Utiliser une image Windows

Pour créer un pool de bureaux à l'aide de Windows, vous devez utiliser votre propre licence.

Note

  • Oracle fournit des images de base Windows à usage général préconfigurées pour une utilisation avec des bureaux sécurisés. Ouvrez une demande de service pour demander l'une de ces images. Pour plus d'informations, voir Images prises en charge.
  • OCI ne fournit pas d'images ou de licences pour Windows 10 ou Windows 11. Pour utiliser une image Windows, vous devez respecter votre contrat de licence Microsoft. Voir Acquisition de licences Microsoft pour Oracle Cloud Infrastructure.

Importation d'images Windows personnalisées

Le service de calcul vous permet d'importer des images Windows qui ont été créées en dehors d'Oracle Cloud Infrastructure. Par exemple, vous pouvez importer des images exécutées sur des machines physiques ou virtuelles sur place, ou encore des machines virtuelles exécutées dans Oracle Cloud Infrastructure version classique. Vous pouvez ensuite lancer vos images importées sur des machines virtuelles de calcul.

Attention

  • La prise en charge d'Oracle Cloud Infrastructure lors du lancement d'une instance à partir d'un système d'exploitation personnalisé ne garantit pas que le fournisseur du système d'exploitation prend également en charge cette instance.
  • Windows 10/11 exige que vous utilisiez votre propre licence (BYOL). Pour l'activer, l'image personnalisée doit spécifier le système d'exploitation Windows.
  • Par défaut, les ordinateurs de bureau Windows sont provisionnés sur des hôtes dédiés de machine virtuelle (DVH). Si votre contrat de licence autorise la virtualisation des ordinateurs de bureau Windows 10/11 dans un environnement en nuage, vous pouvez désactiver le provisionnement d'hôte de machine virtuelle dédié en ajoutant le marqueur approprié à l'image utilisée pour créer le groupe d'ordinateurs de bureau. Voir Marqueurs de bureau sécurisés.

Configuration requise pour les images sources Windows

Les images personnalisées doivent répondre aux exigences suivantes :

  • La taille maximale de l'image est de 400 Go.
  • L'image doit être configurée pour un type de démarrage pris en charge.
    • Pour une image Windows 10, utilisez le type de démarrage UEFI ou BIOS existant.
    • Pour une image Windows 11, utilisez uniquement le type de démarrage UEFI.
  • Le processus de démarrage ne doit pas nécessiter la présence de volumes de données supplémentaires pour un démarrage réussi.
  • L'image disque ne peut pas être chiffrée.
  • L'image du disque doit être un fichier VMDK ou QCOW2.
    • Créez le fichier d'image en clonant le volume source, et non en créant un instantané.
    • Les fichiers VMDK doivent être de type "unique extensible" (monolithicSparse) ou "optimisé pour le flux" (streamOptimized), qui sont tous deux composés d'un fichier VMDK unique. Tous les autres formats VMDK, tels que ceux qui utilisent plusieurs fichiers, des volumes fractionnés ou qui contiennent des instantanés, ne sont pas pris en charge.
  • L'interface réseau doit utiliser DHCP pour détecter les paramètres de réseau. Lorsque vous importez une image personnalisée, les interfaces réseau existantes ne sont pas recréées. Toutes les interfaces réseau existantes sont remplacées par une carte d'interface réseau unique une fois le processus d'importation terminé. Vous pouvez attacher des cartes d'interface réseau virtuelle supplémentaires après avoir lancé l'instance importée.
  • La configuration réseau ne doit pas coder de façon permanente l'adresse MAC pour l'interface réseau.
  • Pour les images Windows 11, le démarrage sécurisé et le module de plate-forme sécurisée (TPM) doivent être désactivés pour Windows lors de la création de l'image si votre plate-forme de virtualisation ne les prend pas en charge (par exemple, VirtualBox). Avant l'installation, utilisez l'éditeur de registre pour ajouter de nouvelles clés de registre :
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassRAMCheck Valeur DWORD (32 bits) 1.
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassSecureBootCheck Valeur DWORD (32 bits) 1.
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassTPMCheck Valeur DWORD (32 bits) 1.

Préparation des machines virtuelles Windows pour l'importation

Avant de pouvoir importer une image Windows personnalisée, vous devez préparer l'image pour vous assurer que les instances lancées à partir de l'image peuvent démarrer correctement et que les connexions réseau fonctionnent correctement.

