Vérification Azure pour les machines virtuelles

S’applique à : Azure Stack HCI, version 23H2

Microsoft Azure offre un éventail de charges de travail et de fonctionnalités exclusives, conçues pour s’exécuter uniquement sur Azure. Avec Azure Stack HCI, vous bénéficiez d’un grand nombre d’avantages offerts par Azure, tout en utilisant les environnements locaux et de périphérie à hautes performances qui vous sont familiers.

La vérification Azure pour les machines virtuelles permet aux charges de travail exclusives Azure prises en charge de fonctionner en dehors du cloud. Cette fonctionnalité, modélisée après le service d’attestation IMDS dans Azure, est un service d’attestation de plateforme intégré activé par défaut sur Azure Stack HCI 23H2 ou version ultérieure. Il permet de fournir des garanties pour que ces machines virtuelles fonctionnent dans d’autres environnements Azure.

Pour plus d’informations sur la version précédente de cette fonctionnalité sur Azure Stack HCI, version 22H2 ou antérieure, consultez Azure Benefits sur Azure Stack HCI.

Avantages disponibles sur Azure Stack HCI

La vérification Azure pour la machine virtuelle vous permet d’utiliser ces avantages uniquement sur Azure Stack HCI :

Charge de travail	Présentation	Comment obtenir des avantages
Correctifs de sécurité étendus	Obtenez des mises à jour de sécurité sans frais supplémentaires pour les machines virtuelles SQL et Windows Server de bout en charge sur Azure Stack HCI. Pour plus d’informations, consultez Mises à jour de sécurité étendues gratuites (ESU) sur Azure Stack HCI.	Vous devez activer la prise en charge du système d’exploitation héritée pour les machines virtuelles antérieures exécutant la version de Windows Server 2012 ou une version antérieure avec les dernières mises à jour de la pile de maintenance.
Azure Virtual Desktop (AVD)	Les hôtes de session AVD peuvent s’exécuter uniquement sur l’infrastructure Azure. Activez vos machines virtuelles Windows multisession sur Azure Stack HCI à l’aide de la vérification des machines virtuelles Azure. Les exigences de licence pour AVD s’appliquent toujours. Consultez la tarification d’Azure Virtual Desktop.	Activé automatiquement pour les machines virtuelles exécutant la version multisession Windows 11 avec la mise à jour 4B publiée le 9 avril 2024 (22H2 : KB5036893, 21H2 : KB5036894) ou version ultérieure. Vous devez activer la prise en charge du système d’exploitation héritée pour les machines virtuelles exécutant la version multisession Windows 10 avec la mise à jour 4B publiée le 9 avril 2024 KB5036892 ou version ultérieure.
Windows Server Datacenter : Azure Edition	Les machines virtuelles Azure Edition peuvent s’exécuter uniquement sur l’infrastructure Azure. Activez vos machines virtuelles Windows Server Azure Edition et utilisez les dernières innovations de Windows Server et d’autres fonctionnalités exclusives. Les exigences de licence s’appliquent toujours. Découvrez comment licencer des machines virtuelles Windows Server sur Azure Stack HCI.	Activé automatiquement pour les machines virtuelles exécutant Windows Server Azure Edition 2022 avec la mise à jour 4B publiée le 9 avril 2024 (KB5036909) ou version ultérieure.
Azure Policy Guest Configuration	Obtenir la configuration d’invité Azure Policy sans coût. Cette extension Arc permet l’audit et la configuration des paramètres du système d’exploitation en tant que code pour les serveurs et les machines virtuelles.	Agent Arc version 1.39 ou ultérieure. Consultez la dernière version de l’agent Arc.

Remarque

Pour garantir la continuité des fonctionnalités, mettez à jour vos machines virtuelles sur Azure Stack HCI vers la dernière mise à jour cumulative du 17 juin 2024. Cette mise à jour est indispensable pour que les machines virtuelles continuent à utiliser les avantages Azure. Pour plus d’informations, consultez le billet de blog Azure Stack HCI.

Gérer la vérification des machines virtuelles Azure

La vérification des machines virtuelles Azure est automatiquement activée par défaut dans Azure Stack HCI 23H2 ou version ultérieure. Les instructions suivantes décrivent les conditions préalables à l’utilisation de cette fonctionnalité et les étapes de gestion des avantages (facultatif).

