Übersicht über Azure VM Image Builder
Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen
Mithilfe von standardisierten Images für virtuelle Computer (VM) kann Ihre Organisation einfacher zur Cloud migrieren und die Konsistenz in Ihren Bereitstellungen gewährleisten. Die Images beinhalten üblicherweise vordefinierte Sicherheits- und Konfigurationseinstellungen sowie die notwendige Software. Das Einrichten einer eigenen Imaging-Pipeline erfordert Zeit, Infrastruktur und viele weitere Einzelheiten. Mit Azure VM Image Builder müssen Sie lediglich eine Konfiguration erstellen, die Ihr Image beschreibt, und es an den Dienst übermitteln, in dem das Image erstellt und anschließend verteilt wird.
Mit VM Image Builder können Sie Ihre vorhandene Image-Anpassungspipeline zu Azure migrieren und gleichzeitig weiterhin vorhandene Skripts, Befehle und Prozesse verwenden. Sie können Ihre Kernanwendungen in ein VM-Image integrieren, damit Ihre VMs Workloads nach dem Erstellen der Images übernehmen können. Sie können sogar Konfigurationen hinzufügen, um Images für Azure Virtual Desktop als VHDs (Virtual Hard Discs) zur Verwendung in Azure Stack oder zur Vereinfachung des Exports zu erstellen.
Mit VM Image Builder können Sie mit Windows- oder Linux-Images aus dem Azure Marketplace oder vorhandenen benutzerdefinierten Images beginnen und Ihre eigenen Anpassungen hinzufügen. Sie können auch angeben, wo in Azure Compute Gallery (ehemals Shared Image Gallery) Ihre resultierenden Images gehostet werden sollen: als verwaltete Images oder als VHDs.
Features
Es ist zwar möglich, benutzerdefinierte VM-Images manuell oder mithilfe von anderen Tools zu erstellen, jedoch kann der Prozess umständlich und unzuverlässig sein. VM Image Builder basiert auf HashiCorp Packer und bietet Ihnen die Vorteile eines verwalteten Diensts.
Einfachheit
Um die Komplexität des Erstellens von VM-Images zu reduzieren, führt VM Image Generator folgendes durch:
Es macht die Verwendung komplexer Tools, Prozesse und manueller Schritte zur Erstellung eines VM-Images überflüssig. Der VM Image Builder abstrahiert alle diese Details und blendet Azure-spezifische Anforderungen aus, z. B. die Notwendigkeit, das Image (Sysprep) zu generalisieren. Und es bietet fortgeschrittenen Benutzern die Möglichkeit, solche Anforderungen zu überschreiben.
VM Image Builder kann in vorhandene Image-Buildpipelines integriert werden, um ein Klick-und-Los-Erlebnis zu ermöglichen. Dazu können Sie entweder VM Image Builder aus Ihrer Pipeline aufrufen oder eine DevOps-Aufgabe des Azure VM Image Builder-Dienstes (Vorschau) verwenden.
Es kann Anpassungsdaten aus verschiedenen Quellen abrufen, sodass sie nicht mehr alle an einem Ort gesammelt werden müssen.
Es kann mit Compute Gallery integriert werden, was ein Image-Verwaltungssystem schafft, mit dem Images global verteilt, repliziert, versioniert und skaliert werden können. Darüber hinaus können Sie das resultierende Image als VHD oder als ein oder mehrere verwaltete Images verteilen, ohne sie von Grund auf neu erstellen zu müssen.
Infrastructure-as-Code
Mit VM Image Builder müssen Sie weder Ihre langfristige Infrastruktur (z. B. Speicherkonten mit Anpassungsdaten) noch Ihre vorübergehende Infrastruktur (z. B. temporäre VMs für die Erstellung von Images) verwalten.
VM Image Builder speichert Ihre VM-Image-Image-Artefakte als Azure-Ressourcen. Mit dieser Funktion entfällt sowohl die Notwendigkeit, Offline-Definitionen zu pflegen, als auch das Risiko von Umgebungsabweichungen, die durch versehentliche Löschungen oder Aktualisierungen verursacht werden.
Sicherheit
Um die Sicherheit Ihrer Images zu gewährleisten, leistet VM Image Builder folgendes:
Es ermöglicht Ihnen, Basis-Images zu erstellen (d. h. Ihre minimalen Sicherheits- und Unternehmenskonfigurationen) und erlaubt anderen Abteilungen, diese weiter anzupassen. Sie können dazu beitragen, diese Images sicher und konform zu halten, indem Sie mit VM Image Builder schnell ein Golden Image erstellen, das die neueste gepatchte Version eines Quell-Images verwendet. VM Image Builder erleichtert Ihnen auch das Erstellen von Images, die der Azure Windows-Sicherheits-Baseline entsprechen. Weitere Informationen finden Sie unter Image Builder – Windows Baselinevorlage.
