Vérification Azure pour les machines virtuelles sur Azure Local
Article
S’applique à : Azure Local, version 23H2
Microsoft Azure offre un éventail de charges de travail et de fonctionnalités exclusives, conçues pour s’exécuter uniquement sur Azure. Azure Local étend la plupart des avantages que vous obtenez à partir d’Azure, tout en s’exécutant sur les mêmes environnements locaux ou edge familiers et hautes performances.
La vérification Azure pour les machines virtuelles permet aux charges de travail exclusives Azure prises en charge de fonctionner en dehors du cloud. Cette fonctionnalité, modélisée après le service d’attestation IMDS dans Azure, est un service d’attestation de plateforme intégré activé par défaut sur Azure Local, version 23H2 ou ultérieure. Il permet de fournir des garanties pour que ces machines virtuelles fonctionnent dans d’autres environnements Azure.
Pour plus d’informations sur la version précédente de cette fonctionnalité sur Azure Local, version 22H2 ou antérieure, consultez Azure Benefits sur Azure Local.
Avantages disponibles sur Azure Local
La vérification Azure pour la machine virtuelle vous permet d’utiliser ces avantages uniquement sur Azure Local :
Vous devez activer la prise en charge du système d’exploitation héritée pour les machines virtuelles antérieures exécutant la version de Windows Server 2012 ou une version antérieure avec les dernières mises à jour de la pile de maintenance.
Azure Virtual Desktop (AVD)
Les hôtes de session AVD peuvent s’exécuter uniquement sur l’infrastructure Azure. Activez vos machines virtuelles Windows multisession sur Azure Local à l’aide de la vérification de machine virtuelle Azure. Les exigences de licence pour AVD s’appliquent toujours. Consultez la tarification d’Azure Virtual Desktop.
Activé automatiquement pour les machines virtuelles exécutant la version multisession Windows 11 avec la mise à jour 4B publiée le 9 avril 2024 (22H2 : KB5036893, 21H2 : KB5036894) ou version ultérieure. Vous devez activer la prise en charge du système d’exploitation héritée pour les machines virtuelles exécutant la version multisession Windows 10 avec la mise à jour 4B publiée le 9 avril 2024 KB5036892 ou version ultérieure.
Activé automatiquement pour les machines virtuelles exécutant Windows Server Azure Edition 2022 avec la mise à jour 4B publiée le 9 avril 2024 (KB5036909) ou version ultérieure.
Gestionnaire de mise à jour Azure
Obtenez Azure Update Manager sans frais. Ce service fournit une solution SaaS pour gérer et régir les mises à jour logicielles des machines virtuelles sur Azure Local.
Disponible automatiquement pour les machines virtuelles Arc. Vous devez activer la vérification Azure pour les machines virtuelles non Arc. Pour plus d’informations, consultez les questions fréquemment posées sur Azure Update Manager.
Azure Policy Guest Configuration
Obtenir la configuration d’invité Azure Policy sans coût. Cette extension Arc permet l’audit et la configuration des paramètres du système d’exploitation en tant que code pour les machines et les machines virtuelles.
Pour garantir la continuité des fonctionnalités, mettez à jour vos machines virtuelles sur Azure Local vers la dernière mise à jour cumulative du 17 juin 2024. Cette mise à jour est indispensable pour que les machines virtuelles continuent à utiliser les avantages Azure. Pour plus d’informations, consultez le billet de blog Azure Local.
Gérer la vérification des machines virtuelles Azure
La vérification des machines virtuelles Azure est automatiquement activée par défaut dans Azure Local, version 23H2 ou ultérieure. Les instructions suivantes décrivent les conditions préalables à l’utilisation de cette fonctionnalité et les étapes de gestion des avantages (facultatif).
Remarque
Pour activer les mises à jour de sécurité étendues (ESU), vous devez effectuer une configuration supplémentaire et activer la prise en charge du système d’exploitation héritée.