Remarque

Pour activer les mises à jour de sécurité étendues (ESU), vous devez effectuer une configuration supplémentaire et activer la prise en charge du système d’exploitation héritée.

Conditions préalables de l’hôte

• Vérifiez que vous avez accès à un système Azure Stack HCI version 23H2. Tous les serveurs doivent être en ligne, inscrits et déployés en cluster. Pour plus d’informations, consultez Inscrire vos serveurs auprès d’Arc et voir Déployer via Portail Azure.
• Installer Hyper-V et RSAT-Hyper-V-Tools.
• (Facultatif) Si vous utilisez Windows Admin Center, vous devez installer l’extension Gestionnaire de clusters (version 2.319.0) ou ultérieure.

Prérequis liés à la machine virtuelle

• Veillez à mettre à jour vos machines virtuelles. Consultez la configuration requise pour les charges de travail.

• Activez l’interface du service invité Hyper-V. Consultez les instructions de Windows Admin Center ou de PowerShell.

Vous pouvez gérer la vérification des machines virtuelles Azure à l’aide de Windows Admin Center ou de PowerShell, ou afficher son état à l’aide d’Azure CLI ou du Portail Azure. Les sections suivantes décrivent chacune de ces options.

Azure portal

1. Dans la page des ressources de cluster Azure Stack HCI, accédez à l’onglet Configuration.

2. Sous la fonctionnalité vérification Azure pour les machines virtuelles, affichez l’état de l’attestation de l’hôte.

   

Azure CLI

Azure CLI est disponible pour l’installation dans les environnements Windows, macOS et Linux. Il peut également être exécuté dans Azure Cloud Shell. Cette section explique comment utiliser Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Azure Cloud Shell.

Lancez Azure Cloud Shell et utilisez Azure CLI pour vérifier la vérification des machines virtuelles Azure en procédant comme suit :

1. Configurer des paramètres à partir de votre abonnement, groupe de ressources et nom de cluster

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Pour afficher l’état de vérification des machines virtuelles Azure sur un cluster, exécutez la commande suivante :

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Windows Admin Center

Vérifier l’état du serveur de la vérification des machines virtuelles Azure

1. Dans Windows Admin Center, sélectionnez Gestionnaire de cluster dans le menu déroulant supérieur, accédez au cluster que vous souhaitez activer, puis, sous Paramètres, sélectionnez Vérification Azure pour les machines virtuelles.

2. Pour vérifier l’état du serveur de vérification des machines virtuelles Azure :

   • État au niveau du cluster : l’état de l’hôte apparaît comme activé.

   • État au niveau du serveur : sous l’onglet Serveur du tableau de bord, vérifiez que l’état de chaque serveur s’affiche comme Actif dans la table.

     

Résoudre les problèmes de serveurs

• Sous l’onglet Serveur , si un ou plusieurs serveurs apparaissent comme ayant expiré :
  • Si le serveur n’a pas été synchronisé avec Azure depuis plus de 30 jours, son état apparaît comme Expiré ou Inactif. Sélectionnez Synchroniser avec Azure pour planifier une synchronisation manuelle.

Gérer les avantages activés sur les machines virtuelles

1. Pour vérifier les avantages activés sur les machines virtuelles, accédez à l’onglet Machines virtuelles .

2. Le tableau de bord affiche le nombre de machines virtuelles avec :

   • Avantages actifs : ces machines virtuelles ont des fonctionnalités exclusives Azure activées via la vérification de machine virtuelle Azure.
   • Avantages inactifs : ces machines virtuelles ont des fonctionnalités exclusives Azure qui nécessitent une action supplémentaire avant l’activation.
   • Inconnu : Nous ne pouvons pas déterminer les avantages éligibles pour ces machines virtuelles, car l’échange de données Hyper-V est désactivé. Consultez la section de résolution des problèmes suivante.
   • Aucun avantage applicable : ces machines virtuelles n’ont pas de fonctionnalités exclusives Azure et ne nécessitent donc pas de vérification de machine virtuelle Azure.

3. Le tableau affiche l’avantage éligible applicable à chaque machine virtuelle. Consultez la liste complète des avantages disponibles sur Azure Stack HCI.