Es ermöglicht Ihnen, Ihre Anpassungsartefakte abzurufen, ohne sie öffentlich zugänglich zu machen. Image Builder kann Ihre verwaltete Azure-Identität verwenden, um diese Ressourcen abzurufen, und Sie können die Berechtigungen dieser Identität mithilfe von Azure-RBAC so weit wie erforderlich einschränken. Sie können sowohl Ihre Artefakte geheim halten als auch Manipulationen durch Unbefugte verhindern.
Es speichert Kopien von Anpassungsartefakten, vorübergehende Compute- und Speicherressourcen und die daraus resultierenden Images sicher innerhalb Ihres Abonnements, da der Zugriff über Azure-RBAC gesteuert wird. Diese Sicherheitsstufe, die auch für die Build-VM gilt, die zur Erstellung des angepassten Images verwendet wird, verhindert, dass Ihre Anpassungsskripte und -dateien auf eine unbekannte VM in einem unbekannten Abonnement kopiert werden. Und Sie können ein hohes Maß an Trennung von den Workloads anderer Kunden erreichen, indem Sie isolierte VM-Angebote für die Build-VM verwenden.
Es ermöglicht Ihnen, VM Image Builder mit Ihren bestehenden virtuellen Netzwerken zu verbinden, so dass Sie mit bestehenden Konfigurationsservern wie DSC (Desired State Configuration Pull Server), Chef und Puppet, Dateifreigaben oder anderen routbaren Servern und Diensten kommunizieren können.
ES kann so konfiguriert werden, dass sie der VM Image Builder Build-VM (d. h. der VM, die der VM Image Builder-Dienst in Ihrem Abonnement erstellt und zum Erstellen und Anpassen des Images verwendet) Ihre benutzerseitig zugewiesenen Identitäten zuweist. Sie können diese Identitäten dann zur Anpassungszeit für den Zugriff auf Azure-Ressourcen, einschließlich Geheimnisse, in Ihrem Abonnement verwenden. Es ist nicht erforderlich, VM Image Builder direkten Zugriff auf diese Ressourcen zu gewähren.
Regions
Der VM Image Builder-Dienst ist in den folgenden Regionen verfügbar:
Hinweis
Sie können Images auch außerhalb dieser Regionen verteilen.
- East US
- USA (Ost) 2
- USA, Westen-Mitte
- USA (Westen)
- USA, Westen 2
- USA, Westen 3
- USA Süd Mitte
- Nordeuropa
- Europa, Westen
- Südostasien
- Australien, Südosten
- Australien (Osten)
- UK, Süden
- UK, Westen
- Brasilien Süd
- Kanada, Mitte
- Indien, Mitte
- USA (Mitte)
- Frankreich, Mitte
- Deutschland, Westen-Mitte
- Japan, Osten
- USA Nord Mitte
- Norwegen, Osten
- Schweiz, Norden
- Jio Indien, Westen
- Vereinigte Arabische Emirate, Norden
- Asien, Osten
- Korea, Mitte
- Südafrika, Norden
- Katar, Mitte
- USGov Arizona (Public Preview)
- USGov Virginia (Public Preview)
- China, Norden 3 (öffentliche Vorschau)
- Schweden, Mitte
- Polen, Mitte
- Italien, Norden
- Israel, Mitte
Um auf die öffentliche Vorschau von Azure VM Image Builder in den Regionen Fairfax (USGov Arizona und USGov Virginia) zuzugreifen, müssen Sie die Funktion Microsoft.VirtualMachineImages/FairfaxPublicPreview registrieren. Führen Sie hierzu den folgenden Befehl entweder in PowerShell oder in der Azure-Befehlszeilenschnittstelle aus:
Register-AzProviderPreviewFeature -ProviderNamespace Microsoft.VirtualMachineImages -Name FairfaxPublicPreview
Um auf die öffentliche Vorschau von Azure VM Image Builder in der Region „China, Norden 3“ zuzugreifen, müssen Sie das Feature Microsoft.VirtualMachineImages/MooncakePublicPreview registrieren. Führen Sie hierzu den folgenden Befehl entweder in PowerShell oder in der Azure-Befehlszeilenschnittstelle aus:
Register-AzProviderPreviewFeature -ProviderNamespace Microsoft.VirtualMachineImages -Name MooncakePublicPreview
Betriebssystemunterstützung
VM Image Builder ist für die Verwendung mit allen Azure Marketplace-Basisbetriebssystemimages konzipiert.