Conditions préalables de l’hôte
Vérifiez que vous avez accès à Azure Local, version 23H2. Toutes les machines doivent être en ligne, inscrites et déployées par le système. Pour plus d’informations, consultez Inscrire vos machines auprès d’Arc et voir Déployer via Portail Azure.
Vous pouvez gérer la vérification des machines virtuelles Azure à l’aide de Windows Admin Center ou de PowerShell, ou afficher son état à l’aide d’Azure CLI ou du Portail Azure. Les sections suivantes décrivent chacune de ces options.
Dans la page de votre ressource locale Azure, accédez à l’onglet Configuration .
Sous la fonctionnalité vérification Azure pour les machines virtuelles, affichez l’état de l’attestation de l’hôte.
Azure CLI est disponible pour l’installation dans les environnements Windows, macOS et Linux. Il peut également être exécuté dans Azure Cloud Shell. Cette section explique comment utiliser Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Azure Cloud Shell.
Lancez Azure Cloud Shell et utilisez Azure CLI pour vérifier la vérification des machines virtuelles Azure en procédant comme suit :
Configurez les paramètres à partir de votre abonnement, groupe de ressources et nom de cluster.
subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
resourceGroup="local-rg" # Replace with your resource group name
clusterName="LocalCluster" # Replace with your cluster name
az account set --subscription "${subscription}"
Pour afficher l’état de vérification des machines virtuelles Azure sur un cluster, exécutez la commande suivante :
az stack-hci cluster list \
--resource-group "${resourceGroup}" \
--query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
-o table
Vérifier l’état de l’ordinateur de la vérification des machines virtuelles Azure
Dans Windows Admin Center, sélectionnez Gestionnaire de cluster dans le menu déroulant supérieur, accédez au système que vous souhaitez activer, puis, sous Paramètres, sélectionnez Vérification Azure pour les machines virtuelles.
Pour vérifier l’état de la machine virtuelle Azure :
État au niveau du cluster : l’état de l’hôte apparaît comme activé.
État au niveau du serveur : sous l’onglet Serveur du tableau de bord, vérifiez que l’état de chaque ordinateur s’affiche comme Actif dans la table.
Résoudre les problèmes liés aux machines
Sous l’onglet Serveur , si une ou plusieurs machines apparaissent comme ayant expiré :
Si la machine n’a pas été synchronisée avec Azure depuis plus de 30 jours, son état apparaît comme Expiré ou Inactif. Sélectionnez Synchroniser avec Azure pour planifier une synchronisation manuelle.
Gérer les avantages activés sur les machines virtuelles
Pour vérifier les avantages activés sur les machines virtuelles, accédez à l’onglet Machines virtuelles .
Le tableau de bord affiche le nombre de machines virtuelles avec :
Avantages actifs : ces machines virtuelles ont des fonctionnalités exclusives Azure activées via la vérification de machine virtuelle Azure.
Avantages inactifs : ces machines virtuelles ont des fonctionnalités exclusives Azure qui nécessitent une action supplémentaire avant l’activation.
Inconnu : Nous ne pouvons pas déterminer les avantages éligibles pour ces machines virtuelles, car l’échange de données Hyper-V est désactivé. Consultez la section de résolution des problèmes suivante.
Aucun avantage applicable : ces machines virtuelles n’ont pas de fonctionnalités exclusives Azure et ne nécessitent donc pas de vérification de machine virtuelle Azure.
Résoudre les problèmes liés aux machines virtuelles
Sous l’onglet Machines virtuelles , si une ou plusieurs machines virtuelles apparaissent comme des avantages inactifs :
Si l’action suggérée consiste à installer les mises à jour, vous n’avez peut-être pas la version minimale du système d’exploitation requise pour l’avantage. Mettez à jour la machine virtuelle pour répondre aux exigences de version des charges de travail.
Si l’action suggérée consiste à activer l’interface de service invité, sélectionnez-la et ouvrez le volet contextuel pour activer l’interface de service invité Hyper-V. Cette fonctionnalité est requise pour que les machines virtuelles communiquent avec l’hôte via VMbus.
