Vérification Azure pour les machines virtuelles

> S’applique à : Azure Stack HCI, version 23H2 et ultérieures.

Microsoft Azure offre un éventail de charges de travail et de fonctionnalités exclusives, conçues pour s’exécuter uniquement sur Azure. Avec Azure Stack HCI, vous bénéficiez d’un grand nombre d’avantages offerts par Azure, tout en utilisant les environnements locaux et de périphérie à hautes performances qui vous sont familiers.

La vérification Azure pour les machines virtuelles permet aux charges de travail exclusives Azure prises en charge de fonctionner en dehors du cloud. Cette fonctionnalité, modélisée d’après le service d’attestation IMDS dans Azure, est un service d’attestation de plateforme intégré qui est activé par défaut sur Azure Stack HCI 23H2 ou version ultérieure. Il permet de fournir des garanties pour que ces machines virtuelles fonctionnent dans d’autres environnements Azure.

Pour plus d’informations sur la version précédente de cette fonctionnalité sur Azure Stack HCI 22H2 ou une version antérieure, consultez Azure Benefits sur Azure Stack HCI.

Avantages disponibles sur Azure Stack HCI

La vérification Azure pour la machine virtuelle vous permet d’utiliser ces avantages disponibles uniquement sur Azure Stack HCI :

Charge de travail Présentation Comment obtenir des avantages
Correctifs de sécurité étendus Obtenez des mises à jour de sécurité sans coût supplémentaire pour les machines virtuelles SQL et Windows Server de fin de prise en charge sur Azure Stack HCI.
Pour plus d’informations, consultez Free Extended Security Mises à jour (ESU) sur Azure Stack HCI.
Vous devez activer la prise en charge du système d’exploitation hérité pour les anciennes machines virtuelles exécutant la version Windows Server 2012/Windows 7 ou antérieure.
Azure Virtual Desktop (AVD) Les hôtes de session AVD peuvent s’exécuter uniquement sur l’infrastructure Azure. Activez vos machines virtuelles Windows multisession sur Azure Stack HCI à l’aide de la vérification de machine virtuelle Azure.
Les exigences de licence pour AVD s’appliquent toujours. Consultez Tarification d’Azure Virtual Desktop.
Activé automatiquement pour les machines virtuelles exécutant la version Windows 11 multisession avec mise à jour 11B (22H2 : KB5032190, 21H2 : KB5032192) ou ultérieure. Vous devez activer la prise en charge du système d’exploitation hérité pour les machines virtuelles exécutant la version Windows 10 plusieurs sessions.
Windows Server Datacenter : Azure Edition Les machines virtuelles Azure Edition peuvent s’exécuter uniquement sur l’infrastructure Azure. Activez vos machines virtuelles Windows Server Édition Azure et utilisez les dernières innovations de Windows Server et d’autres fonctionnalités exclusives.
Les exigences de licence s’appliquent toujours. Découvrez comment obtenir une licence de machines virtuelles Windows Server sur Azure Stack HCI.
Activé automatiquement pour les machines virtuelles exécutant Windows Server Azure Edition 2022 avec la mise à jour 11B (KB5032198) ou ultérieure.
Azure Policy Guest Configuration Obtenez Azure Policy configuration de l’invité gratuitement. Cette extension Arc permet l’audit et la configuration des paramètres du système d’exploitation en tant que code pour les serveurs et les machines virtuelles. Agent Arc version 1.13 ou ultérieure.

Architecture

Cette section est facultative et explique comment la vérification des machines virtuelles Azure sur HCI fonctionne « sous le capot ».

La vérification des machines virtuelles Azure s’appuie sur un service d’attestation de plateforme intégré sur Azure Stack HCI. Ce service est modélisé d’après le même service d’attestation IMDS qui s’exécute dans Azure et retourne une charge utile presque identique. La principale différence réside dans le fait qu’il s’exécute localement, ce qui garantit donc que les machines virtuelles s’exécutent sur Azure Stack HCI et non sur Azure.

Diagramme montrant l’architecture de vérification Azure.

  1. La vérification des machines virtuelles Azure est activée par défaut avec Azure Stack HCI exécutant la version 23H2 ou ultérieure. Au démarrage du serveur, HciSvc génère un service d’intégration sur des sockets Hyper-V (par exemple, VMBus) pour faciliter la communication sécurisée entre les machines virtuelles et les serveurs.