Hinweis
Ab März 2023 können Sie den Azure Image Builder-Dienst im Portal verwenden. Erste Schritte mit dem Erstellen und Überprüfen benutzerdefinierter Images im Portal.
Unterstützung für vertrauliche VM und vertrauenswürdige Starts
VM Image Builder bietet – mit bestimmten Einschränkungen – erweiterte Unterstützung für TrustedLaunchSupported- und ConfidentialVMSupported-Images. Dies ist die Liste der Einschränkungen:
SecurityType | Status der Unterstützung |
---|---|
TrustedLaunchSupported | Unterstützung als Quellimage für Imagebuilds |
ConfidentialVMSupported | Unterstützung als Quellimage für Imagebuilds |
TrustedLaunch | Nicht als Quellimage unterstützt |
ConfidentialVM | Nicht als Quellimage unterstützt |
Hinweis
Wenn Sie TrustedLaunchSupported-Images verwenden, ist es wichtig, dass sowohl die Quelle als auch die Distribution TrustedLaunchSupported sein müssen, damit sie unterstützt werden. Wenn die Quelle normal ist und die Distribution TrustedLaunchSupported lautet, oder wenn die Quelle TrustedLaunchSupported lautet und die Distribution eine normale Distribution der 2. Generation ist, wird dies nicht unterstützt.
Funktionsweise
VM Image Builder ist ein vollständig verwalteter Azure-Dienst, der über einen Azure-Ressourcenanbieter zugänglich ist. Ressourcenanbieter konfigurieren es, indem sie ein Quell-Image angeben, eine Anpassung vornehmen und angeben, wo das neue Image verteilt werden soll. Der allgemeine Workflow ist im folgenden Diagramm dargestellt:
Sie können Vorlagenkonfigurationen mithilfe von Azure PowerShell, der Azure CLI oder Azure Resource Manager-Vorlagen oder mithilfe einer VM Image Builder DevOps-Aufgabe übergeben. Wenn Sie die Konfiguration an den Dienst übermitteln, erstellt Azure eine Imagevorlagenressource. Wenn die Imagevorlagenressource erstellt wird, wird eine Stagingressourcengruppe in Ihrem Abonnement erstellt und in folgendem Format angezeigt: IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID)
. Die Stagingressourcengruppe enthält Dateien und Skripts, auf die in der Datei-, Shell- und PowerShell-Anpassung in der ScriptURI-Eigenschaft verwiesen wird.
Um den Build auszuführen, rufen Sie Run
in der VM Image Builder-Vorlagenressource auf. Der Dienst stellt dann zusätzliche Ressourcen für den Build bereit, z. B. eine VM, ein Netzwerk, einen Datenträger und einen Netzwerkadapter.
Wenn Sie ein Image erstellen, ohne ein bestehendes virtuelles Netzwerk zu verwenden, stellt VM Image Builder auch eine öffentliche IP-Adresse und eine Netzwerksicherheitsgruppe bereit und verbindet sich mit der erstellten VM über das Secure Shell (SSH)- oder Windows Remote Management (WinRM)-Protokoll.
Wenn Sie ein bestehendes virtuelles Netzwerk auswählen, wird der Dienst über Azure Private Link bereitgestellt, und eine öffentliche IP-Adresse ist nicht erforderlich. Weitere Informationen finden Sie unter Netzwerküberblick für VM Image Builder.
Wenn der Build abgeschlossen ist, werden alle Ressourcen gelöscht, außer für die Stagingressourcengruppe und das Speicherkonto. Sie können sie entfernen, indem Sie die Imagevorlagenressource löschen, oder Sie können sie an Ort und Stelle belassen, um den Build erneut auszuführen.
Mehrere Beispiele, Schritt-für-Schritt-Anleitungen, Konfigurationsvorlagen und Lösungen finden Sie im VM Image Builder GitHub repository.
Unterstützung für das Verschieben
Die Imagevorlagenressource ist unveränderlich und enthält Links zu Ressourcen und der Stagingressourcengruppe. Daher kann der Ressourcentyp nicht verschoben werden.
Wenn Sie die Imagevorlagenressource verschieben möchten, stellen Sie entweder sicher, dass Sie eine Kopie der Konfigurationsvorlage haben, oder, falls Sie keine Kopie haben, extrahieren Sie die vorhandene Konfiguration aus der Ressource. Erstellen Sie dann eine neue Imagevorlagenressource in der neuen Ressourcengruppe mit einem neuen Namen, und löschen Sie die vorherige Imagevorlagenressource.
