Partage via


Créer une machine virtuelle à l’aide d’une base approuvée

Cet article explique comment utiliser Azure pour créer une machine virtuelle contenant un système d’exploitation préconfiguré et approuvé. Si ce n'est pas compatible avec votre solution, il est possible de créer et de configurer une machine virtuelle locale à l'aide d'un système d'exploitation approuvé.


Remarque

Avant de commencer cette procédure, passez en revue les exigences techniques pour les offres de machine virtuelle Azure, y compris les exigences de disque dur virtuel (VHD).

Sélectionner une image de base approuvée

Sélectionnez l’une des images Windows ou Linux suivantes comme base.

Windows

  • Windows Server
  • Microsoft SQL Server 2019, 2014, 2012
  • Windows 11 Entreprise (cette image de base n’est approuvée que pour une utilisation avec Microsoft Dev Box)

Linux

Azure offre toute une gamme de distributions de Linux approuvées. Pour obtenir la liste actuelle, consultez Linux sur les distributions approuvées par Azure.

Créer une machine virtuelle sur le portail Azure

  1. Connectez-vous au portail Azure.
  2. Sélectionnez Machines virtuelles.
  3. Sélectionnez + Créer et + Machine virtuelle dans le menu déroulant pour ouvrir l’écran Créer une machine virtuelle.
  4. Sélectionnez l’image dans la liste déroulante ou sélectionnez Afficher toutes les images pour rechercher ou parcourir toutes les images de machines virtuelles disponibles. Vous pouvez également configurer la génération de la machine virtuelle de votre image en fonction de l’image que vous sélectionnez.
  5. Sélectionnez la taille de la machine virtuelle à déployer.
  6. Fournissez les autres informations requises pour créer la machine virtuelle.
  7. Sélectionnez Vérifier + créer pour passer en revue vos choix. Lorsque le message Validation réussie s’affiche, sélectionnez Créer.

Azure commence le provisionnement de la machine virtuelle que vous avez spécifiée. Suivez sa progression en sélectionnant l’onglet Machines virtuelles dans le menu de gauche. Une fois créé, l’état de la machine virtuelle passe à En cours d’exécution.

Configurer la machine virtuelle

Cette section décrit comment dimensionner, mettre à jour et généraliser une machine virtuelle Azure. Ces étapes sont nécessaires pour préparer le déploiement de votre machine virtuelle sur la Place de marché Microsoft Azure.

Connexion à votre machine virtuelle

Reportez-vous à la documentation suivante pour vous connecter à votre machine virtuelle Windows ou Linux .

Installer les dernières mises à jour

Les images de base des machines virtuelles de système d’exploitation doivent contenir les dernières mises à jour jusqu’à leur date de publication. Avant de publier, veillez à mettre à jour le système d’exploitation et tous les services installés avec l’ensemble des derniers correctifs de sécurité et de maintenance.

  • Pour Windows Server, exécutez la commande Rechercher les mises à jour.
  • Pour les distributions Linux, les mises à jour sont couramment téléchargées et installées par le biais d’un outil en ligne de commande ou d’un utilitaire graphique. Par exemple, Ubuntu Linux fournit la commande apt-get et l’outil Update Manager pour la mise à jour du système d’exploitation.

Effectuer des vérifications de sécurité supplémentaires

Maintenez un niveau élevé de sécurité pour vos images de solution sur la Place de marché Azure. Pour obtenir une liste de contrôle des configurations et procédures de sécurité, consultez les recommandations de sécurité pour les images Place de marché Azure.

Personnaliser l’image de votre machine virtuelle

Installez maintenant le logiciel nécessaire et apportez des modifications de configuration personnalisées sur votre machine virtuelle pour que votre solution fonctionne correctement, y compris les tâches planifiées qui doivent s’exécuter après le déploiement. Tenez compte des éléments suivants lorsque vous apportez vos modifications personnalisées :

  • S’il s’agit d’une tâche planifiée, la tâche doit se supprimer une fois qu’elle s’est terminée avec succès.
  • Les configurations ne doivent pas s’appuyer sur des lecteurs autres que C ou D, car seuls ces deux lecteurs sont toujours présents (le lecteur C est le disque du système d’exploitation et le lecteur D est le disque local temporaire).
  • Apportez les modifications de configuration technique nécessaires à votre solution. Plus tard, vous marquerez les configurations que vous effectuez sur votre machine virtuelle dans la section Propriétés de la page configuration technique de l’Espace partenaires. Cela indiquera à vos clients quels scénarios sont pris en charge en fonction des modifications de configuration que vous apportez maintenant. Sélectionnez les propriétés de configuration technique suivantes lors de la publication :
    • Prend en charge la sauvegarde
    • Prend en charge les performances réseau accélérées
    • Prend en charge la configuration cloud-init
    • Prend en charge les extensions
    • Est une appliance virtuelle réseau
    • Bureau à distance ou SSH désactivé
    • Nécessite un modèle ARM personnalisé

Pour plus d’informations sur les personnalisations Linux, consultez l’article Extensions et fonctionnalités de machine virtuelle pour Linux.