Sous l’onglet Machines virtuelles , si une ou plusieurs machines virtuelles apparaissent sous la forme Inconnu :
Si vous souhaitez déterminer les avantages disponibles pour ces machines virtuelles, vous pouvez le faire manuellement en vérifiant la liste complète des avantages disponibles sur Azure Local, ou Windows Admin Center peut afficher ces informations. Pour accéder aux informations via Windows Admin Center, activez l’échange de données Hyper-V (KVP) pour vos machines virtuelles en sélectionnant l’action intitulée Activer l’échange de données Hyper-V.
Vérifier l’état de l’ordinateur de la vérification des machines virtuelles Azure
Une fois la configuration de la vérification de machine virtuelle Azure réussie, vous pouvez afficher l’état de l’hôte. Vérifiez l’attestation IMDS de propriété système en exécutant la commande suivante :
Get-AzureStackHCI
Ou, pour afficher l’état de vérification des machines virtuelles Azure, exécutez la commande suivante :
Si la vérification de machine virtuelle Azure pour une ou plusieurs machines n’est pas encore synchronisée et renouvelée avec Azure, elle peut apparaître comme expirée ou inactive. Planifiez une synchronisation manuelle :
Sync-AzureStackHCI
Gérer les avantages activés sur les machines virtuelles
Pour vérifier l’accès à la vérification de machine virtuelle Azure pour les machines virtuelles, exécutez la commande suivante :
Get-AzStackHCIVMAttestation
Remarque
Une machine virtuelle prise en charge pour v2 peut communiquer avec la machine à l’aide de VMBus. À l’inverse, une machine virtuelle prise en charge v1 est configurée avec la prise en charge du système d’exploitation héritée et peut accéder à la vérification de machine virtuelle Azure via REST. Si une machine virtuelle prend en charge v1 et v2, la méthode v2 (c’est-à-dire VMBus) est principalement utilisée, mais elle peut revenir à v1 si v2 rencontre un problème.
Résoudre les problèmes liés aux machines virtuelles
Pour configurer l’accès à la vérification de machine virtuelle Azure pour les machines virtuelles, vous pouvez activer l’interface de service invité Hyper-V.
Pour vérifier que l’interface de service invité Hyper-V est activée, exécutez :
Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
Pour activer l’interface de service invité Hyper-V :
Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
Pour vérifier que les machines virtuelles peuvent accéder à la vérification des machines virtuelles Azure sur l’hôte, exécutez la commande suivante sur l’hôte :
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
Prise en charge du système d’exploitation héritée
Pour les machines virtuelles plus anciennes qui ne disposent pas des fonctionnalités Hyper-V nécessaires (interface de service invité) pour communiquer directement avec l’hôte, vous devez configurer les composants réseau traditionnels pour la vérification des machines virtuelles Azure. Si vous disposez de ces charges de travail, telles que les mises à jour de sécurité étendues (ESU), suivez les instructions de cette section pour configurer la prise en charge du système d’exploitation héritée.
Vous ne pouvez pas afficher la prise en charge du système d’exploitation héritée à partir de la Portail Azure pour l’instant.
Azure CLI est disponible pour l’installation dans les environnements Windows, macOS et Linux. Il peut également être exécuté dans Azure Cloud Shell. Cette section explique comment utiliser Bash dans Azure Cloud Shell. Pour plus d’informations, consultez le guide de démarrage rapide pour Azure Cloud Shell.
Lancez Azure Cloud Shell et utilisez Azure CLI pour vérifier la vérification des machines virtuelles Azure en procédant comme suit :
Configurez les paramètres à partir de votre abonnement, groupe de ressources et nom de cluster :
subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
resourceGroup="local-rg" # Replace with your resource group name
clusterName="LocalCluster" # Replace with your cluster name
az account set --subscription "${subscription}"
Pour afficher l’état de prise en charge du système d’exploitation hérité sur un cluster, exécutez la commande suivante :
az stack-hci cluster list \
--resource-group "${resourceGroup}" \
--query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
-o table
1. Activer la prise en charge du système d’exploitation héritée sur l’hôte
Dans Windows Admin Center, sélectionnez Gestionnaire de cluster dans le menu déroulant supérieur, accédez au système que vous souhaitez activer, puis, sous Paramètres, sélectionnez Vérifications Azure pour les machines virtuelles.
