Vytvoření virtuálního počítače pomocí schválené základny

Tento článek popisuje, jak pomocí Azure vytvořit virtuální počítač obsahující předem nakonfigurovaný schválený operační systém. Pokud to není kompatibilní s vaším řešením, je možné vytvořit a nakonfigurovat místní virtuální počítač pomocí schváleného operačního systému.

Poznámka:

Než začnete s tímto postupem, projděte si technické požadavky na nabídky virtuálních počítačů Azure, včetně požadavků na virtuální pevný disk (VHD).

Vyberte schválený základní obraz

Jako základ vyberte jednu z následujících imagí windows nebo Linuxu.

Windows

• Windows Server
• SQL Server 2019, 2014, 2012
• Windows 11 Enterprise (tato základní image je schválená pouze pro použití s Microsoft Dev Boxem)

Linux

Azure nabízí celou řadu schválených linuxových distribucí. Aktuální seznam najdete na stránce Linux na distribucích schválených Azure.

Vytvoření virtuálního počítače na webu Azure Portal

1. Přihlaste se k portálu Azure.
2. Vyberte Virtuální počítače.
3. V rozevíracím menu vyberte + Vytvořit a + virtuální počítač a tím otevřete obrazovku Vytvořit virtuální počítač.
4. Vyberte image z rozevíracího seznamu nebo vyberte Zobrazit všechny image a vyhledejte nebo projděte všechny dostupné image virtuálních počítačů. V závislosti na vybraném obrázku můžete také nakonfigurovat generaci virtuálního počítače.
5. Zvolte velikost nasazovaného virtuálního počítače.
6. Zadejte další požadované podrobnosti k vytvoření virtuálního počítače.
7. Výběrem možnosti Zkontrolovat a vytvořit zkontrolujte své volby. Jakmile se zobrazí zpráva o úspěšném ověření, vyberte Vytvořit.

Azure začne zřizovat zadaný virtuální počítač. Průběh můžete sledovat tak , že v nabídce vlevo vyberete kartu Virtuální počítače . Po vytvoření se stav virtuálního počítače změní na Spuštěno.

Nakonfigurování virtuálního počítače

Tato část popisuje velikost, aktualizaci a generalizaci virtuálního počítače Azure. Tyto kroky jsou nezbytné k přípravě vašeho virtuálního počítače na nasazení na Azure Marketplace.

Připojení k virtuálnímu počítači

Informace o připojení k virtuálnímu počítači s Windows nebo Linuxem najdete v následující dokumentaci.

Instalace nejnovějších aktualizací

Základní obrazy virtuálních počítačů s operačním systémem musí obsahovat nejnovější aktualizace k datu jejich publikování. Před publikováním se ujistěte, že jste aktualizovali operační systém a všechny nainstalované služby s nejnovějšími opravami zabezpečení a údržby.

• Pro Windows Server spusťte příkaz Vyhledat aktualizace.
• V případě linuxových distribucí se aktualizace běžně stahují a instalují prostřednictvím nástroje příkazového řádku nebo grafického nástroje. Například Ubuntu Linux poskytuje příkaz apt-get a nástroj Update Manager pro aktualizaci operačního systému.

Provádění dalších kontrol zabezpečení

Udržujte vysokou úroveň zabezpečení imagí řešení na Azure Marketplace. Kontrolní seznam konfigurací a postupů zabezpečení najdete v tématu Doporučení zabezpečení pro image z Azure Marketplace.

Přizpůsobení obrazu virtuálního počítače

Teď nainstalujte potřebný software a proveďte na virtuálním počítači všechny vlastní změny konfigurace, aby řešení fungovalo správně, včetně všech naplánovaných úloh, které je potřeba spustit po nasazení. Zvažte následující při provádění vlastních změn:

• Pokud se jedná o naplánovanou úlohu spouštěnou jednou, měla by se úloha po úspěšném dokončení odstranit.
• Konfigurace by neměly spoléhat na jiné jednotky než C nebo D, protože vždy existují pouze tyto dvě jednotky (jednotka C je disk operačního systému a jednotka D je dočasný místní disk).
• Proveďte všechny změny technické konfigurace potřebné pro vaše řešení. Později označíte konfigurace, které provedete na virtuálním počítači, v části Vlastnosti na stránce Technická konfigurace v Partnerském centru. Zobrazí se zákazníkům, které scénáře jsou podporované na základě změn konfigurace, které teď provedete. Během publikování vyberte následující vlastnosti technické konfigurace:
  • Podporuje zálohování.
  • Podporuje akcelerované síťové služby.
  • Podporuje konfiguraci cloud-init.
  • Podporuje rozšíření.
  • Je síťové virtuální zařízení
  • Vzdálená plocha nebo SSH je zakázaná
  • Vyžaduje vlastní šablonu ARM.

