Možnosti sítě Azure VM Image Builderu
Platí pro: ✔️ Flexibilní škálovací sady virtuálních počítačů s Linuxem ✔️
Pomocí Azure VM Image Builderu se rozhodnete nasadit službu s existující virtuální sítí nebo bez této stávající virtuální sítě. Následující části obsahují další podrobnosti o této volbě.
Nasazení bez zadání existující virtuální sítě
Pokud nezadáte existující virtuální síť, Vytvoří ho Image Builder virtuálního počítače společně s podsítí v pracovní skupině prostředků. Služba používá prostředek veřejné IP adresy se skupinou zabezpečení sítě k omezení příchozího provozu. Veřejná IP adresa usnadňuje kanál pro příkazy během sestavení image. Po dokončení sestavení se odstraní virtuální počítač, veřejná IP adresa, disky a virtuální síť. Pokud chcete tuto možnost použít, nezadávejte žádné vlastnosti virtuální sítě.
Nasazení pomocí existující virtuální sítě
Pokud zadáte virtuální síť a podsíť, Nástroj Image Builder nasadí virtuální počítač sestavení do zvolené virtuální sítě. Máte přístup k prostředkům, které jsou přístupné ve vaší virtuální síti. Můžete také vytvořit vysílanou virtuální síť, která není připojená k jakékoli jiné virtuální síti. Pokud zadáte virtuální síť, Nástroj Image Builder virtuálního počítače nepoužívá veřejnou IP adresu. Komunikace z VM Image Builderu s virtuálním počítačem sestavení používá Azure Private Link.
Další informace najdete v jednom z následujících příkladů:
- Použití Azure VM Image Builderu pro virtuální počítače s Windows umožňující přístup k existující virtuální síti Azure
- Použití Azure VM Image Builderu pro virtuální počítače s Linuxem umožňující přístup k existující virtuální síti Azure
Co je privátní propojení Azure?
Azure Private Link poskytuje privátní připojení z virtuální sítě k platformě Azure jako služby (PaaS) nebo k partnerským službám vlastněným zákazníkem nebo Microsoftu. Zjednodušuje síťovou architekturu a zabezpečuje připojení mezi koncovými body v Azure tím, že eliminuje vystavení dat veřejnému internetu. Další informace najdete v dokumentaci ke službě Private Link.
Požadovaná oprávnění pro existující virtuální síť
Image Builder virtuálního počítače vyžaduje konkrétní oprávnění k používání existující virtuální sítě. Další informace najdete v tématu Konfigurace oprávnění Image Builderu virtuálních počítačů Azure pomocí Azure CLI nebo konfigurace oprávnění Azure VM Image Builderu pomocí PowerShellu.
Co je nasazené během sestavení image?
Pokud používáte existující virtuální síť, Nástroj pro vyrovnávání zatížení (Azure Load Balancer) nasadí další virtuální počítač ( proxy virtuální počítač). Ty jsou připojené k Private Linku. Provoz ze služby Image Builder virtuálního počítače prochází přes privátní propojení s nástrojem pro vyrovnávání zatížení. Nástroj pro vyrovnávání zatížení komunikuje s virtuálním počítačem proxy pomocí portu 60001 pro Linux nebo portu 60000 pro Windows. Proxy server předává příkazy na virtuální počítač sestavení pomocí portu 22 pro Linux nebo portu 5986 pro Windows.
Poznámka:
Virtuální síť musí být ve stejné oblasti jako oblast služby Image Builder virtuálního počítače.
Důležité
Služba Azure VM Image Builder upraví konfiguraci připojení WinRM ve všech buildech Windows tak, aby používala HTTPS na portu 5986 místo výchozího portu HTTP na portu 5985. Tato změna konfigurace může mít vliv na pracovní postupy, které spoléhají na komunikaci WinRM.
Proč nasadit virtuální počítač proxy serveru?
Pokud je virtuální počítač bez veřejné IP adresy za interním nástrojem pro vyrovnávání zatížení, nemá přístup k internetu. Nástroj pro vyrovnávání zatížení používaný pro virtuální síť je interní. Proxy virtuální počítač umožňuje přístup k internetu pro virtuální počítač sestavení během sestavení. K omezení přístupu k virtuálnímu počítači sestavení můžete použít přidružené skupiny zabezpečení sítě.
Nasazená velikost virtuálního počítače proxy serveru je standard A1_v2 kromě virtuálního počítače sestavení. Služba Image Builder virtuálního počítače používá proxy virtuální počítač k odesílání příkazů mezi službou a virtuálním počítačem sestavení. Vlastnosti virtuálního počítače proxy serveru nemůžete změnit (toto omezení zahrnuje velikost a operační systém).
Parametry šablony image pro podporu virtuální sítě
"vnetConfig": {
"subnetId": ""
},
Nastavení | Popis |
---|---|
subnetId |
ID prostředku existující podsítě, na které je nasazený virtuální počítač sestavení a ověření. |
Private Link vyžaduje IP adresu ze zadané virtuální sítě a podsítě. Azure v současné době nepodporuje zásady sítě na těchto IP adresách. Proto musíte v podsíti zakázat zásady sítě. Další informace najdete v dokumentaci ke službě Private Link.
Kontrolní seznam pro používání virtuální sítě
- Povolte službě Azure Load Balancer komunikaci s virtuálním počítačem proxy ve skupině zabezpečení sítě.
- Zakažte zásady privátní služby v podsíti.
- Umožňuje VM Image Builderu vytvořit nástroj pro vyrovnávání zatížení a přidat do virtuální sítě virtuální počítače.
- Povolte VM Image Builderu čtení a zápisu zdrojových imagí a vytváření imagí.
- Ujistěte se, že používáte virtuální síť ve stejné oblasti jako oblast služby VM Image Builder.