Wenn Sie Ihr VM-Image (Virtual Machine) auf Azure Marketplace veröffentlichen, überprüft das Azure-Team es, um sicherzustellen, dass es startbar, sicher und kompatibel mit Azure ist. Wenn Ihr VM-Image einen der qualitativ hochwertigen Tests nicht erfüllt, wird es nicht veröffentlicht. Sie erhalten eine Fehlermeldung, die das Problem beschreibt.
In diesem Artikel werden allgemeine Fehlermeldungen bei der Veröffentlichung von VM-Images zusammen mit verwandten Lösungen erläutert.
Anmerkung
Wenn Sie Fragen zu diesem Artikel oder Verbesserungsvorschlägen haben, wenden Sie sich an Partner Center-Support.
Fehler bei der VM-Erweiterung
Überprüfen Sie, ob Ihr Image VM-Erweiterungen unterstützt.
So aktivieren Sie VM-Erweiterungen:
Wählen Sie Ihre Linux-VM aus.
Wechseln Sie zu Diagnoseeinstellungen.
Aktivieren Sie Basismatrizen, indem Sie das Speicherkontoaktualisieren.
Wählen Sie Speichernaus.
So überprüfen Sie, ob die VM-Erweiterungen ordnungsgemäß aktiviert sind:
Wählen Sie auf dem virtuellen Computer die registerkarte VM-Erweiterungen aus, und überprüfen Sie dann den Status der Linux Diagnostics Extension.
Überprüfen Sie den Bereitstellungsstatus.
- Wenn der Status Bereitstellung erfolgreichist, wurde der Testfall der Erweiterungen bestanden.
- Wenn der Status Fehler bei der Bereitstellungist, ist der Testfall für Erweiterungen fehlgeschlagen, und Sie müssen die Kennzeichnung "Hartened" festlegen.
Wenn die VM-Erweiterung fehlschlägt, lesen Sie Verwenden der Linux-Diagnoseerweiterung zum Überwachen von Metriken und Protokollen, um sie zu aktivieren. Wenn die VM-Erweiterung nicht aktiviert werden soll, wenden Sie sich an das Supportteam, und bitten Sie sie, sie zu deaktivieren.
Problem bei der VM-Bereitstellung
Überprüfen Sie, ob Sie den VM-Bereitstellungsprozess streng befolgt haben, bevor Sie Ihr Angebot einreichen. Informationen zum Anzeigen des JSON-Formats für die Bereitstellung des virtuellen Computers finden Sie unter Testen eines Virtuellen Computerimages.
Bereitstellungsprobleme können die folgenden Fehlerszenarien umfassen:
| Szenario | Fehler | Grund | Lösung |
|---|---|---|---|
| 1 | Ungültige virtuelle Festplatte (VHD) | Wenn der angegebene Cookiewert in der VHD-Fußzeile falsch ist, wird die VHD als ungültig angesehen. | Erstellen Sie das Bild erneut, und übermitteln Sie die Anforderung. |
| 2 | Ungültiger BLOB-Typ | Fehler bei der VM-Bereitstellung, da das verwendete BLOB ein Blocktyp anstelle eines Seitentyps ist. | Erstellen Sie das Bild erneut als Seitentyp, und übermitteln Sie die Anforderung. |
| 3 | Bereitstellungstimeout oder nicht ordnungsgemäß generalisiert | Es gibt ein Problem mit der VM-Generalisierung. | Erstellen Sie das Image mit generalisierung erneut, und übermitteln Sie die Anforderung. |
Anmerkung
Weitere Informationen zur Vm-Generalisierung finden Sie unter:
Anmerkung
Wenn die Bereitstellung fehlschlägt, da für das VM-Image eine benutzerdefinierte ARM-Vorlage bereitgestellt werden muss, aktivieren Sie das Kontrollkästchen "Benutzerdefinierte ARM-Vorlage für die Bereitstellung erforderlich" auf der Seite "Technische Konfiguration" im Partner Center. Dies hilft dem Zertifizierungsteam, die richtige Aktion für diese Anforderung zu ergreifen, ohne dass es für das Bereitstellungsproblem fehlschlägt.