    Prise en charge du système d’exploitation hérité : les charges de travail qui ne peuvent pas effectuer d’appels d’API Win32 ou interroger directement un service d’intégration doivent activer la prise en charge du système d’exploitation hérité. Cela fournit un point de terminaison REST privé et non routable aux machines virtuelles sur le même serveur.

    Pour activer ce point de terminaison, un commutateur virtuel interne est configuré sur le serveur Azure Stack HCI (nommé AZSHCI_HOST-IMDS_DO_NOT_MODIFY). Après cela, les machines virtuelles doivent avoir une carte réseau configurée (AZSHCI_GUEST-IMDS_DO_NOT_MODIFY) et attachée au même commutateur virtuel.

    Notes

    La modification ou la suppression de ce commutateur et de la carte réseau empêchent la vérification des machines virtuelles Azure de fonctionner correctement. Si vous rencontrez des erreurs, essayez de désactiver, puis de réactiver la prise en charge du système d’exploitation hérité.

  2. Chaque fois qu’Azure Stack HCI se synchronise avec Azure, HciSvc obtient un certificat auprès d’Azure et le stocke en toute sécurité dans une enclave sur chaque serveur.

    Notes

    Les certificats sont renouvelés chaque fois que le cluster Azure Stack HCI est synchronisé avec Azure et chaque renouvellement est valable pendant 30 jours. Tant que vous conservez les exigences de connectivité habituelles de 30 jours pour Azure Stack HCI, aucune action de l’utilisateur n’est requise pour renouveler les certificats.

  3. Pour activer les avantages, les charges de travail des consommateurs demandent une attestation auprès des serveurs. Ils essaient d’envoyer des requêtes via VMBus, ou ils peuvent également interroger le point de terminaison REST à l’aide des composants réseau configurés dans la prise en charge du système d’exploitation hérité. Les deux approches pour la communication entre machines virtuelles et serveurs sont prises en charge et peuvent coexister sur le même cluster.

    Notes

    Lorsque vous utilisez la prise en charge du système d’exploitation hérité, vous devez activer manuellement l’accès pour les machines virtuelles qui nécessitent l’activation des avantages.

    HciSvc retourne ensuite une réponse signée à l’aide du certificat Azure qu’il a stocké. Les consommateurs vérifient la réponse et activent les avantages associés.

Tutoriel : gestion de la vérification des machines virtuelles Azure

La vérification des machines virtuelles Azure est automatiquement activée par défaut dans Azure Stack HCI 23H2 ou version ultérieure. Les instructions suivantes décrivent les conditions préalables à l’utilisation de cette fonctionnalité et les étapes de gestion des avantages (facultatif).

Notes

Pour activer les Mises à jour de sécurité étendue (ESU), vous devez effectuer une configuration supplémentaire et activer la prise en charge du système d’exploitation hérité.

Prérequis

Vous pouvez gérer la vérification des machines virtuelles Azure à l’aide de Windows Admin Center ou de PowerShell, ou afficher ses status à l’aide d’Azure CLI ou du Portail Azure. Les sections suivantes décrivent chacune de ces options.

Vérifier la status serveur de la vérification des machines virtuelles Azure

  1. Dans Windows Admin Center, sélectionnez Gestionnaire de cluster dans le menu déroulant supérieur, accédez au cluster que vous souhaitez activer, puis sous Paramètres, sélectionnez Vérification Azure pour les machines virtuelles.

  2. Pour case activée serveur de vérification de machine virtuelle Azure status :

    • status au niveau du cluster : status hôte s’affiche sur Activé.

    • status au niveau du serveur : sous l’onglet Serveur dans le tableau de bord, case activée que le status de chaque serveur indique Actif dans le tableau.

      Capture d’écran montrant l’status du serveur.

Résoudre les problèmes liés aux serveurs

  • Sous l’onglet Serveur , si un ou plusieurs serveurs apparaissent comme Ayant expiré :
    • Si le serveur n’a pas été synchronisé avec Azure depuis plus de 30 jours, son status apparaît comme Expiré ou Inactif. Cliquez sur Synchroniser avec Azure pour planifier une synchronisation manuelle.

