Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Azure Local 2311.2 et les versions ultérieures
Cet article présente le lancement approuvé pour les machines virtuelles locales Azure activées par Azure Arc. Vous pouvez créer un lancement approuvé pour une machine virtuelle locale Azure à l’aide du portail Azure ou à l’aide d’Azure Command-Line Interface (CLI).
Présentation
Le lancement approuvé pour les machines virtuelles locales Azure active le démarrage sécurisé, installe un appareil vTPM (Virtual Trusted Platform Module), transfère automatiquement l’état vTPM lorsque la machine virtuelle migre ou bascule vers une autre machine au sein du système et prend en charge la possibilité d’attester si la machine virtuelle a démarré dans un état correct connu.
Le lancement approuvé est un type de sécurité qui peut être spécifié lorsque vous créez des machines virtuelles locales Azure. Pour plus d’informations, consultez Lancement approuvé pour les machines virtuelles locales Azure activées par Azure Arc.
Avantages et fonctionnalités clés
| Capacité | Avantage |
|---|---|
| Démarrage sécurisé | Permet de réduire le risque de programmes malveillants (rootkits) pendant le démarrage en vérifiant que les composants de démarrage sont signés par des éditeurs approuvés. |
| vTPM | Version virtualisée d'un TPM matériel qui sert de chambre forte dédiée aux clés, aux certificats et aux secrets. |
| Transfert d'état vTPM | Conserve vTPM lorsque la machine virtuelle migre ou bascule au sein d’un cluster. |
| Sécurité basée sur la virtualisation (VBS) | L'invité de la machine virtuelle peut créer des régions isolées de la mémoire à l'aide du support VBS. |
Remarque
La vérification de l’intégrité du démarrage invité de la machine virtuelle n’est pas disponible.
Assistance
IgvmAgent est un composant installé sur toutes les machines du système local Azure. Cela permet la prise en charge des machines virtuelles isolées telles que le lancement sécurisé pour les machines virtuelles locales Azure, par exemple.
Le lancement fiable pour les machines virtuelles locales Azure prend actuellement en charge uniquement un ensemble sélectionné d’images d'Azure Marketplace (Place de marché Azure). Pour obtenir la liste des images prises en charge, consultez Images du système d’exploitation invité. Lorsque vous créez une machine virtuelle de lancement fiable dans le portail Azure, la liste déroulante Image affiche uniquement les images prises en charge par le lancement fiable. La liste déroulante Image s’affiche vide si vous sélectionnez une image non prise en charge, y compris une image personnalisée. La liste s’affiche également vide si aucune des images disponibles sur votre système local Azure n’est prise en charge par le lancement fiable.
Dans le cadre du lancement approuvé pour la création d’une machine virtuelle locale Azure, Hyper-V crée des fichiers de machine virtuelle à un emplacement par défaut sur le disque pour stocker l’état de la machine virtuelle. Par défaut, l’accès à ces fichiers de machine virtuelle est limité aux administrateurs de serveur hôte uniquement. Si vous stockez ces fichiers de machine virtuelle dans un autre emplacement, vous devez vous assurer que l’emplacement est limité aux administrateurs de serveur hôte uniquement.
Le trafic réseau de migration dynamique des machines virtuelles n’est pas chiffré. Nous vous recommandons vivement d’activer une technologie de chiffrement de couche réseau telle que IPsec pour protéger le trafic réseau de migration dynamique.
Images du système d’exploitation invité
Toutes les images Windows 11 (à l’exception des références SKU Windows 11 24H2) et Windows Server 2022 de la Place de marché Azure compatibles avec les machines virtuelles locales Azure sont prises en charge. Consultez Créer une image de machine virtuelle locale Azure à l’aide d’images de la Place de marché Azure pour obtenir la liste de toutes les images Windows 11 prises en charge.
Remarque
Les images d'invités de machines virtuelles obtenues en dehors d'Azure Marketplace ne sont pas prises en charge.
Considérations relatives à la sauvegarde et à la récupération d’urgence
Lorsque vous utilisez le lancement approuvé pour les machines virtuelles locales Azure, veillez à comprendre les considérations et limitations clés suivantes relatives à la sauvegarde et à la récupération :
Différences entre le lancement approuvé pour les machines virtuelles locales Azure et les machines virtuelles locales Azure standard : contrairement aux machines virtuelles locales Azure standard, le lancement approuvé pour les machines virtuelles locales Azure utilise une clé de protection d’état invité de machine virtuelle pour protéger l’état invité de la machine virtuelle, y compris l’état du module TPM virtuel (vTPM), tandis qu’au repos. La clé de protection de machine virtuelle est stockée dans un coffre de clés local dans le système local Azure où réside la machine virtuelle. Le lancement approuvé pour les machines virtuelles locales Azure stocke l’état invité de la machine virtuelle dans deux fichiers : l’état invité de la machine virtuelle et l’état d’exécution de la machine virtuelle. Pour sauvegarder et restaurer une machine virtuelle de lancement approuvé, une solution de sauvegarde doit sauvegarder et restaurer tous les fichiers de machine virtuelle, y compris l’état invité et les fichiers d’état d’exécution, ainsi que la sauvegarde et la restauration de la clé de protection de la machine virtuelle.
Prise en charge des outils de sauvegarde et de récupération d'urgence : Actuellement, le lancement de confiance pour les machines virtuelles locales sur Azure ne prend en charge aucun outil de sauvegarde et de récupération d'urgence appartenant à Microsoft ou tiers, y compris, mais non limité à, Sauvegarde Azure, Azure Site Recovery, Veeam et Commvault. S’il existe un besoin de déplacer un lancement approuvé pour Azure Local TVM vers un autre cluster, consultez le processus manuel de sauvegarde manuelle et de récupération du lancement approuvé pour les machines virtuelles locales Azure pour gérer tous les fichiers et la clé de protection de machine virtuelle nécessaires pour vous assurer que la machine virtuelle peut être correctement restaurée.
Remarque
Le lancement sécurisé des machines virtuelles locales Azure qui ont été restaurées sur un autre système local Azure ne peut pas être géré depuis le plan de contrôle Azure.