VHD-Spezifikationen
Conectix Cookie und andere VHD-Spezifikationen
Die Zeichenfolge "conectix" ist Teil der VHD-Spezifikation. Es wird als 8-Byte-Cookie in der VHD-Fußzeile definiert, die den Ersteller der Datei identifiziert. Alle von Microsoft erstellten VHD-Dateien verfügen über dieses Cookie.
Ein formatiertes VHD-BLOB sollte eine Fußzeile mit 512 Byte in diesem Format aufweisen:
| Festplattenfußfelder | Größe (Bytes) |
|---|---|
| Keks | 8 |
| Funktionen | 4 |
| Dateiformatversion | 4 |
| Datenoffset | 8 |
| Zeitstempel | 4 |
| Creator-Anwendung | 4 |
| Creator-Version | 4 |
| Creator-Hostbetriebssystem | 4 |
| Originalgröße | 8 |
| Aktuelle Größe | 8 |
| Datenträgergeometrie | 4 |
| Datenträgertyp | 4 |
| Prüfsumme | 4 |
| Eindeutige ID | 16 |
| Gespeicherter Zustand | 1 |
| Reserviert | 427 |
VHD-Spezifikationen
Um eine reibungslose Veröffentlichung sicherzustellen, stellen Sie sicher, dass Ihre VHD die folgenden Kriterien erfüllt:
- Das Cookie enthält die Zeichenfolge "conectix".
- Der Datenträgertyp ist behoben.
- Die virtuelle Größe der VHD beträgt mindestens 20 MB.
- Die VHD wird ausgerichtet. Die virtuelle Größe muss ein Vielfaches von 1 MB sein.
- Die VHD-Bloblänge entspricht der virtuellen Größe sowie der Länge der VHD-Fußzeile (512).
Laden Sie die VHD-Spezifikationherunter.
Softwarecompliance für Windows
Wenn Ihre Windows-Imageanforderung aufgrund eines Softwarecomplianceproblems abgelehnt wird, besteht dies möglicherweise darin, dass Sie ein Windows-Image mit einer installierten SQL Server-Instanz erstellt haben. Stattdessen müssen Sie das entsprechende SQL Server-Versionsbasisimage aus Azure Marketplace verwenden.
Erstellen Sie kein eigenes Windows-Image, auf dem SQL Server installiert ist. Verwenden Sie die genehmigten SQL Server-Basisimages (Enterprise/Standard/Web) aus Azure Marketplace.
Wenn Sie versuchen, Visual Studio oder ein beliebiges Office-lizenziertes Produkt zu installieren, wenden Sie sich an das Supportteam, um eine vorherige Genehmigung zu erhalten.
Weitere Informationen zum Auswählen einer genehmigten Basis finden Sie unter Erstellen eines virtuellen Computers aus einer genehmigten Basis.
Fehler bei der Testfallausführung des Toolkits.
Das Microsoft-Zertifizierungskit kann Ihnen helfen, Testfälle auszuführen und zu überprüfen, ob Ihre VHD oder Ihr Image mit der Azure-Umgebung kompatibel ist.
Laden Sie das Microsoft Certification Toolkitherunter.
Linux-Testfälle
In der folgenden Tabelle sind die Linux-Testfälle aufgeführt, in denen das Toolkit ausgeführt wird. Die Testüberprüfung wird in der Beschreibung angegeben.