Gérer les avantages activés sur les machines virtuelles

  1. Pour case activée les avantages activés sur les machines virtuelles, accédez à l’onglet Machines virtuelles.

  2. Le tableau de bord indique le nombre de machines virtuelles avec :

    • Avantages actifs : ces machines virtuelles ont des fonctionnalités exclusives à Azure activées via la vérification des machines virtuelles Azure.
    • Avantages inactifs : ces machines virtuelles ont des fonctionnalités exclusives à Azure qui nécessitent une action supplémentaire avant l’activation.
    • Inconnu : nous ne pouvons pas déterminer les avantages éligibles pour ces machines virtuelles, car l’échange de données Hyper-V est désactivé. Consultez la section de résolution des problèmes suivante.
    • Aucun avantage applicable : ces machines virtuelles n’ont pas de fonctionnalités exclusives à Azure et ne nécessitent donc pas de vérification de machine virtuelle Azure.
  3. Le tableau affiche l’avantage éligible applicable à chaque machine virtuelle. Consultez la liste complète des avantages disponibles sur Azure Stack HCI.

    Capture d’écran montrant le tableau de bord et le status de la machine virtuelle.

Résoudre les problèmes liés aux machines virtuelles

  • Sous l’onglet Machines virtuelles , si une ou plusieurs machines virtuelles apparaissent comme des avantages inactifs :

  • Sous l’onglet Machines virtuelles , si une ou plusieurs machines virtuelles apparaissent comme inconnues :

Prise en charge du système d’exploitation hérité

Pour les machines virtuelles plus anciennes qui ne disposent pas de la fonctionnalité Hyper-V nécessaire (interface de service invité) pour communiquer directement avec l’hôte, vous devez configurer les composants réseau traditionnels pour la vérification des machines virtuelles Azure. Si vous avez ces charges de travail, telles que les Mises à jour de sécurité étendus (ESU), suivez les instructions de cette section pour configurer la prise en charge du système d’exploitation hérité.

1. Activer la prise en charge du système d’exploitation hérité sur l’hôte

  1. Dans Windows Admin Center, sélectionnez Gestionnaire de cluster dans le menu déroulant supérieur, accédez au cluster que vous souhaitez activer, puis sous Paramètres, sélectionnez Vérifications Azure pour les machines virtuelles.

  2. Dans la section Prise en charge du système d’exploitation hérité, sélectionnez Modifier status. Sélectionnez Activé dans le volet contextuel. Ce paramètre active également l’accès réseau à toutes les machines virtuelles existantes. Vous devez activer manuellement la prise en charge du système d’exploitation hérité pour toutes les nouvelles machines virtuelles que vous créez ultérieurement.

  3. Sélectionnez Modifier status pour confirmer. Quelques minutes peuvent être nécessaires pour que les serveurs reflètent les modifications.

  4. Lorsque la prise en charge du système d’exploitation héritée est correctement activée :

    • Vérifiez que la prise en charge du système d’exploitation hérité s’affiche sur Activé.

    • Sous l’onglet Serveur du tableau de bord, case activée que la prise en charge du système d’exploitation héritée pour chaque serveur affiche la valeur Activé dans le tableau.

      Capture d’écran montrant le tableau de bord avec les informations de support du système d’exploitation hérité.

2. Activer l’accès pour les nouvelles machines virtuelles

Vous devez activer la mise en réseau du système d’exploitation héritée pour toutes les nouvelles machines virtuelles que vous créez après la première installation. Pour gérer l’accès aux machines virtuelles, accédez à l’onglet Machines virtuelles . Toute machine virtuelle qui nécessite un accès à la prise en charge du système d’exploitation hérité apparaît comme inactive. Sélectionnez l’action Configurer la mise en réseau du système d’exploitation héritée pour la machine virtuelle sélectionnée ou pour toutes les machines virtuelles existantes sur le cluster.

Capture d’écran montrant le tableau de bord de machine virtuelle héritée.

Notes

Pour activer correctement la prise en charge du système d’exploitation hérité sur les machines virtuelles de génération 1, la machine virtuelle doit d’abord être mise hors tension pour permettre l’ajout de la carte réseau.