Další informace o přizpůsobení Linuxu najdete v tématu Rozšíření a funkce virtuálních počítačů pro Linux.

Zobecnění obrazu

Všechny image na Azure Marketplace musí být opakovaně použitelné obecným způsobem. Aby toho bylo dosaženo, musí být virtuální pevný disk (VHD) operačního systému zobecněn. Tato operace odstraní z virtuálního počítače všechny identifikátory a softwarové ovladače specifické pro danou instanci.

Pro Windows

Disky s operačním systémem Windows jsou generalizovány nástrojem sysprep . Pokud později aktualizujete nebo znovu nakonfigurujete operační systém, musíte znovu spustit nástroj sysprep.

Varování

Po spuštění nástroje Sysprep vypněte virtuální počítač, dokud se nenasadí, protože aktualizace se můžou spouštět automaticky. Toto vypnutí zabrání následným aktualizacím v provádění změn specifických pro instanci operačního systému nebo nainstalovaných služeb. Další informace o spuštění nástroje Sysprep naleznete v tématu Generalizace virtuálního počítače s Windows.

Poznámka:

Pokud máte v předplatném, ve kterém vytváříte virtuální počítač, který se má zachytit, povolený Microsoft Defender for Cloud (Azure Defender), a nechcete, aby se na portálu Defender pro koncové body zaregistroval žádný virtuální počítač vytvořený z této image, ujistěte se, že v předplatném nebo samotném virtuálním počítači zakážete Microsoft Defender for Cloud. Pokud tato možnost není zakázaná, všechny virtuální počítače vytvořené z této image se zaregistrují na portálu Defender for Endpoint, i když je virtuální počítač nasazený do jiného tenanta bez Microsoft Defenderu pro cloud.

Pro Linux

1. Odeberte agenta Azure pro Linux.

   1. Připojte se k virtuálnímu počítači s Linuxem pomocí klienta SSH.
   2. V okně SSH zadejte tento příkaz: sudo waagent –deprovision+user.
   3. Pokračujte zadáním Y (můžete přidat parametr -force do předchozího příkazu, abyste se vyhnuli kroku potvrzení).
   4. Po dokončení příkazu zadejte Exit a zavřete klienta SSH.

2. Pokud je na vaší imagi nainstalovaný Microsoft Defender for Endpoint (MDE), odinstalujte MDE spuštěním následujících příkazů v závislosti na operačním systému image:

   • RHEL, CentOS a Oracle: sudo yum remove mdatp

   • SLES a varianty: sudo zypper remove mdatp

   • Ubuntu a Debian: sudo apt-get purge mdatp

   • Námořník: sudo dnf remove mdatp

3. Zastavte virtuální počítač.

   1. Na portálu Azure vyberte svou skupinu prostředků (RG) a dealokujte virtuální počítač.
   2. Váš virtuální počítač se teď zobecní a pomocí tohoto disku virtuálního počítače můžete vytvořit nový virtuální počítač.

Zachycení obrázku

Poznámka:

Předplatné Azure obsahující Azure Compute Gallery musí být pro publikování ve stejném provozovateli jako účet vydavatele. Účet vydavatele musí mít také alespoň přístup přispěvatele k předplatnému, které obsahuje Galerii výpočetních prostředků Azure.

Jakmile je virtuální počítač připravený, můžete ho zachytit v Galerii výpočetních prostředků Azure (dříve označované jako Sdílená galerie imagí). K zachycení použijte následující postup:

1. Na webu Azure Portal přejděte na stránku virtuálního počítače.
2. Vyberte Zachytit.
3. V části Sdílet image do Galerie výpočetních prostředků Azure vyberte Ano, sdílejte ji do galerie jako verzi image.
4. Vyberte v části Stav operačního systému možnost Generalized.
5. Vyberte galerii cílových imagí nebo Vytvořte novou.
6. Vyberte definici cílové image nebo vytvořte novou.
7. Zadejte číslo verze image.
8. Výběrem možnosti Zkontrolovat a vytvořit zkontrolujte své volby.
9. Po úspěšném ověření vyberte Vytvořit.

Poskytni Partner Center oprávnění k Azure Compute Gallery.