Dans la section relative à la prise en charge du système d’exploitation héritée, sélectionnez Modifier l’état. Sélectionnez Activé dans le volet contextuel. Ce paramètre active également l’accès réseau pour toutes les machines virtuelles existantes. Vous devez activer manuellement la prise en charge du système d’exploitation héritée pour toutes les nouvelles machines virtuelles que vous créez ultérieurement.
Sélectionnez Modifier l’état pour confirmer. Quelques minutes peuvent être nécessaires pour que les machines reflètent les modifications.
Lorsque la prise en charge du système d’exploitation héritée est activée avec succès :
Vérifiez que la prise en charge du système d’exploitation héritée s’affiche comme activé.
Sous l’onglet Serveur du tableau de bord, vérifiez que la prise en charge du système d’exploitation héritée pour chaque ordinateur s’affiche sous la forme Activé dans le tableau.
2. Activer l’accès pour les nouvelles machines virtuelles
Vous devez activer la mise en réseau du système d’exploitation héritée pour toutes les nouvelles machines virtuelles que vous créez après la première installation. Pour gérer l’accès aux machines virtuelles, accédez à l’onglet Machines virtuelles . Toutes les machines virtuelles qui nécessitent l’accès au système d’exploitation hérité s’affichent comme inactives. Sélectionnez l’action pour configurer la mise en réseau du système d’exploitation héritée pour la machine virtuelle sélectionnée ou pour toutes les machines virtuelles existantes sur le système.
Remarque
Pour activer correctement la prise en charge du système d’exploitation héritée sur les machines virtuelles de génération 1, la machine virtuelle doit d’abord être désactivée pour permettre l’ajout de la carte réseau.
1. Activer la prise en charge du système d’exploitation héritée sur l’hôte
Exécutez la commande suivante à partir d’une fenêtre PowerShell avec élévation de privilèges sur votre instance Azure Local :
Enable-AzStackHCIAttestation
Si vous souhaitez ajouter toutes les machines virtuelles existantes à la configuration, vous pouvez également exécuter la commande suivante :
Enable-AzStackHCIAttestation -AddVM
Vérifiez que la prise en charge du système d’exploitation héritée est activée :
Pour désactiver et réinitialiser la prise en charge du système d’exploitation héritée sur votre système, exécutez la commande suivante :
Disable-AzStackHCIAttestation -RemoveVM
2. Activer l’accès pour les machines virtuelles
Pour configurer l’accès réseau pour les machines virtuelles sélectionnées, exécutez la commande suivante sur votre local Azure :
Add-AzStackHCIVMAttestation [-VMName]
Ou, pour ajouter toutes les machines virtuelles existantes, exécutez la commande suivante :
Add-AzStackHCIVMAttestation -AddAll
Obtenez la liste des machines virtuelles qui ont accès à la prise en charge du système d’exploitation héritée :
Get-AzStackHCIVMAttestation
Remarque
Pour activer correctement la prise en charge du système d’exploitation héritée sur les machines virtuelles de génération 1, la machine virtuelle doit d’abord être désactivée pour permettre l’ajout de la carte réseau.
Résoudre les problèmes liés aux machines virtuelles
Pour supprimer l’accès à la prise en charge du système d’exploitation hérité pour les machines virtuelles sélectionnées :
Remove-AzStackHCIVMAttestation -VMName <string>
Ou, pour supprimer l’accès pour toutes les machines virtuelles existantes :
Remove-AzStackHCIVMAttestation -RemoveAll
Pour vérifier que les machines virtuelles peuvent accéder à la prise en charge du système d’exploitation héritée sur l’hôte, exécutez la commande suivante sur la machine virtuelle :
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
Questions fréquentes (FAQ)
Cette section fournit des réponses à certaines questions fréquemment posées sur l’utilisation d’Azure Benefits.
