信任 VM。
    • 无法使用在公共预览版之前创建的已配置专用终结点的恢复服务保管库来保护 Azure 受信任 VM。
  • 迁移:不支持将 Azure Site Recovery 保护的现有第 1 代 Azure VM 迁移到受信任 VM,也不支持 将第 2 代 Azure 虚拟机迁移到受信任 VM详细了解如何迁移第 2 代 Azure VM。
  • 磁盘网络访问:Azure Site Recovery 会创建默认启用公共访问的磁盘(副本和目标磁盘)。 要禁用这些磁盘的公共访问,请执行以下步骤
  • 启动完整性监视:不支持复制启动完整性监视状态。 如果要使用它,请在故障转移的虚拟机上显式启用它。
  • 共享磁盘:当前支持具有附加共享磁盘的受信任虚拟机。
  • 方案:仅适用于 Azure 到 Azure 方案。
  • 创建新的 VM 流:当前不支持在“创建新虚拟机流”中启用“管理”>“Site Recovery”选项。

面向受信任 VM 的 Azure Site Recovery

对于使用受信任虚拟机的 Azure Site Recovery,可以执行与使用标准 Azure虚拟机 的 Azure Site Recovery 相同的步骤。

将 Azure Site Recovery 保护的 Azure 第 2 代 VM 迁移到受信任 VM

由 Azure Site Recovery 保护的 Azure 第 2 代 VM 无法迁移到受信任启动。 虽然门户会阻止此迁移,但 PowerShell 和 CLI 等其他通道不会阻止。 在继续操作之前,请查看迁移先决条件并制订相应规划。 如果仍希望将由 Azure Site Recovery 保护的第 2 代 Azure VM 迁移到受信任启动,请执行以下步骤:

  1. 禁用 Azure Site Recovery 复制。
  2. 从 VM 卸载 Azure Site Recovery 代理。 要实现这一点,请执行下列操作:
    1. 转到 Azure 门户中的虚拟机。
    2. 选择“设置”>“扩展”
    3. 选择“Site Recovery 扩展”。
    4. 选择“卸载” 。
    5. 使用这些命令卸载 Azure Site Recovery 移动服务。
  3. 触发将第 2 代 VM 迁移到受信任启动 VM

注意

迁移虚拟机后,将会禁用现有保护,并删除现有恢复点。 迁移后的虚拟机不再受 Azure Site Recovery 保护。 如果需要,必须在受信任虚拟机上重新启用 Azure Site Recovery 保护。

后续步骤

要了解有关受信任虚拟机的详细信息,请参阅 Azure 虚拟机的受信任启动