| Szenario | Testfall | Beschreibung |
|---|---|---|
| 1 | Bash Geschichte | Bash-Verlaufsdateien sollten gelöscht werden, bevor Sie das VM-Image erstellen. |
| 2 | Linux-Agent-Version | Mindestens unterstützte Version des Azure Linux-Agents oder höher muss installiert werden. |
| 3 | Erforderliche Kernelparameter | Überprüft, ob die folgenden Kernelparameter festgelegt sind: console=ttyS0 earlyprintk=ttyS0 |
| 4 | Swap partition on OS disk | Überprüft, ob Swappartitionen nicht auf dem Betriebssystemdatenträger erstellt werden. |
| 5 | Stammpartition auf Betriebssystemdatenträger | Erstellen Sie eine einzelne Stammpartition für den Betriebssystemdatenträger. |
| 6 | OpenSSL-Version | Die OpenSSL-Version sollte v0.9.8 oder höher sein. |
| 7 | Python-Version | Python Version 2.6 oder höher wird dringend empfohlen. |
| 8 | Client-Alive-Intervall | Legen Sie ClientAliveInterval auf 180 fest. Auf der Anwendungsanforderung kann sie von 30 bis 235 festgelegt werden. Wenn Sie ssh für Ihre Endbenutzer aktivieren, muss dieser Wert wie erläutert festgelegt werden. |
| 9 | Betriebssystemarchitektur | Es werden nur 64-Bit-Betriebssysteme unterstützt. |
| 10 | Automatische Aktualisierung | Gibt an, ob die automatische Aktualisierung des Linux-Agents aktiviert ist. |
Häufige Testfallfehler
In der folgenden Tabelle finden Sie die häufig auftretenden Fehler, die beim Ausführen von Testfällen auftreten können:
| Szenario | Testfall | Fehler | Lösung |
|---|---|---|---|
| 1 | Testfall der Linux-Agent-Version | Mindestens unterstützte Version des Azure Linux-Agents oder höher muss installiert werden.](https://learn.microsoft.com/troubleshoot/azure/virtual-machines/support-extensions-agent-version) | Aktualisieren Sie die Linux-Agent-Version. Weitere Informationen finden Sie auf Seite zum Update von Linux-Agent-Versionen. |
| 2 | Bash-Verlaufstestfall | Ein Fehler tritt auf, wenn die Größe des Bash-Verlaufs in Ihrem übermittelten Bild mehr als 1 KB (KB) beträgt. Die Größe ist auf 1 KB beschränkt, um sicherzustellen, dass Ihre Bash-Verlaufsdatei keine potenziell vertraulichen Informationen enthält. | Beheben Sie die Lösung, indem Sie die VHD an eine andere funktionierende VM anbringen und Änderungen vornehmen, um die Größe auf 1 KB oder weniger zu reduzieren. Löschen Sie beispielsweise die .bash_history Dateien. |
| 3 | Erforderlicher Kernelparametertestfall | Dieser Fehler wird angezeigt, wenn der Wert für console nicht auf ttyS0festgelegt ist. Überprüfen Sie, indem Sie den folgenden Befehl ausführen: cat /proc/cmdline |
Legen Sie den Wert für console auf ttyS0fest, und übermitteln Sie die Anforderung erneut. |
| 4 | Testfall für ClientAlive-Intervalle | Wenn das Toolkit ihnen ein fehlgeschlagenes Ergebnis für diesen Testfall liefert, gibt es einen unangemessenen Wert für ClientAliveInterval. |
Legen Sie den Wert für ClientAliveInterval auf kleiner oder gleich 235 fest, und übermitteln Sie die Anforderung erneut. |
| 5 | smoke_test | Sie erhalten eine Fehlermeldung, wenn das Image aufgrund einer Kernel-Panik nicht gestartet oder neu gestartet werden kann. Sie können einige Informationen zur Anrufablaufverfolgung des Kernels aus der "Fehlerbeschreibung" abrufen. Wenn Sie die gesamte Anrufablaufverfolgung und das serielle Protokoll anzeigen möchten, können Sie einen virtuellen Computer in Azure mit Ihrem Image bereitstellen und die serielle Konsole in Ihrer VM-Ressource im Azure-Portal überprüfen. | Wenn Sie einen virtuellen Computer in Azure erstellen, können Sie das serielle Konsolenprotokoll aus dem Azure-Portal herunterladen (Weitere Informationen zur seriellen Konsole finden Sie unter https://learn.microsoft.com/en-us/troubleshoot/azure/virtual-machines/serial-console-linux) |
| 6 | verify_dns_name_resolution | Dieser Testfall überprüft die DNS-Namensauflösung durch Ausführen von Befehl:Ping bing.com -c 5 -i 0,5 -O. Wenn eine öffentliche Webadresse "bing.com" nicht anpingt, tritt ein Fehler auf. | Informationen zum Hinzufügen der richtigen Einstellungen finden Sie unter https://learn.microsoft.com/en-us/azure/virtual-machines/linux/azure-dns |
