Présentation du lancement approuvé pour les machines virtuelles Azure Arc sur Azure Stack HCI, version 23H2
S’applique à : Azure Stack HCI, version 23H2
Cet article présente le lancement approuvé pour les machines virtuelles Azure Arc sur Azure Stack HCI, version 23H2. Vous pouvez créer une machine virtuelle Arc de lancement approuvé à l’aide de Portail Azure ou à l’aide de interface de ligne de commande Azure (CLI).
Introduction
Le lancement approuvé pour les machines virtuelles Azure Arc prend en charge le démarrage sécurisé, le module de plateforme sécurisée (vTPM) et le transfert d’état vTPM lorsqu’une machine virtuelle migre ou bascule au sein d’un cluster.
Le lancement approuvé est un type de sécurité qui peut être spécifié lors de la création de machines virtuelles Arc sur Azure Stack HCI. Pour plus d’informations, consultez Lancement approuvé pour les machines virtuelles Azure Arc sur Azure Stack HCI.
Avantages et fonctionnalités clés
| Fonctionnalité | Avantage |
|---|---|
| Démarrage sécurisé | Permet de réduire le risque de programmes malveillants (rootkits) pendant le démarrage en vérifiant que les composants de démarrage sont signés par des éditeurs approuvés. |
| vTPM | Version virtualisée d’un module TPM matériel qui sert de coffre dédié pour les clés, certificats et secrets. |
| Transfert d’état vTPM | Conserve vTPM lorsque la machine virtuelle migre ou bascule au sein d’un cluster. |
| Sécurité basée sur la virtualisation (VBS) | L’invité de la machine virtuelle peut créer des régions isolées de mémoire à l’aide de la prise en charge de VBS. |
Remarque
La vérification de l’intégrité du démarrage invité de la machine virtuelle n’est pas disponible.
Assistance
IgvmAgent est un composant installé sur tous les nœuds du cluster Azure Stack HCI. Il permet la prise en charge des machines virtuelles isolées telles que les machines virtuelles Arc de lancement approuvées, par exemple.
Dans le cadre de la création d’une machine virtuelle Arc de lancement approuvé, Hyper-V crée des fichiers de machine virtuelle sur le disque pour stocker l’état de la machine virtuelle. Par défaut, l’accès à ces fichiers de machine virtuelle est limité aux administrateurs de serveur hôte. Les administrateurs hôtes doivent s’assurer que l’emplacement où ces fichiers de machine virtuelle sont stockés reste toujours restreint de manière appropriée.
Le trafic réseau de migration dynamique des machines virtuelles n’est pas chiffré. Nous vous recommandons vivement d’activer une technologie de chiffrement de couche réseau telle que IPsec pour protéger le trafic réseau de migration dynamique.
Images du système d’exploitation invité
Les images de système d’exploitation invité de machine virtuelle suivantes de Place de marché Azure sont prises en charge. L’image de machine virtuelle peut être créée à l’aide de Portail Azure ou d’Azure CLI.
Pour plus d’informations, consultez Créer une image de machine virtuelle Azure Stack HCI à l’aide de Place de marché Azure.
| Nom | Serveur de publication | Offer | SKU | Numéro de version |
|---|---|---|---|---|
| Windows 11 Entreprise multisession, version 22H2 - Gen2 | microsoftwindowsdesktop | windows-11 | win11-22h2-avd | 22621.2428.231001 |
| Windows 11 Entreprise multisession, version 22H2 + Applications Microsoft 365 (préversion) - Gen2 | microsoftwindowsdesktop | windows11preview | win11-22h2-avd-m365 | 22621.382.220810 |
| Windows 11 Entreprise multisession, version 21H2 - Gen2 | microsoftwindowsdesktop | windows-11 | win11-21h2-avd | 22000.2538.231001 |
| Windows 11 Entreprise multisession, version 21H2 + Applications Microsoft 365 - Gen2 | microsoftwindowsdesktop | office-365 | win10-21h2-avd-m365-g2 | 19044.3570.231010 |
Remarque
Les images invitées de machine virtuelle obtenues en dehors de Place de marché Azure ne sont pas prises en charge.
Étapes suivantes
- Déployer des machines virtuelles Arc de lancement approuvées.