Freigeben über

Bewährte Methoden für Azure VM Image Builder

  • Artikel

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen

In diesem Artikel werden bewährte Methoden beschrieben, die sie beim Verwenden des Azure VM Image Builder (AIB) befolgt werden müssen.

  • Um zu verhindern, dass Bildvorlagen versehentlich gelöscht werden, verwenden Sie Ressourcensperren auf der Ressourcenebene der Bildvorlage. Weitere Informationen finden Sie unter Schützen Ihrer Azure-Ressourcen mit einer Sperre.
  • Stellen Sie sicher, dass Ihre Imagevorlagen für die Notfallwiederherstellung eingerichtet sind, indem Sie die Zuverlässigkeitsempfehlung für AIB ausführen.
  • Richten Sie AIB-Trigger ein, um Ihre Images automatisch neu zu erstellen und sie auf dem neuesten Stand zu halten.
  • Aktivieren Sie die VM-Startoptimierung in AIB, um die Erstellungszeit für Ihre virtuellen Computer zu verbessern.
  • Geben Sie Ihre eigenen Build-VM- und ACI-Subnetze für eine engere Kontrolle über die Bereitstellung von netzwerkbezogenen Ressourcen durch AIB in Ihrem Abonnement an. Die Angabe dieser Subnetze führt auch zu schnelleren Imagebuildzeiten. Weitere Informationen zum Angeben dieser Optionen finden Sie in der Vorlagenreferenz.
  • Befolgen Sie das Prinzip der geringsten Rechte für Ihre AIB-Ressourcen.
    • Bildvorlage: Ein Prinzipal, der Zugriff auf Ihre Bildvorlage hat, kann sie ausführen, löschen oder manipulieren. Wenn Sie diesen Zugriff haben, kann der Prinzipal die von dieser Bildvorlage erstellten Bilder ändern.
    • Stagingressourcengruppe: AIB verwendet eine Stagingressourcengruppe in Ihrem Abonnement, um Ihr VM-Image anzupassen. Sie müssen diese Ressourcengruppe als vertraulich betrachten und den Zugriff auf diese Ressourcengruppe nur auf erforderliche Prinzipale beschränken. Da der Prozess der Anpassung Ihres Bilds in dieser Ressourcengruppe stattfindet, kann ein Prinzipal mit Zugriff auf die Ressourcengruppe den Imageerstellungsprozess kompromittieren, z. B. durch Einfügen von Schadsoftware in das Bild. AIB delegiert außerdem Berechtigungen, die der Vorlagenidentität und der Erstellung der VM-Identität zugeordnet sind, an Ressourcen in dieser Ressourcengruppe. Daher ist ein Prinzipal mit Zugriff auf die Ressourcengruppe in der Lage, Zugriff auf diese Identitäten zu erhalten. Darüber hinaus verwaltet AIB eine Kopie Ihrer Customizerartefakte in dieser Ressourcengruppe. Daher ist ein Prinzipal mit Zugriff auf die Ressourcengruppe in der Lage, diese Kopien zu prüfen.
    • Vorlagenidentität: Ein Prinzipal mit Zugriff auf Ihre Vorlagenidentität kann auf alle Ressourcen zugreifen, für die die Identität über Berechtigungen verfügt. Dazu gehören Ihre Customizerartefakte (z. B. Shell- und PowerShell-Skripts), Ihre Verteilungsziele (z. B. eine Imageversion des Azure Compute Gallery-Images) und Ihr virtuelles Netzwerk. Daher müssen Sie dieser Identität nur die minimal erforderlichen Berechtigungen gewähren.
    • Erstellen der VM-Identität: Ein Prinzipal mit Zugriff auf Ihre Build-VM-Identität kann auf alle Ressourcen zugreifen, für die die Identität über Berechtigungen verfügt. Dies schließt alle Artefakte und das virtuelle Netzwerk ein, die Sie möglicherweise innerhalb der Build-VM mit dieser Identität verwenden. Daher müssen Sie dieser Identität nur die minimal erforderlichen Berechtigungen gewähren.
  • Wenn Sie den Azure Compute Gallery (ACG) verteilen, befolgen Sie auch bewährte Methoden für ACG-Ressourcen.