Berechtigungen
Wenn Sie sich für den VM Image Builder-Dienst registrieren, erteilen Sie dem Dienst die Berechtigung, eine Stagingressourcengruppe zu erstellen, zu verwalten und zu löschen, der ein IT_*
vorangestellt ist. Und Sie haben Rechte, um alle Ressourcen hinzuzufügen, die für den Image-Build erforderlich sind. Dies geschieht, weil ein VM Image Builder-Dienstprinzipalname in Ihrem Abonnement verfügbar gemacht wird, nachdem Sie sich erfolgreich registriert haben.
Damit VM Image Builder Images entweder an die verwalteten Images oder an Compute Gallery verteilen kann, müssen Sie eine benutzerseitig zugewiesene Azure-Identität erstellen, die über Lese- und Schreibberechtigungen für Images verfügt. Wenn Sie auf Azure Storage zugreifen, benötigen Sie die Berechtigung, private und öffentliche Container zu lesen.
Ab API-Version 2021-10-01 unterstützt VM Image Builder das Hinzufügen von benutzerseitig zugewiesenen Azure-Identitäten zur Build-VM, um Szenarien zu ermöglichen, in denen Sie sich bei Diensten wie Azure Key Vault in Ihrem Abonnement authentifizieren müssen.
Weitere Informationen zu Berechtigungen finden Sie unter
- Konfigurieren von VM Image Builder-Berechtigungen mithilfe von PowerShell
- Konfigurieren von VM Image Builder-Berechtigungen mithilfe der Azure CLI
- Erstellen einer VM Image Builder-Vorlage
Kosten
Wenn Sie mit VM Image Builder Images erstellen, aufbauen und speichern, entstehen Ihnen einige Kosten für Rechenleistung, Netzwerk und Speicherung. Diese Kosten sind mit denen vergleichbar, die bei der manuellen Erstellung benutzerdefinierter Images anfallen. Ihre Ressourcen werden zu Ihren Azure-Tarifen berechnet.
Hinweis
Der Azure Image Builder-Dienst unterstützt derzeit keinen Azure-Hybridvorteil für Windows Server.
Während der Erstellung des Images werden die Dateien heruntergeladen und in der Ressourcengruppe IT_<DestinationResourceGroup>_<TemplateName>
gespeichert, was geringe Speicherkosten verursacht. Wenn Sie diese Dateien nicht behalten wollen, löschen Sie die Imagevorlage, nachdem Sie das Image erstellt haben.
VM Image Builder erstellt eine VM unter Verwendung der Standard-VM-Größe Standard_D1_v2 für Gen1-Images und Standard_D2ds_v4 für Gen2-Images, zusammen mit dem für die VM erforderlichen Speicher und Netzwerk. Diese Ressourcen werden für die Dauer des Buildprozesses bereitgestellt und gelöscht, sobald VM Image Builder die Erstellung des Images abgeschlossen hat.
VM Image Builder verteilt das Image an die von Ihnen ausgewählten Regionen. Das könnte zu Kosten für ausgehenden Datenverkehr führen.
Hyper-V Generation
VM Image Builder unterstützt derzeit das Erstellen von Hyper-V Gen1- und Gen2-Images in einer Compute Gallery und als verwaltete Images oder VHDs. Beachten Sie, dass das verteilte Image immer der gleichen Generation angehören muss wie das bereitgestellte Image.
Bei Gen2-Images müssen Sie sicherstellen, dass Sie die richtige SKU verwenden. Beispielsweise wäre die SKU für ein Ubuntu Server 18.04 Gen2-Image „18_04-lts-gen2“. Die SKU für ein Ubuntu Server 18.04 Gen1-Image wäre „18.04-lts“.
Hier erfahren Sie, wie Sie SKUs finden, die auf dem Image-Publisher basieren:
# Find all Gen2 SKUs published by Microsoft Windows Desktop
az vm image list --publisher MicrosoftWindowsDesktop --sku g2 --output table --all
# Find all Gen2 SKUs published by Canonical
az vm image list --publisher Canonical --sku gen2 --output table --all
Weitere Informationen zu Azure VM-Images, die Gen2 unterstützen, finden Sie unter Gen2 VM-Images im Azure Marketplace.
Nächste Schritte
Um den VM Image Builder auszuprobieren, lesen Sie die Artikel zum Erstellen von Linux- oder Windows-Images.