Vous pouvez effectuer les tâches décrites dans cette section sur le système source en cours d'exécution. Si vous avez des préoccupations sur la modification du système source en direct, vous pouvez exporter l'image telle quelle, l'importer dans Oracle Cloud Infrastructure, puis lancer une instance basée sur l'image personnalisée. Vous pouvez ensuite vous connecter à l'instance à l'aide de la console VNC et effectuer les étapes de préparation.

Important

Le lecteur système sur lequel Windows est installé sera importé dans Oracle Cloud Infrastructure. Toutes les partitions sur le lecteur suivent l'image importée. Tous les autres lecteurs ne sont pas importés et vous devez les créer de nouveau après l'importation. Vous devez ensuite déplacer manuellement les données sur les lecteurs autres que du système.

Pour préparer une machine virtuelle Windows à importer, utilisez l'une des options suivantes :

Préparation d'une machine virtuelle à l'aide du générateur d'images des ordinateurs de bureau sécurisés

Utilisez le générateur d'images des ordinateurs de bureau sécurisés pour préparer une machine virtuelle en tant qu'image à utiliser avec les ordinateurs de bureau sécurisés.

Cet utilitaire vérifie les exigences, effectue une installation sans surveillance et configure une image (au format VMDK) qui peut être chargée dans Oracle Cloud Infrastructure.

Note

  • Cet utilitaire crée des images pour les éditions Enterprise ou Professional de Windows 10 ou 11 (64 bits). Les versions d'évaluation ne sont pas prises en charge.
  • Cet utilitaire nécessite l'utilisation d'Oracle VirtualBox version 7.0.18. Si vous utilisez une autre solution logicielle de virtualisation, suivez la méthode manuelle pour préparer la machine virtuelle.
  • Cet utilitaire sélectionne automatiquement le micrologiciel UEFI pour une image Windows 11.

Pour utiliser le générateur d'images des ordinateurs de bureau sécurisés :

  1. Reportez-vous à Ordinateurs de bureau sécurisés OCI : Comment créer une image Windows à utiliser avec les ordinateurs de bureau sécurisés OCI à l'aide du générateur d'images d'ordinateurs de bureau sécurisés OCI (KB91837).
  2. Consultez les instructions et téléchargez tous les packages requis sur le système local.
  3. Téléchargez le fichier d'application (joint dans l'article de connaissances) sur le système local.
  4. Exécutez le fichier d'application en tant qu'administrateur et suivez toutes les invites.
  5. Une fois le processus terminé, l'utilitaire affiche l'emplacement du fichier image VMDK qui a été créé.

Étape suivante :

Importez le fichier d'image VMDK vers Oracle Cloud Infrastructure.

Préparation d'une machine virtuelle à l'aide de la méthode manuelle

Utilisez la méthode manuelle pour préparer une machine virtuelle en tant qu'image à utiliser avec les ordinateurs de bureau sécurisés.

Note

Pour obtenir des conseils sur la préparation manuelle de la machine virtuelle à l'aide de VirtualBox, consultez Bureaux sécurisés OCI : Windows 10/11 pour la préparation OCI (KB60923).

Pour préparer manuellement une VM Windows :

  1. Suivez les directives de sécurité de votre organisation pour vous assurer que le système Windows est sécurisé. Cela peut inclure les tâches suivantes, mais ne s'y limite pas :
    • Installez les dernières mises à jour de sécurité pour le système d'exploitation et les applications installées.
    • Activer le pare-feu et le configurer pour activer uniquement les règles qui sont nécessaires.
    • Désactivez les comptes privilégiés inutiles.
    • Utilisez des mots de passe forts pour tous les comptes.
  2. Définissez votre serveur d'activation de licence :
    slmgr.vbs /skms <KMS_server_name_or_IP>:1688
  3. Créez une sauvegarde du volume racine.
  4. Si la machine virtuelle a un stockage attaché à distance, tel que NFS ou des volumes par blocs, configurez tous les services qui dépendent de ce stockage pour démarrer manuellement. Le stockage attaché à distance n'est pas disponible lors du premier démarrage d'une instance importée sur Oracle Cloud Infrastructure.
  5. Assurez-vous que toutes les interfaces réseau utilisent DHCP et que les adresses MAC et les adresses IP ne sont pas codées dur. Pour les étapes de configuration réseau du système, voir la documentation.
  6. Installez Oracle Cloud Agent. Pour obtenir le fichier d'installation d'Oracle Cloud Agent, communiquez avec le soutien technique d'Oracle.
  7. Téléchargez les pilotes Oracle VirtIO pour Microsoft Windows.
  8. Installez les pilotes (en sélectionnant le type d'installation Personnalisé), puis redémarrez l'instance.
  9. Désactivez LockScreen :
    try {
      Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -ErrorAction Stop 
    } catch {
     New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Force
    } try {
     New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1 -PropertyType Dword -ErrorAction Stop
     Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1  -ErrorAction Stop
    } catch {
     echo "done"
    }
  10. Désactiver le modèle de dépendance de taux :
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 1
  11. Réglez le serveur de temps à OCI :
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'Type' -Value NTP -Type String
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'AnnounceFlags' -Value 5 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer' -Name 'Enabled' -Value 1 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'NtpServer' -Value '169.254.169.254,0x9' -Type String
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient' -Name 'SpecialPollInterval' -Value 900 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxPosPhaseCorrection' -Value 1800 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxNegPhaseCorrection' -Value 1800 -Type DWord
  12. Facultativement, installez tout logiciel supplémentaire auquel vous souhaitez que vos utilisateurs aient accès.
  13. Installez Cloudbase-Init. Lors de l'installation :
    • Nom d'utilisateur : Administrateur
    • Ne sélectionnez pas l'option pour exécuter le service Cloudbase-Init en tant que LocalSystem.