   

Résoudre les problèmes liés aux machines virtuelles

• Sous l’onglet Machines virtuelles , si une ou plusieurs machines virtuelles apparaissent comme des avantages inactifs :

  • Si l’action suggérée consiste à installer les mises à jour, vous n’avez peut-être pas la version minimale du système d’exploitation requise pour l’avantage. Mettez à jour la machine virtuelle pour répondre aux exigences de version des charges de travail.
  • Si l’action suggérée consiste à activer l’interface de service invité, sélectionnez-la et ouvrez le volet contextuel pour activer l’interface de service invité Hyper-V. Cette fonctionnalité est requise pour que les machines virtuelles communiquent avec l’hôte via VMbus.
  • Si l’action suggérée concerne la prise en charge du système d’exploitation héritée, consultez la résolution des problèmes pour la prise en charge du système d’exploitation héritée.

• Sous l’onglet Machines virtuelles , si une ou plusieurs machines virtuelles apparaissent sous la forme Inconnu :

  • Si vous souhaitez déterminer les avantages disponibles pour ces machines virtuelles, vous pouvez le faire manuellement en vérifiant la liste complète des avantages disponibles sur Azure Stack HCI, ou Windows Admin Center peut afficher ces informations. Pour accéder aux informations via Windows Admin Center, activez l’échange de données Hyper-V (KVP) pour vos machines virtuelles en sélectionnant l’action intitulée Activer l’échange de données Hyper-V.

PowerShell

Vérifier l’état du serveur de la vérification des machines virtuelles Azure

• Une fois la configuration de la vérification de machine virtuelle Azure réussie, vous pouvez afficher l’état de l’hôte. Vérifiez la propriété de cluster IMDS Attestation en exécutant la commande suivante :

  Get-AzureStackHCI
  

• Ou, pour afficher l’état de vérification des machines virtuelles Azure pour les serveurs, exécutez la commande suivante :

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Résoudre les problèmes de serveurs

• Si la vérification de machine virtuelle Azure pour un ou plusieurs serveurs n’est pas encore synchronisée et renouvelée avec Azure, elle peut apparaître comme expirée ou inactive. Planifiez une synchronisation manuelle :

  Sync-AzureStackHCI
  

Gérer les avantages activés sur les machines virtuelles

• Pour vérifier l’accès à la vérification de machine virtuelle Azure pour les machines virtuelles, exécutez la commande suivante :

  Get-AzStackHCIVMAttestation
  

  Remarque

  Une machine virtuelle prise en charge pour v2 peut communiquer avec le serveur à l’aide de VMBus. À l’inverse, une machine virtuelle prise en charge v1 est configurée avec la prise en charge du système d’exploitation héritée et peut accéder à la vérification de machine virtuelle Azure via REST. Si une machine virtuelle prend en charge v1 et v2, la méthode v2 (c’est-à-dire VMBus) est principalement utilisée, mais elle peut revenir à v1 si v2 rencontre un problème.

Résoudre les problèmes liés aux machines virtuelles

• Pour configurer l’accès à la vérification de machine virtuelle Azure pour les machines virtuelles, vous pouvez activer l’interface de service invité Hyper-V.

  Pour vérifier que l’interface de service invité Hyper-V est activée, exécutez :

  Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Pour activer l’interface de service invité Hyper-V :

  Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Pour vérifier que les machines virtuelles peuvent accéder à la vérification des machines virtuelles Azure sur l’hôte, exécutez la commande suivante sur l’hôte :

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
  

Prise en charge du système d’exploitation héritée

Pour les machines virtuelles plus anciennes qui ne disposent pas des fonctionnalités Hyper-V nécessaires (interface de service invité) pour communiquer directement avec l’hôte, vous devez configurer les composants réseau traditionnels pour la vérification des machines virtuelles Azure. Si vous disposez de ces charges de travail, telles que les mises à jour de sécurité étendues (ESU), suivez les instructions de cette section pour configurer la prise en charge du système d’exploitation héritée.

Azure portal

Vous ne pouvez pas afficher la prise en charge du système d’exploitation héritée à partir de la Portail Azure pour l’instant.

Azure CLI

Azure CLI est disponible pour l’installation dans les environnements Windows, macOS et Linux. Il peut également être exécuté dans Azure Cloud Shell. Cette section explique comment utiliser Bash dans Azure Cloud Shell. Pour plus d’informations, consultez le guide de démarrage rapide pour Azure Cloud Shell.