Généraliser l’image

Toutes les images de la Place de marché Azure doivent être réutilisables de façon générale. Pour autoriser cela, le VHD du système d’exploitation doit être généralisé. Cette opération consiste à supprimer d’une machine virtuelle tous les pilotes logiciels et identificateurs propres à une instance.

Pour Windows

Les disques de système d’exploitation Windows sont généralisés à l’aide de l’outil Sysprep. Si vous mettez à jour ou reconfigurez le système d’exploitation par la suite, vous devrez réexécuter Sysprep.

Avertissement

Après avoir exécuté sysprep, désactivez la machine virtuelle jusqu’à ce qu’elle soit déployée, car les mises à jour peuvent s’exécuter automatiquement. Cet arrêt évite que des mises à jour ultérieures apportent des modifications propres à une instance au système d’exploitation ou aux services installés. Pour plus d’informations sur l’exécution de sysprep, consultez Généraliser une machine virtuelle Windows.

Remarque

Si Microsoft Defender pour le Cloud (Azure Defender) est activé dans l’abonnement où vous créez la machine virtuelle à capturer et que vous ne souhaitez pas que des machines virtuelles créées à partir de cette image soient inscrites auprès du portail Microsoft Defender pour point de terminaison, assurez-vous de désactiver Defender pour le cloud dans l’abonnement ou sur la machine virtuelle elle-même. S’il n’est pas désactivé, toute machine virtuelle créée à partir de cette image est inscrite dans le portail Defender pour point de terminaison, même si la machine virtuelle est déployée sur un autre locataire sans Microsoft Defender pour le cloud.

Pour Linux

  1. Supprimez l’agent Linux Azure.

    1. Connectez-vous à votre machine virtuelle Linux en utilisant un client SSH.
    2. Dans la fenêtre SSH, saisissez la commande suivante : sudo waagent –deprovision+user.
    3. Tapez Y pour continuer (vous pouvez ajouter le paramètre -force à la commande précédente pour éviter l’étape de confirmation).
    4. Une fois la commande exécutée, entrez Exit pour fermer le client SSH.
  2. Si Microsoft Defender pour point de terminaison (MDE) est installé sur votre image, désinstallez MDE en exécutant les commandes suivantes en fonction du système d’exploitation de votre image :

    • RHEL, CentOS et Oracle : sudo yum remove mdatp

    • SLES et variantes : sudo zypper remove mdatp

    • Ubuntu et Debian : sudo apt-get purge mdatp

    • Marin: sudo dnf remove mdatp

  3. Arrêtez la machine virtuelle.

    1. Dans le portail Azure, sélectionnez votre groupe de ressources et désallouez la machine virtuelle.
    2. Votre machine virtuelle est désormais généralisée, et vous pouvez créer une autre machine virtuelle à l’aide de ce disque de machine virtuelle.

Capturer l’image

Remarque

L’abonnement Azure contenant Azure Compute Gallery doit être sous le même locataire que le compte de l’éditeur pour pouvoir être publié. En outre, le compte de l’éditeur doit avoir au moins un accès Contributeur à l’abonnement contenant Azure Compute Gallery.

Une fois que votre machine virtuelle est prête, vous pouvez la capturer dans une galerie Azure Compute Gallery (anciennement connue comme Shared Image Gallery). Suivez les étapes ci-dessous pour la capturer :

  1. Dans la Portail Azure, accédez à la page de votre machine virtuelle.
  2. Sélectionnez Capturer.
  3. Sous Partager l’image dans Azure Compute Gallery, sélectionnez Oui, la partager dans une galerie en tant que version d’image.
  4. Sous État du système d’exploitation, sélectionnez Généralisé.
  5. Sélectionnez une galerie d’images cible ou créez-en une nouvelle.
  6. Sélectionnez une définition d’image cible ou créez-en une nouvelle.
  7. Indiquez un numéro de version pour l’image.
  8. Sélectionnez Vérifier + créer pour passer en revue vos choix.
  9. Une fois la validation réussie, sélectionnez Créer.