      L'utilisation de cette option rend certaines fonctions de système d'exploitation indisponibles pendant la phase d'initialisation en nuage et peut entraîner des volumes de bureau manquants lors du lancement du bureau, ce qui vous oblige à exécuter le script attach_volume.ps1 pour résoudre le problème. Voir Volumes de bureau manquants lors de l'ouverture du bureau Windows.

    • Ne sélectionnez pas les options d'exécution de Sysprep dans Cloudbase-Init et arrêtez le système.

    Une fois l'installation terminée, modifiez C:\Program Files\Cloudbase Solutions\Cloudbase-Init\conf\cloudbase-init.conf et ajoutez retry_count=100.

  14. Créez le script PowerShell C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 pour activer RDP dans Oracle Cloud Infrastructure lors de l'exécution de Cloudbase-Init :
    #ps1_sysnative 
    # 
    # location C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 
    # 
    $script_path=$Env:ProgramData+"\Oracle\OCI\Desktops"
    $log="$script_path\enable_rdp.txt" 
    Start-Transcript -Path $log -Append 
    Write-Host "Enabling rdp port" | Out-Default 
    Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default 
    date | Out-Default 
    Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections -Value 0 | Out-Default 
    Enable-NetFirewallRule -DisplayGroup "Remote Desktop" | Out-Default 
    # 
    Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default 
  15. Si vous prévoyez de lancer l'image importée sur plusieurs instances de machine virtuelle, créez une image généralisée du disque de démarrage. Les informations spécifiques à un ordinateur, telles que les identificateurs uniques, sont nettoyées d'une image généralisée. Lorsque vous créez des instances à partir d'une image généralisée, les identificateurs uniques sont régénérés. Ainsi, deux instances créées à partir de la même image ne peuvent pas créer de conflit avec les mêmes identificateurs.
  16. Exécutez le vérificateur de disponibilité des images des ordinateurs de bureau sécurisés OCI pour vérifier si votre machine virtuelle satisfait aux exigences de conformité à créer en tant qu'image à utiliser avec les ordinateurs de bureau sécurisés.

    Cet outil peut mettre à jour Network Time Protocol (NTP), Remote Desktop Protocol (RDP) et verrouiller les paramètres d'écran requis pour une image Windows Secure Desktops.

    Pour plus d'informations sur cet utilitaire et pour télécharger le fichier d'application, consultez OCI Secure Desktops : How to Confirm Compliance Using the OCI Secure Desktops Image Readiness Checker (KB100881)

  17. Clonez la machine virtuelle arrêtée en tant que fichier VMDK ou QCOW2. Pour les étapes, voir la documentation sur les outils fournie avec l'environnement de virtualisation.

Étape suivante :

Importez le fichier d'image VMDK ou QCOW2 dans Oracle Cloud Infrastructure.

Importation d'une machine virtuelle Windows

Après avoir préparé une image Windows pour l'importation, chargez le fichier d'image et importez l'image.