Quelles charges de travail exclusives Azure puis-je activer avec la vérification de machine virtuelle Azure ?
Cela coûte-t-il quelque chose pour activer la vérification des machines virtuelles Azure ?
Non. L’activation de la vérification des machines virtuelles Azure n’entraîne aucun frais supplémentaire.
Puis-je utiliser la vérification des machines virtuelles Azure sur des environnements autres qu’Azure Local ?
Non. La vérification des machines virtuelles Azure est une fonctionnalité intégrée à Azure Local et ne peut être utilisée que sur Azure Local.
Si je viens de mettre à niveau vers la version 23H2 à partir de 22H2 et que j’ai précédemment activé la fonctionnalité Azure Benefits, dois-je faire quelque chose de nouveau ?
Si vous avez mis à niveau un système qui avait précédemment Des avantages Azure sur Azure Local configurés pour vos charges de travail, vous n’avez rien à faire lorsque vous effectuez une mise à niveau vers Azure Local, version 23H2. Lorsque vous mettez à niveau, la fonctionnalité reste activée et la prise en charge du système d’exploitation héritée est également activée. Toutefois, si vous souhaitez utiliser une meilleure façon d’effectuer une communication de machine virtuelle à hôte via VM Bus dans la version 23H2, vérifiez que vous disposez des conditions préalables requises pour l’hôte et des prérequis de la machine virtuelle.
Je viens de configurer la vérification des machines virtuelles Azure sur mon système. Comment faire vous assurer que la vérification des machines virtuelles Azure reste active ?
Dans la plupart des cas, aucune action utilisateur n’est requise. Azure Local renouvelle automatiquement la vérification de machine virtuelle Azure lors de sa synchronisation avec Azure.
Toutefois, si le système se déconnecte pendant plus de 30 jours et que la vérification de machine virtuelle Azure s’affiche comme expirée, vous pouvez synchroniser manuellement à l’aide de PowerShell et de Windows Admin Center. Pour plus d’informations, consultez la synchronisation d’Azure Local.
Que se passe-t-il si je déploie de nouvelles machines virtuelles ou si je supprime des machines virtuelles ?
Lorsque vous déployez de nouvelles machines virtuelles qui nécessitent la vérification des machines virtuelles Azure, elles sont automatiquement activées s’ils ont les conditions préalables appropriées pour la machine virtuelle.
Toutefois, pour les machines virtuelles héritées à l’aide de la prise en charge du système d’exploitation héritée, vous pouvez ajouter manuellement de nouvelles machines virtuelles pour accéder à la vérification des machines virtuelles Azure à l’aide de Windows Admin Center ou de PowerShell, à l’aide des instructions précédentes.
Vous pouvez toujours supprimer et migrer des machines virtuelles comme d’habitude. La carte réseau AZSHCI_GUEST-IMDS_DO_NOT_MODIFY existe toujours sur la machine virtuelle après la migration. Pour nettoyer la carte réseau avant la migration, vous pouvez supprimer des machines virtuelles de la vérification de machine virtuelle Azure à l’aide de Windows Admin Center ou de PowerShell à l’aide des instructions précédentes pour la prise en charge du système d’exploitation héritée, ou vous pouvez migrer d’abord et supprimer manuellement les cartes réseau par la suite.
Que se passe-t-il quand j’ajoute ou supprime des ordinateurs ?
Lorsque vous ajoutez un ordinateur, il est automatiquement activé s’il a les conditions préalables correctes pour l’hôte.
Si vous utilisez la prise en charge du système d’exploitation héritée, vous devrez peut-être activer manuellement ces ordinateurs. Exécutez Enable-AzStackHCIAttestation [[-ComputerName] <String>] dans PowerShell. Vous pouvez toujours supprimer des machines ou les supprimer du système comme d’habitude. Le commutateur virtuel AZSHCI_HOST-IMDS_DO_NOT_MODIFY existe toujours sur l’ordinateur après la suppression du système. Vous pouvez le laisser si vous envisagez d’ajouter la machine au système ultérieurement, ou vous pouvez la supprimer manuellement.