Forum aux questions

Cette section fournit des réponses à certaines questions fréquemment posées sur l’utilisation d’Azure Benefits.

Quelles charges de travail exclusives Azure puis-je activer avec la vérification de machine virtuelle Azure ?

La liste complète est disponible ici.

L’activation de la vérification des machines virtuelles Azure coûte-t-elle quelque chose ?

Non, l’activation de la vérification des machines virtuelles Azure n’entraîne aucun frais supplémentaire.

Puis-je utiliser la vérification des machines virtuelles Azure sur des environnements autres qu’Azure Stack HCI ?

Non, la vérification des machines virtuelles Azure est une fonctionnalité intégrée au système d’exploitation Azure Stack HCI et ne peut être utilisée que sur Azure Stack HCI.

Si je viens de passer de 22H2 à 23H2 et que j’ai précédemment activé la fonctionnalité Azure Benefits, dois-je faire quelque chose de nouveau ?

Si vous avez mis à niveau un cluster sur lequel Azure Benefits sur Azure Stack HCI était précédemment configuré pour vos charges de travail, vous n’avez rien à faire lorsque vous effectuez une mise à niveau vers 23H2. Lorsque vous effectuez une mise à niveau, la fonctionnalité reste activée et la prise en charge du système d’exploitation héritée est également activée. Toutefois, si vous souhaitez utiliser un moyen amélioré d’effectuer une communication de machine virtuelle à hôte via VMBus dans 23H2, assurez-vous que vous disposez des conditions préalables requises.

Je viens de configurer la vérification des machines virtuelles Azure sur mon cluster. Comment faire vérifier que la vérification des machines virtuelles Azure reste active ?

  • Dans la plupart des cas, aucune action de l’utilisateur n’est requise. Azure Stack HCI renouvelle automatiquement la vérification des machines virtuelles Azure lors de la synchronisation avec Azure.
  • Toutefois, si le cluster se déconnecte pendant plus de 30 jours et que la vérification de la machine virtuelle Azure s’affiche comme ayant expiré, vous pouvez synchroniser manuellement à l’aide de PowerShell et Windows Admin Center. Pour plus d’informations, consultez Synchronisation d’Azure Stack HCI.

Que se passe-t-il si je déploie de nouvelles machines virtuelles ou si je supprime des machines virtuelles ?

  • Lorsque vous déployez de nouvelles machines virtuelles qui nécessitent une vérification de machine virtuelle Azure, elles sont automatiquement activées si elles disposent des conditions préalables appropriées.

  • Toutefois, pour les machines virtuelles héritées qui utilisent la prise en charge du système d’exploitation hérité, vous pouvez ajouter manuellement de nouvelles machines virtuelles pour accéder à la vérification des machines virtuelles Azure à l’aide de Windows Admin Center ou de PowerShell, en suivant les instructions précédentes.

  • Vous pouvez toujours supprimer et migrer des machines virtuelles comme d’habitude. La carte réseau AZSHCI_GUEST-IMDS_DO_NOT_MODIFY existe toujours sur la machine virtuelle après la migration. Pour propre la carte réseau avant la migration, vous pouvez supprimer des machines virtuelles de la vérification des machines virtuelles Azure à l’aide de Windows Admin Center ou de PowerShell en suivant les instructions précédentes pour la prise en charge du système d’exploitation hérité, ou vous pouvez d’abord migrer et supprimer manuellement les cartes réseau par la suite.

Que se passe-t-il si j’ajoute ou supprime des serveurs ?

  • Lorsque vous ajoutez un serveur, il est automatiquement activé s’il dispose des conditions préalables appropriées.
  • Si vous utilisez la prise en charge du système d’exploitation hérité, vous devrez peut-être activer manuellement ces serveurs. Exécutez Enable-AzStackHCIAttestation [[-ComputerName] <String>] dans PowerShell. Vous pouvez toujours supprimer des serveurs ou les retirer du cluster comme d’habitude. Le vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY existe toujours sur le serveur après la suppression du cluster. Vous pouvez le laisser si vous envisagez de rajouter le serveur au cluster ultérieurement, ou vous pouvez le supprimer manuellement.

Étapes suivantes