Publikování obrazů virtuálních počítačů na Azure Marketplace z Galerie výpočetních prostředků Azure vyžaduje, abyste nastavili oprávnění, aby Partnerské centrum mohlo získat obrazy hostované ve vaší galerii.

Důležité

Microsoft přechází na nový, bezpečnější proces získávání obrázků z vaší Galerie počítače. Pokud chcete pokračovat v aktualizaci nabídek virtuálních počítačů, pomocí následujícího postupu se ujistěte, že následující aplikace Microsoftu mají udělený přístup. Tyto kroky je nutné provést jednou pro každou galerii výpočetních prostředků použitou k publikování na Azure Marketplace.

Požadavky

Pokud chcete partnerskému centru udělit oprávnění, musíte zajistit splnění následujících požadavků:

1. Vaše galerie služby Azure Compute musí být ve stejném tenantovi Microsoft Entra, který je propojený s vaším účtem v Partnerském centru.
2. Musíte být vlastníkem předplatného, ve kterém se nachází galerie výpočetních prostředků.

Doporučení

Doporučujeme použít vyhrazenou výpočetní galerii pro účely publikování do Partnerského centra a udělit oprávnění pouze této vyhrazené galerii. Oprávnění na úrovni předplatného nemusíte udělovat.

Krok 1: Zřízení hlavních služebních identit

Nejprve musíte zřídit principály služby ve vašem předplatném Azure, což se provádí registrací Poskytovatele prostředků Microsoft Partner Center. Principál služby je identita, která se pak použije k poskytnutí přístupu službě Partner Center do vaší Galerie počítačů pro získání vašich obrázků. Tento krok neuděluje přístup.

PowerShell

# Connect to your Azure account
Connect-AzAccount

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
Set-AzContext -Subscription <SubscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
Register-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

# Ensure the Resource Principal is registered successfully.
Get-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

Azure CLI

# Connect to your Azure account
Az login

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
az account set --subscription <subscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
az provider register --namespace

# Ensure the Resource Principal is registered successfully.
az provider show --namespace Microsoft.PartnerCenterIngestion

Krok 2: Udělení přístupu k Partnerskému centru ke službě Azure Compute Gallery

Po zřízení služebních účtů jim musí být udělena jednoznačná oprávnění ke čtení obrázků z konkrétní galerie výpočtů. Partner Center prochází přechodem na bezpečnější proces pro získávání obrázků. Během tohoto přechodu vás požádáme, abyste dočasně udělili přístup ke dvěma aplikacím Microsoftu, abyste mohli pokračovat v aktualizaci nabídek virtuálních počítačů.

PowerShell

# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
Get-AzGallery -ResourceGroupName <resource-group> -GalleryName <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
Get-AzADServicePrincipal -SearchString "Microsoft Partner Center Resource Provider"

# Create a role assignment to the first Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id1> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
Get-AzADServicePrincipal -SearchString "Compute Image Registry"

# Create a role assignment to the second Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id2> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

Azure CLI

# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
az sig show --resource-group <resource-group> --gallery-name <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
az ad sp list --display-name "Microsoft Partner Center Resource Provider" --query '[].id'

# Create a role assignment to the first Microsoft application.
az role assignment create --assignee-object-id <sp-id1> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
az ad sp list --display-name "Compute Image Registry" --query '[].id'

# Create a role assignment to the second Microsoft application.
az role assignment create --assignee-object-id <sp-id2> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

portál Azure

1. Přihlášení na portál Azure
2. Přejděte do galerie výpočetních prostředků Azure, která obsahuje image virtuálního počítače.
3. V Galerii výpočetních prostředků Azure přejděte na kartu Řízení přístupu.
4. Vyberte Přidat>Přidat přiřazení role.
5. Vyberte roli Compute Gallery Image Reader a klikněte na Další.
6. Vyberte možnost přiřazení přístupu k uživateli, skupině nebo hlavnímu prvku služby.
7. Klikněte na + Vybrat členy a vyhledejte a vyberte aplikační objekty "Poskytovatel prostředků Microsoft Partner Center" a "Registr obrazů výpočetní techniky". Klikněte na tlačítko Další.
8. Klikněte na Zkontrolovat a přiřadit.

Přihlaste se k Partnerskému centru a publikujte image.

Související obsah

• Pokud jste narazili na potíže s vytvořením nového virtuálního pevného disku založeného na Azure, přečtěte si nejčastější dotazy k virtuálním počítačům pro Azure Marketplace.