Bereitstellen einer VM-Skalierungsgruppe mithilfe eines gehärteten Linux-Images
Gilt für: ✔️ Gehärtete Linux-Images
Für Bereitstellungen von VM-Skalierungsgruppen mithilfe von Images aus dem Azure Marketplace können die Schritte ausgeführt werden, die für VMSS-Standardbereitstellungen angegeben sind.
Wenn Sie sich jedoch dafür entschieden haben, ein gehärtetes Linux-Image zu erstellen, indem Sie die Azure-Gast-Agents entfernen, ist es wichtig zu verstehen, welche Funktionen auf der VM verloren gehen, bevor Sie den Azure Linux-Agent entfernen, und wie sich dies auf die VMSS-Bereitstellung auswirkt.
In diesem Anleitungsdokument werden die Schritte zum Bereitstellen einer VM-Skalierungsgruppeninstanz beschrieben. Dabei werden die funktionalen Einschränkungen des gehärteten Images bei der Bereitstellung der VMSS-Instanz erläutert.
Voraussetzungen
- Azure-Abonnement: Wenn Sie über kein Azure-Abonnement verfügen, können Sie ein kostenloses Azure-Konto erstellen, bevor Sie beginnen.
- Wenn Ihre kostenlosen Testkonten keinen Zugriff auf die VMs haben, die in diesem Tutorial verwendet werden, besteht eine Option in der Verwendung eines Abonnements mit nutzungsbasierter Bezahlung.
- Ein gehärtetes Linux-Image. Informationen zum Erstellen finden Sie in diesem Artikel.
VMSS-Bereitstellung vertraulicher VMs auf der Grundlage eines gehärteten Linux-Images
Zum Bereitstellen einer Skalierungsgruppe mithilfe von VMSS und eines gehärteten Images werden die folgenden Schritte ausgeführt:
Führen Sie die Schritte zum Härten eines Linux-Images aus.
Härten eines Linux-Images zum Entfernen des Azure Gast-Agents
Anmelden bei der Azure CLI
Achten Sie darauf, dass Sie die aktuelle Version der Azure CLI installiert haben und mit az login bei einem Azure-Konto angemeldet sind.
Starten Sie Azure Cloud Shell.
Azure Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel durchführen können. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert.
Wählen Sie zum Öffnen von Cloud Shell oben rechts in einem Codeblock einfach die Option Ausprobieren. Sie können Cloud Shell auch auf einer separaten Browserregisterkarte öffnen, indem Sie zu https://shell.azure.com/bash navigieren. Wählen Sie Kopieren aus, um die Codeblöcke zu kopieren. Fügen Sie die Blöcke anschließend in Cloud Shell ein, und wählen Sie Eingabe, um sie auszuführen.
Wenn Sie es vorziehen, die Befehlszeilenschnittstelle lokal zu installieren und zu verwenden, müssen Sie für diese Schnellstartanleitung mindestens Azure CLI-Version 2.0.30 verwenden. Führen Sie „az--version“ aus, um die Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.
Erstellen Sie eine Ressourcengruppe.
Erstellen Sie mithilfe des Befehls az group create eine Ressourcengruppe. Eine Azure-Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Im folgenden Beispiel wird eine Ressourcengruppe mit dem Namen myResourceGroup am Standort eastus erstellt:
az group create --name myResourceGroup --location eastusHinweis
Vertrauliche VMs sind nicht an allen Standorten verfügbar. Informationen zu den derzeit unterstützten Standorten finden Sie unter Verfügbarkeit von VM-Produkten nach Azure-Region.
Erstellen Sie eine VM-Skalierungsgruppe.
Erstellen Sie nun mit „az vmss create az cli“ eine VM-Skalierungsgruppe. Im folgenden Beispiel wird eine Skalierungsgruppe namens „myScaleSet“ mit 2 Instanzen erstellt.
Wenn Sie einen Administratorbenutzernamen festlegen möchten, stellen Sie sicher, dass er nicht Teil der Liste mit reservierten Wörtern für VMSS ist. In diesem Fall wird der Benutzername automatisch auf „azureuser“ festgelegt. Als Administratoranmeldeinformationen können Sie die Anmeldeinformationen verwenden, die Sie bei der Erstellung der VM auf Grundlage des gehärteten Images festgelegt haben.
Hinweis
Bei spezialisierten Images werden osprofile-Eigenschaften anders behandelt als bei generalisierten Images. Die Verwendung eines Lastenausgleichs ist optional, wird jedoch aus diesen Gründen empfohlen.
az vmss create \ --resource-group myResourceGroup \ --name myScaleSet \ --vm-sku "Standard_DC4as_v5" \ --security-type ConfidentialVM \ --os-disk-security-encryption-type DiskwithVMGuestState \ --os-disk-secure-vm-disk-encryption-set "/subscriptions/.../disk-encryption-sets/<des-name>" \ --image "/subscriptions/.../images/<imageName>/versions/<version>" \ --enable-vtpm true \ --enable-secure-boot true \ --vnet-name <virtual-network-name> \ --subnet <subnet-name> \ --lb "/subscriptions/.../loadBalancers/<lb-name>" \ --specialized true \ --instance-count 2 \ --admin-username "azureuser" \ --admin-password ""Greifen Sie über das Portal auf die VM-Skalierungsgruppe zu.
Sie können auf die CVM-Skalierungsgruppe zugreifen und den zuvor festgelegten Administratorbenutzernamen und das Kennwort verwenden, um sich anzumelden. Beachten Sie Folgendes: Wenn Sie die Administratoranmeldeinformationen aktualisieren möchten, tun Sie dies direkt im Skalierungsgruppenmodell mithilfe der CLI.
Hinweis
Wenn Sie die CVM-Skalierungsgruppe mithilfe des benutzerdefinierten gehärteten Images bereitstellen möchten, beachten Sie, dass einige Features im Zusammenhang mit der automatischen Skalierung eingeschränkt sind. Die Regeln für manuelle Skalierung funktionieren zwar weiterhin wie erwartet, die automatische Skalierung ist aber aufgrund des benutzerdefinierten Images ohne Agent eingeschränkt. Weitere Details zu den Einschränkungen für den Bereitstellungs-Agent finden Sie hier. Alternativ können Sie im Azure-Portal zur Registerkarte „Metriken“ navigieren und dies überprüfen. Sie können jedoch weiterhin benutzerdefinierte Regeln einrichten, die auf Lastenausgleichsmetriken wie SYN-Anzahl, SNAT-Verbindungsanzahl usw. basieren.
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie eine VM-Skalierungsgruppeninstanz mit einem gehärteten Linux-Image bereitstellen. Weitere Informationen zu CVM finden Sie unter Vertrauliche VMs der Serien DCasv5 und ECasv5.