Použití Azure VM Image Builderu
VM Image Builder je plně spravovaná služba Azure, která je přístupná poskytovatelům prostředků Azure. Poskytovatelé prostředků ji nakonfigurují zadáním zdrojové image, vlastního nastavení, které se má provést a kde se má nová image distribuovat. Pracovní postup vysoké úrovně je znázorněný v diagramu:
Konfigurace šablon můžete předat pomocí Azure PowerShellu, Azure CLI nebo šablon Azure Resource Manageru nebo pomocí úlohy DevOps VM Image Builderu. Když odešlete konfiguraci do služby, Azure vytvoří prostředek šablony obrazu . Po vytvoření prostředku šablony obrázku se v rámci vašeho předplatného vytvoří přípravná skupina prostředků ve formátu IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID). Přípravná skupina prostředků obsahuje soubory a skripty, na které se odkazuje v nastavení File, Shell a PowerShell ve vlastnosti ScriptURI.
Sestavení spustíte tak, že v prostředku šablony Image Builderu pro virtuální počítače spustíte akci Run. Služba pak nasadí další prostředky pro sestavení, jako je virtuální počítač, síť, disk a síťový adaptér.
Pokud vytvoříte image bez použití existující virtuální sítě, nástroj Image Builder virtuálního počítače nasadí také veřejnou IP adresu a skupinu zabezpečení sítě. Tvůrce obrazů VM se připojí k sestavení VM pomocí protokolu SSH (Secure Shell) nebo WinRM (Windows Remote Management).
Pokud vyberete existující virtuální síť, služba se nasadí přes Azure Private Link a nevyžaduje se veřejná IP adresa. Další informace naleznete v části Síťová infrastruktura VM Image Builderu – přehled.
Po dokončení sestavení se odstraní všechny prostředky s výjimkou přípravné skupiny prostředků a účtu úložiště. Můžete je odebrat odstraněním prostředku šablony image nebo je nechat na místě, aby se sestavení spustilo znovu.
Pro více příkladů, podrobné příručky, šablony konfigurace a řešení přejděte do úložiště GitHub Image Builder pro virtuální počítače .
Bezpečnost
Pro zajištění bezpečnosti vašich obrazů, VM Image Builder:
- Umožňuje vytvářet základní image (tj. minimální zabezpečení a podnikové konfigurace) a umožnit dalším oddělením jejich další přizpůsobení. Tyto obrazy můžete zabezpečit a dodržovat předpisy použitím nástroje VM Image Builder k rychlému opětovnému sestavení zlatého obrazu, který používá nejnovější opravenou verzi zdrojového obrazu. VM Image Builder také usnadňuje vytváření imagí, které splňují standardní hodnoty zabezpečení Azure Windows. Další informace najdete v tématu VM Image Builder – šablona standardních hodnot Windows.
- Umožňuje načíst artefakty vlastního nastavení, aniž byste je museli veřejně zpřístupnit. VM Image Builder může použít vaši spravovanou identitu Azure k načtení těchto prostředků a pomocí řízení přístupu v Azure na základě role (Azure RBAC) můžete takto omezit oprávnění této identity přesně podle potřeby. Artefakty můžete udržovat v tajnosti a zabránit manipulaci neoprávněnými aktéry.
- Bezpečně ukládá kopie artefaktů přizpůsobení, přechodných výpočetních a úložných prostředků a jejich výsledných obrazů v rámci vašeho předplatného, protože přístup řídí Azure RBAC. Tato úroveň zabezpečení, která platí také pro sestavovací VM používaný k vytvoření přizpůsobené image, pomáhá zabránit kopírování přizpůsobovacích skriptů a souborů do neznámého virtuálního počítače v neznámém předplatném. A můžete dosáhnout vysokého stupně oddělení od úloh jiných zákazníků pomocí nabídek izolovaných virtuálních počítačů pro buildový virtuální počítač.
- Umožňuje připojit VM Image Builder ke stávajícím virtuálním sítím, což umožní komunikaci se stávajícími konfiguračními servery, jako je server pro získání konfigurace požadovaného stavu (DSC), Chef a Puppet, sdílené soubory nebo složky, nebo jakékoli jiné směrovatelné servery a služby.
- Je možné nakonfigurovat vaše uživatelem přiřazené identity k virtuálnímu počítači používanému službou VM Image Builder (tj. virtuální počítač, který služba VM Image Builder vytvoří ve vašem předplatném a používá pro sestavení a úpravu image). Tyto identity pak můžete použít v době přizpůsobení pro přístup k prostředkům Azure, včetně tajných kódů, ve vašem předplatném. K Nástroji image virtuálního počítače není potřeba přiřazovat přímý přístup k těmto prostředkům.
Podpora operačního systému
VM Image Builder je navržen tak, aby fungoval se všemi základními obrázky operačního systému z Azure Marketplace.
Poznámka
Začínáme vytvářením a ověřováním vlastních imagí na portálu.
Podpora konfidenčních virtuálních počítačů a spolehlivého spuštění
VM Image Builder má rozšířenou podporu pro image typu TrustedLaunchSupported a ConfidentialVMSupported s určitými omezeními. Níže je seznam omezení:
| SecurityType | stav podpory |
|---|---|
| Podporovaná důvěryhodná spuštění | Podpora jako zdrojový obraz pro sestavení obrazů |
| PodporaDůvěrnéhoVM | Podpora jako zdrojový obraz pro sestavení obrazů |
| TrustedLaunch | Není podporováno jako zdrojový obrázek. |
| ConfidentialVM | Není podporován jako zdrojový obraz. |
Poznámka
Při použití imagí TrustedLaunchSupported je důležité, aby jak zdroj, tak distribuce byly podporovány TrustedLaunchSupported, aby to bylo podporováno. Pokud je zdroj normální a distribuce je TrustedLaunchSupported, nebo pokud je zdroj TrustedLaunchSupported a distribuce je normální Gen2, není podporována.