Lancez Azure Cloud Shell et utilisez Azure CLI pour vérifier la vérification des machines virtuelles Azure en procédant comme suit :

1. Configurez les paramètres à partir de votre abonnement, groupe de ressources et nom de cluster :

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Pour afficher l’état de prise en charge du système d’exploitation hérité sur un cluster, exécutez la commande suivante :

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
   -o table
   

Windows Admin Center

1. Activer la prise en charge du système d’exploitation héritée sur l’hôte

1. Dans Windows Admin Center, sélectionnez Gestionnaire de cluster dans le menu déroulant supérieur, accédez au cluster que vous souhaitez activer, puis sous Paramètres, sélectionnez Vérifications Azure pour les machines virtuelles.

2. Dans la section relative à la prise en charge du système d’exploitation héritée, sélectionnez Modifier l’état. Sélectionnez Activé dans le volet contextuel. Ce paramètre active également l’accès réseau pour toutes les machines virtuelles existantes. Vous devez activer manuellement la prise en charge du système d’exploitation héritée pour toutes les nouvelles machines virtuelles que vous créez ultérieurement.

3. Sélectionnez Modifier l’état pour confirmer. Quelques minutes peuvent être nécessaires pour que les serveurs reflètent les modifications.

4. Lorsque la prise en charge du système d’exploitation héritée est activée avec succès :

   • Vérifiez que la prise en charge du système d’exploitation héritée s’affiche comme activé.

   • Sous l’onglet Serveur du tableau de bord, vérifiez que la prise en charge du système d’exploitation héritée pour chaque serveur s’affiche sous la forme Activé dans le tableau.

     

2. Activer l’accès pour les nouvelles machines virtuelles

Vous devez activer la mise en réseau du système d’exploitation héritée pour toutes les nouvelles machines virtuelles que vous créez après la première installation. Pour gérer l’accès aux machines virtuelles, accédez à l’onglet Machines virtuelles . Toutes les machines virtuelles qui nécessitent l’accès au système d’exploitation hérité s’affichent comme inactives. Sélectionnez l’action pour configurer la mise en réseau du système d’exploitation héritée pour la machine virtuelle sélectionnée ou pour toutes les machines virtuelles existantes sur le cluster.

Remarque

Pour activer correctement la prise en charge du système d’exploitation héritée sur les machines virtuelles de génération 1, la machine virtuelle doit d’abord être désactivée pour permettre l’ajout de la carte réseau.

PowerShell

1. Activer la prise en charge du système d’exploitation héritée sur l’hôte

• Exécutez la commande suivant à partir de la fenêtre PowerShell avec élévation de privilèges sur votre cluster Azure Stack HCI :

  Enable-AzStackHCIAttestation
  

• Si vous souhaitez ajouter toutes les machines virtuelles existantes à la configuration, vous pouvez également exécuter la commande suivante :

  Enable-AzStackHCIAttestation -AddVM
  

• Vérifiez que la prise en charge du système d’exploitation héritée est activée :

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Résoudre les problèmes de serveurs

• Pour désactiver et réinitialiser la prise en charge du système d’exploitation héritée sur votre cluster, exécutez la commande suivante :

  Disable-AzStackHCIAttestation -RemoveVM
  

2. Activer l’accès pour les machines virtuelles

• Pour configurer l’accès réseau pour des machines virtuelles avec élévation de privilèges, exécutez la commande suivante sur votre cluster Azure Stack HCI :

  Add-AzStackHCIVMAttestation [-VMName]
  

• Ou, pour ajouter toutes les machines virtuelles existantes, exécutez la commande suivante :

  Add-AzStackHCIVMAttestation -AddAll
  

• Obtenez la liste des machines virtuelles qui ont accès à la prise en charge du système d’exploitation héritée :

  Get-AzStackHCIVMAttestation
  

  Remarque

  Pour activer correctement la prise en charge du système d’exploitation héritée sur les machines virtuelles de génération 1, la machine virtuelle doit d’abord être désactivée pour permettre l’ajout de la carte réseau.

Résoudre les problèmes liés aux machines virtuelles

• Pour supprimer l’accès à la prise en charge du système d’exploitation hérité pour les machines virtuelles sélectionnées :

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Ou, pour supprimer l’accès pour toutes les machines virtuelles existantes :

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Pour vérifier que les machines virtuelles peuvent accéder à la prise en charge du système d’exploitation héritée sur l’hôte, exécutez la commande suivante sur la machine virtuelle :

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
  

FAQ

Cette section fournit des réponses à certaines questions fréquemment posées sur l’utilisation d’Azure Benefits.