  1. Chargez le fichier d'image dans un seau du service de stockage d'objets. Utilisez l'interface de ligne de commande (CLI) pour exécuter la commande suivante :
    oci --profile <profile in $HOME/.oci/config> --region <region> os object put\
        -bn <name of bucket> \
        -ns <name space> \
        --name <The name of the object in the bucket> \
        --file <path to the QCOW2 or VMDK image>
  2. Créez une image personnalisée à partir de l'objet chargé dans le seau :
    oci --profile <profile in $HOME/.oci/config> --region <region> \
       compute image import from-object \
       -ns <name space> \
       -bn <name of bucket> \
       --name <The name of the object in the bucket> \
       --compartment-id <The OCID of the compartment you want the custom image to be created in> \
       --display-name <A user-friendly name for the new custom image> \
       --launch-mode PARAVIRTUALIZED \
       --source-image-type QCOW2|VMDK

    L'image importée apparaît dans la liste des images personnalisées pour le compartiment, avec l'état importation. Lorsque l'importation est terminée, l'état passe à Disponible.

    En cas d'échec de la modification de l'état ou d'absence d'entrée dans la liste des images personnalisées, l'importation a échoué. Vérifiez que vous avez accès en lecture à l'objet du service de stockage d'objets et qu'il contient une image prise en charge.

  3. Mettez à jour l'image personnalisée pour spécifier le système d'exploitation Windows et la version du système d'exploitation Windows10 ou Windows11 :
    oci --profile <profile in $HOME/.oci/config> --region <region> \
       compute image update --image-id <custom image ocid> \
       --operating-system Windows \
       --operating-system-version <Windows10 or Windows11>
  4. Assurez-vous que l'image personnalisée est réglée au mode de démarrage correct.
    • Pour une image Windows 10, utilisez le type de démarrage UEFI ou BIOS existant.
    • Pour une image Windows 11, utilisez uniquement le type de démarrage UEFI.

    Pour régler le mode de démarrage :

    1. Ouvrez le menu de navigation et cliquez sur Calcul. Sous Calcul, cliquez sur Images personnalisées.
    2. Cliquez sur l'image personnalisée qui vous intéresse.
    3. Cliquez sur Actions et sélectionnez Modifier les capacités de l'image. Pour le microprogramme, sélectionnez le mode de démarrage approprié.
    4. Cliquez sur enregistrer les modifications.
  5. (Windows 11) Configurez l'image personnalisée pour les instances dotées d'une protection maximale.

    Windows 11 inclut la prise en charge des instances dotées d'une protection maximale. Les instances blindées utilisent une combinaison de Secure Boot, Measured Boot et Trusted Platform Module (TPM) pour renforcer la sécurité du firmware afin de se protéger contre les logiciels malveillants au niveau du démarrage.

    • Le démarrage sécurisé est une fonction de l'interface UEFI (Unified Extensible Firmware Interface) qui empêche les programmes de démarrage et les systèmes d'exploitation non autorisés de démarrer.
    • Le démarrage mesuré améliore la sécurité du démarrage en stockant les mesures des composants de démarrage, tels que les chargeurs de démarrage, les pilotes et les systèmes d'exploitation.
    • Trusted Platform Module (TPM) est une puce de sécurité spécialisée utilisée par le démarrage mesuré pour stocker les mesures de démarrage. L'activation du démarrage mesuré pour les machines virtuelles active automatiquement TPM.

    Pour activer les instances dotées d'une protection maximale :

    1. Ouvrez le menu de navigation et cliquez sur Calcul. Sous Calcul, cliquez sur Images personnalisées.
    2. Cliquez sur l'image personnalisée qui vous intéresse.
    3. Cliquez sur Actions et sélectionnez Modifier les capacités d'image. Définissez les paramètres suivants :
      • Pour le microprogramme, assurez-vous que seul UEFI-64 est sélectionné.
      • Assurez-vous que le démarrage sécurisé est activé.
    4. Cliquez sur Enregistrer les modifications.

    Par conséquent, lorsque vous créez un groupe d'ordinateurs de bureau à l'aide de cette image, Secure Desktops détecte ce paramètre d'image et active automatiquement les instances de bureau dotées d'une protection maximale.

  6. Avant de rendre votre image disponible pour utilisation avec Secure Desktops, nous vous recommandons de tester l'image en créant manuellement une instance de calcul avec l'image et en établissant une connexion à la console. Voir Résolution des instances à partir des connexions à la console d'instance.
  7. Ajoutez la balise d'image requise pour rendre l'image disponible pour utilisation avec Secure Desktops.

    oci:desktops:is_desktop_image=true

    Voir Marqueurs de bureau sécurisés.