Déployer le lancement approuvé pour les machines virtuelles Azure Arc sur Azure Stack HCI, version 23H2

S’applique à : Azure Stack HCI, version 23H2

Cet article explique comment déployer lancement approuvé pour les machines virtuelles Azure Arc sur Azure Stack HCI, version 23H2.

Prérequis

Vérifiez que vous avez accès à un cluster Azure Stack HCI version 23H2 déployé et inscrit auprès d’Azure. Pour plus d’informations, consultez Déployer à l’aide de la Portail Azure.

Créer une machine virtuelle Arc de lancement approuvé

Vous pouvez créer une machine virtuelle de lancement approuvé à l’aide de Portail Azure ou d’Azure Command-Line Interface (CLI). Utilisez les onglets ci-dessous pour sélectionner une méthode.

Azure portal

Pour créer une machine virtuelle Arc de lancement approuvé sur Azure Stack HCI, suivez les étapes décrites dans Créer des machines virtuelles Arc sur Azure Stack HCI à l’aide de Portail Azure, avec les modifications suivantes :

1. Lors de la création de la machine virtuelle, sélectionnez Lancer des machines virtuelles approuvées pour le type de sécurité.

   

2. Sélectionnez une image de système d’exploitation invité de machine virtuelle dans la liste des images prises en charge :

   

3. Une fois qu’une machine virtuelle est créée, accédez à la page propriétés de la machine virtuelle et vérifiez que le type de sécurité indiqué est Lancement approuvé.

   

Azure CLI

Pour créer une machine virtuelle Arc de lancement approuvé sur Azure Stack HCI, suivez les étapes décrites dans Créer des machines virtuelles Arc sur Azure Stack HCI à l’aide d’Azure CLI, avec les modifications suivantes :

1. Créez une image de machine virtuelle à l’aide d’une image de système d’exploitation invité de machine virtuelle prise en charge par lancement approuvé à partir de Place de marché Azure. Pour plus d’informations, consultez Créer une image de machine virtuelle Azure Stack HCI à l’aide de Place de marché Azure.

2. Créez une machine virtuelle à l’aide de l’interface CLI comme suit :

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your cluster>" 
   $resourceGroup="<Resource group name for your cluster>" 
   $location="<Location for your Azure Stack HCI cluster>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for HCI cluster>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   Exemple de sortie :

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. Une fois la machine virtuelle créée, vérifiez le type de sécurité de la machine virtuelle comme Lancement approuvé.

4. Exécutez l’applet de commande suivante pour rechercher le nœud propriétaire de la machine virtuelle :

   Get-ClusterGroup $vmName
   

5. Exécutez l’applet de commande suivante sur le nœud propriétaire de la machine virtuelle :

   (Get-VM $vmName).GuestStateIsolationType
   

6. Vérifiez qu’une valeur de TrustedLaunch est retournée.

Exemple

Cet exemple montre une machine virtuelle Arc de lancement approuvé exécutant Windows 11 invité avec le chiffrement BitLocker activé. Voici les étapes à suivre pour exécuter le scénario :

1. Créez une machine virtuelle Arc de lancement approuvé exécutant un système d’exploitation invité Windows 11 pris en charge.

2. Activez le chiffrement BitLocker pour le volume du système d’exploitation sur l’invité Win 11.

   Connectez-vous à l’invité Windows 11 et activez le chiffrement BitLocker (pour le volume du système d’exploitation) : dans la zone de recherche de la barre des tâches, tapez Gérer BitLocker, puis sélectionnez-le dans la liste des résultats. Sélectionnez Activer BitLocker , puis suivez les instructions pour chiffrer le volume du système d’exploitation (C :). BitLocker utilisera vTPM comme protecteur de clé pour le volume du système d’exploitation.

3. Migrez la machine virtuelle vers un autre nœud du cluster. Exécutez la commande PowerShell suivante :

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. Vérifiez que le nœud propriétaire de la machine virtuelle est le nœud de destination spécifié :

   Get-ClusterGroup $vmName
   

5. Une fois la migration de la machine virtuelle terminée, vérifiez si la machine virtuelle est disponible et si BitLocker est activé.

6. Vérifiez si vous pouvez vous connecter à l’invité Windows 11 dans la machine virtuelle et si le chiffrement BitLocker pour le volume du système d’exploitation reste activé. Si vous pouvez le faire, cela confirme que l’état vTPM a été conservé pendant la migration de la machine virtuelle.

   Si l’état de vTPM n’a pas été conservé pendant la migration de la machine virtuelle, le démarrage de la machine virtuelle aurait entraîné une récupération BitLocker lors du démarrage invité. Autrement dit, vous auriez été invité à entrer le mot de passe de récupération BitLocker lorsque vous avez tenté de vous connecter à l’invité Windows 11. Cela était dû au fait que les mesures de démarrage (stockées dans le vTPM) de la machine virtuelle migrée sur le nœud de destination étaient différentes de celle de la machine virtuelle d’origine.

7. Forcez la machine virtuelle à basculer vers un autre nœud du cluster.

   1. Confirmez le nœud propriétaire de la machine virtuelle à l’aide de cette commande :

      Get-ClusterGroup $vmName
      

   2. Utilisez le Gestionnaire du cluster de basculement pour arrêter le service de cluster sur le nœud propriétaire comme suit : Sélectionnez le nœud propriétaire comme indiqué dans le Gestionnaire du cluster de basculement.  Dans le volet droit Actions , sélectionnez Autres actions , puis Arrêter le service de cluster.

   3. L’arrêt du service de cluster sur le nœud propriétaire entraîne la migration automatique de la machine virtuelle vers un autre nœud disponible dans le cluster. Redémarrez le service de cluster par la suite.

8. Une fois le basculement terminé, vérifiez si la machine virtuelle est disponible et si BitLocker est activé après le basculement.

9. Vérifiez que le nœud propriétaire de la machine virtuelle est le nœud de destination spécifié :

   Get-ClusterGroup $vmName
   

Étapes suivantes

• Gérer la clé de protection de l’état invité de la machine virtuelle Arc de lancement approuvé.