Quelles charges de travail exclusives Azure puis-je activer avec la vérification de machine virtuelle Azure ?

La liste complète est disponible ici.

Cela coûte-t-il quelque chose pour activer la vérification des machines virtuelles Azure ?

Non. L’activation de la vérification des machines virtuelles Azure n’entraîne aucun frais supplémentaire.

Puis-je utiliser la vérification des machines virtuelles Azure sur des environnements autres qu’Azure Stack HCI ?

Non. La vérification des machines virtuelles Azure est une fonctionnalité intégrée au système d’exploitation Azure Stack HCI et ne peut être utilisée que sur Azure Stack HCI.

Si je viens de mettre à niveau vers 23H2 à partir de 22H2 et que j’ai précédemment activé la fonctionnalité Azure Benefits, dois-je faire quelque chose de nouveau ?

Si vous avez mis à niveau un cluster qui avait précédemment des avantages Azure sur Azure Stack HCI configurés pour vos charges de travail, vous n’avez rien à faire lorsque vous effectuez une mise à niveau vers 23H2. Lorsque vous mettez à niveau, la fonctionnalité reste activée et la prise en charge du système d’exploitation héritée est également activée. Toutefois, si vous souhaitez utiliser une meilleure façon d’effectuer une communication de machine virtuelle à hôte via VM Bus dans 23H2, assurez-vous que vous disposez des conditions préalables requises pour l’hôte et des prérequis de la machine virtuelle.

Je viens de configurer la vérification des machines virtuelles Azure sur mon cluster. Comment faire vous assurer que la vérification des machines virtuelles Azure reste active ?

• Dans la plupart des cas, aucune action utilisateur n’est requise. Azure Stack HCI renouvelle automatiquement la vérification des machines virtuelles Azure lorsqu’elle est synchronisée avec Azure.
• Toutefois, si le cluster se déconnecte pendant plus de 30 jours et que la vérification de machine virtuelle Azure s’affiche comme expirée, vous pouvez synchroniser manuellement à l’aide de PowerShell et de Windows Admin Center. Pour plus d’informations, consultez Synchronisation d’Azure Stack HCI.

Que se passe-t-il si je déploie de nouvelles machines virtuelles ou si je supprime des machines virtuelles ?

• Lorsque vous déployez de nouvelles machines virtuelles qui nécessitent la vérification des machines virtuelles Azure, elles sont automatiquement activées s’ils ont les conditions préalables appropriées pour la machine virtuelle.

• Toutefois, pour les machines virtuelles héritées à l’aide de la prise en charge du système d’exploitation héritée, vous pouvez ajouter manuellement de nouvelles machines virtuelles pour accéder à la vérification des machines virtuelles Azure à l’aide de Windows Admin Center ou de PowerShell, à l’aide des instructions précédentes.

• Vous pouvez toujours supprimer et migrer des machines virtuelles comme d’habitude. La carte réseau AZSHCI_GUEST-IMDS_DO_NOT_MODIFY existe toujours sur la machine virtuelle après la migration. Pour nettoyer la carte réseau avant la migration, vous pouvez supprimer des machines virtuelles de la vérification de machine virtuelle Azure à l’aide de Windows Admin Center ou de PowerShell à l’aide des instructions précédentes pour la prise en charge du système d’exploitation héritée, ou vous pouvez migrer d’abord et supprimer manuellement les cartes réseau par la suite.

Que se passe-t-il si j’ajoute ou supprime des serveurs ?

• Lorsque vous ajoutez un serveur, il est automatiquement activé s’il a les conditions préalables correctes de l’hôte.
• Si vous utilisez la prise en charge du système d’exploitation héritée, vous devrez peut-être activer manuellement ces serveurs. Exécuter Enable-AzStackHCIAttestation [[-ComputerName] <String>] dans PowerShell. Vous pouvez toujours supprimer des serveurs ou les retirer du cluster comme d’habitude. Le commutateur virtuel AZSHCI_HOST-IMDS_DO_NOT_MODIFY existe toujours sur le serveur après la suppression du cluster. Vous pouvez le laisser si vous envisagez d’ajouter le serveur au cluster ultérieurement, ou vous pouvez le supprimer manuellement.

Étapes suivantes

• Mises à jour de sécurité étendues (ESU) sur Azure Stack HCI.
• Vue d’ensemble d’Azure Stack HCI.
• FAQ sur Azure Stack HCI.