| 7 | verify_no_pre_exist_users | Sie erhalten die Fehlermeldung "Kennwort des Benutzers XXXX wurde erkannt", wenn das Kennwort eines Benutzers erkannt wurde oder wenn der Schlüssel eines Benutzers erkannt wurde. | überprüfen Sie /etc/shadow-Datei, um festzustellen, ob sie über ein Kennwort eines Benutzers verfügt, falls ja, müssen Sie das Kennwort löschen und das Startverzeichnis des {Benutzers}/.ssh/authorized_keys datei nach der Fehlermeldung löschen. |
| 8 | validate_netvsc_reload | Sie erhalten den Fehler "failed". SSHException: SSH-Sitzung nicht aktiv.' wenn der virtuelle Computer nach ausführung unter dem Befehl nicht verbunden werden kann. Sie erhalten die Fehlermeldung "Kernel-Panik vom Knoten xx gefunden". wenn Kernel-Panik von der VM gefunden wird, nachdem der Befehl ausgeführt wurde: "modprobe -r hv_netvsc; modprobe hv_netvsc; ip link set eth0 down; ip link set eth0 up; dhclient -r eth0; dhclient eth0 ' | Überprüfen Sie die serielle Konsole, um festzustellen, ob während des Zeitraums der Ausführung über dem Befehl ein Fehler aufgetreten ist. Weitere Informationen zum Network Virtual Service Client (NetVSC) finden Sie https://learn.microsoft.com/en-us/windows-hardware/drivers/network/sr-iov-synthetic-data-path. |
Windows-Testfälle
In der folgenden Tabelle sind die Windows-Testfälle aufgeführt, die vom Toolkit ausgeführt werden, sowie eine Beschreibung der Testüberprüfung:
| Szenario | Schulbeispiele | Beschreibung |
|---|---|---|
| 1 | Betriebssystemarchitektur | Azure unterstützt nur 64-Bit-Betriebssysteme. |
| 2 | Abhängigkeit von Benutzerkonten | Die Anwendungsausführung sollte nicht vom Administratorkonto abhängig sein. |
| 3 | Failovercluster | Das Windows Server-Failoverclustering-Feature wird noch nicht unterstützt. Die Anwendung sollte nicht von diesem Feature abhängig sein. |
| 4 | IPV6 | IPv6 wird in der Azure-Umgebung noch nicht unterstützt. Die Anwendung sollte nicht von diesem Feature abhängig sein. |
| 5 | DHCP | Die Rolle des Dynamischen Hostkonfigurationsprotokollservers wird noch nicht unterstützt. Die Anwendung sollte nicht von diesem Feature abhängig sein. |
| 6 | Remotezugriff | Die Serverrolle für den Remotezugriff (Direct Access) wird noch nicht unterstützt. Die Anwendung sollte nicht von diesem Feature abhängig sein. |
| 7 | Rights Management Services | Rights Management Services. Die Serverrolle wird noch nicht unterstützt. Die Anwendung sollte nicht von diesem Feature abhängig sein. |
| 8 | Windows-Bereitstellungsdienste | Windows-Bereitstellungsdienste. Die Serverrolle wird noch nicht unterstützt. Die Anwendung sollte nicht von diesem Feature abhängig sein. |
| 9 | BitLocker-Laufwerkverschlüsselung | Die BitLocker-Laufwerkverschlüsselung wird auf der Festplatte des Betriebssystems nicht unterstützt, kann aber auf Datenträgern verwendet werden. |
| 10 | Internetspeichernameserver | Das Feature "Internet Storage Name Server" wird noch nicht unterstützt. Die Anwendung sollte nicht von diesem Feature abhängig sein. |
| 11 | Multipath-E/A | Multipath E/A. Dieses Serverfeature wird noch nicht unterstützt. Die Anwendung sollte nicht von diesem Feature abhängig sein. |
| 12 | Netzwerklastenausgleich | Netzwerklastenausgleich. Dieses Serverfeature wird noch nicht unterstützt. Die Anwendung sollte nicht von diesem Feature abhängig sein. |
| 13 | Protokoll zur Peernamenauflösung | Protokoll zur Peernamenauflösung. Dieses Serverfeature wird noch nicht unterstützt. Die Anwendung sollte nicht von diesem Feature abhängig sein. |
| 14 | SNMP-Dienste | Das Simple Network Management Protocol (SNMP)-Dienste-Feature wird noch nicht unterstützt. Die Anwendung sollte nicht von diesem Feature abhängig sein. |
| 15 | Windows Internet Name Service | Windows Internet Name Service. Dieses Serverfeature wird noch nicht unterstützt. Die Anwendung sollte nicht von diesem Feature abhängig sein. |
| 16 | Drahtloser LAN-Dienst | Drahtloser LAN-Dienst. Dieses Serverfeature wird noch nicht unterstützt. Die Anwendung sollte nicht von diesem Feature abhängig sein. |
Wenn bei den vorherigen Testfällen Fehler auftreten, lesen Sie die Spalte Beschreibung in der Tabelle für die Lösung. Weitere Informationen können Sie sich an das Supportteam wenden.