La publication de vos images de machine virtuelle sur Place de marché Azure à partir de votre galerie de calcul Azure vous oblige à définir des autorisations afin que l’Espace partenaires puisse acquérir les images hébergées dans votre galerie.

Important

Microsoft effectue la transition du processus d’acquisition d’images de votre galerie de calcul vers un processus plus sécurisé. Pour continuer à mettre à jour vos offres de machine virtuelle, vérifiez que les applications Microsoft suivantes sont autorisées à accéder en suivant ces étapes. Ces étapes doivent être effectuées une fois pour chaque galerie de calcul utilisée pour publier sur Place de marché Azure.

Prérequis

Pour accorder l’autorisation de l’Espace partenaires, vous devez vérifier que les conditions préalables suivantes sont remplies :

  1. Votre galerie de calcul Azure doit se trouver dans le même locataire Microsoft Entra lié à votre compte Espace partenaires
  2. Vous devez être propriétaire de l’abonnement dans lequel la galerie de calcul est présente.

Conseil

Il est recommandé d’utiliser une galerie de calcul dédiée à des fins de publication dans l’Espace partenaires et d’accorder uniquement l’autorisation à cette galerie dédiée. Vous n’avez pas besoin d’accorder des autorisations au niveau de l’abonnement.

Étape 1 : Provisionner les principaux de service

Vous devez d’abord provisionner des principaux de service dans votre abonnement Azure, ce qui est fait en inscrivant le fournisseur de ressources de l’Espace partenaires Microsoft. Un principal de service est une identité qui sera ensuite utilisée pour fournir à l’Espace partenaires un accès à votre galerie de calcul pour acquérir vos images. Cette étape n’accorde pas l’accès.

PowerShell
# Connect to your Azure account
Connect-AzAccount

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
Set-AzContext -Subscription <SubscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
Register-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

# Ensure the Resource Principal is registered successfully.
Get-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion
Azure CLI
# Connect to your Azure account
Az login

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
az account set --subscription <subscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
az provider register --namespace

# Ensure the Resource Principal is registered successfully.
az provider show --namespace Microsoft.PartnerCenterIngestion

Une fois que les principaux de service sont provisionnés, ils doivent disposer d’autorisations explicites pour lire des images à partir d’une galerie de calcul spécifique. L’Espace partenaires est en cours de transition vers un processus plus sécurisé pour l’acquisition de vos images. Pendant cette transition, nous vous demandons d’accorder temporairement l’accès à deux applications Microsoft afin de continuer à mettre à jour vos offres de machine virtuelle.

PowerShell
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
Get-AzGallery -ResourceGroupName <resource-group> -GalleryName <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
Get-AzADServicePrincipal -SearchString "Microsoft Partner Center Resource Provider"

# Create a role assignment to the first Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id1> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
Get-AzADServicePrincipal -SearchString "Compute Image Registry"

# Create a role assignment to the second Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id2> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>
Azure CLI
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
az sig show --resource-group <resource-group> --gallery-name <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
az ad sp list --display-name "Microsoft Partner Center Resource Provider" --query '[].id'

# Create a role assignment to the first Microsoft application.
az role assignment create --assignee-object-id <sp-id1> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
az ad sp list --display-name "Compute Image Registry" --query '[].id'

# Create a role assignment to the second Microsoft application.
az role assignment create --assignee-object-id <sp-id2> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>
Portail Azure
  1. Lo gin à Portail Azure

  2. Accédez à votre galerie de calcul Azure qui contient votre image de machine virtuelle.

  3. Accédez à l’onglet Contrôle d’accès dans votre galerie de calcul Azure.

  4. Sélectionnez Ajouter>Ajouter une attribution de rôle.

  5. Sélectionnez le rôle Lecteur d’images de la galerie de calcul, puis cliquez sur Suivant.

  6. Sélectionnez cette option pour attribuer l’accès à l’utilisateur, au groupe ou au principal du service.

  7. Cliquez sur + Sélectionner des membres et recherchez et sélectionnez les principaux de service « Fournisseur de ressources de l’Espace partenaires Microsoft » et « Registre d’images de calcul ». Sélectionnez Suivant.

  8. Cliquez sur Vérifier + Affecter.

  • Étape suivante recommandée : testez votre image de machine virtuelle pour vous assurer qu’elle répond aux exigences de publication Place de marché Azure. Ce paramètre est facultatif.
  • Si vous ne souhaitez pas tester votre image de machine virtuelle, connectez-vous à l'Espace partenaires pour la publier.
  • Si vous rencontrez des difficultés lors de la création de votre nouveau disque dur virtuel basé sur Azure, consultez Forum aux questions sur la Place de marché Microsoft Azure.