Überprüfung der Datenträgergröße
Datenträgeranforderungen mit einer Größe von mehr als 1023 Gigabyte (GB) werden nicht genehmigt. Diese Regel gilt sowohl für Linux als auch für Windows.
Übermitteln Sie die Anforderung erneut mit einer Größe kleiner oder gleich 1023 GB.
Überprüfung der Betriebssystemdatenträgergröße
Beachten Sie die folgenden Regeln für Einschränkungen der Datenträgergröße des Betriebssystems. Stellen Sie beim Übermitteln einer Anforderung sicher, dass die Betriebssystemdatenträgergröße für Linux oder Windows beschränkt ist.
| OS | Empfohlene VHD-Größe |
|---|---|
| Linux | 1 GB bis 1023 GB |
| Fenster | 30 GB bis 250 GB |
Da VMs den Zugriff auf das zugrunde liegende Betriebssystem ermöglichen, stellen Sie sicher, dass die VHD-Größe für die VHD ausreichend groß ist. Datenträger können nicht ohne Ausfallzeiten erweitert werden. Verwenden Sie eine Datenträgergröße von 30 GB bis 50 GB.
| VHD-Größe | Tatsächliche belegte Größe | Lösung |
|---|---|---|
| >500 Tebibyte (TiB) | n/a | Wenden Sie sich an das Supportteam, um eine Ausnahmegenehmigung zu erteilen. |
| 250-500 TiB | >200 gibibytes (GiB)-Unterschied von blob-Größe | Wenden Sie sich an das Supportteam, um eine Ausnahmegenehmigung zu erteilen. |
Anmerkung
Größere Datenträgergrößen verursachen höhere Kosten und führen zu einer Verzögerung während des Setup- und Replikationsprozesses. Aufgrund dieser Verzögerung und der Kosten kann das Supportteam eine Begründung für die Ausnahmegenehmigung anfordern.
Überprüfungstest für WannaCry-Patches für Windows
Um einen potenziellen Angriff im Zusammenhang mit dem WannaCry-Virus zu verhindern, stellen Sie sicher, dass alle Windows-Imageanforderungen mit dem neuesten Patch aktualisiert werden.
Sie können die Bilddateiversion von C:\windows\system32\drivers\srv.sys oder srv2.sysüberprüfen.
Die folgende Tabelle zeigt die mindestens gepatchte Version von Windows Server:
| OS | Version |
|---|---|
| Windows Server 2008 R2 | 6.1.7601.23689 |
| Windows Server 2012 | 6.2.9200.22099 |
| Windows Server 2012 R2 | 6.3.9600.18604 |
| Windows Server 2016 | 10.0.14393.953 |
| Windows Server 2019 | NA |
Anmerkung
Windows Server 2019 verfügt nicht über erforderliche Versionsanforderungen.
Überprüfung des SACK-Sicherheitsrisikopatches
Wenn Sie ein Linux-Image übermitteln, wird Ihre Anforderung aufgrund von Kernelversionsproblemen möglicherweise abgelehnt.
Aktualisieren Sie den Kernel mit einer genehmigten Version, und übermitteln Sie die Anforderung erneut. Die genehmigte Kernelversion finden Sie in der folgenden Tabelle. Die Versionsnummer sollte gleich oder größer als die hier aufgeführte Zahl sein.
Wenn Ihr Image nicht mit einer der folgenden Kernelversionen installiert ist, aktualisieren Sie es mit den richtigen Patches. Fordern Sie die erforderliche Genehmigung des Supportteams an, nachdem das Image mit den folgenden erforderlichen Patches aktualisiert wurde:
- CVE-2019-11477
- CVE-2019-11478
- CVE-2019-11479
| Betriebssystemfamilie | Version | Kern |
|---|---|---|
| Ubuntu | 14.04 LTS | 4.4.0-151 |
| 14.04 LTS | 4.15.0-1049-*-azure | |
| 16.04 LTS | 4.15.0-1049 | |
| 18.04 LTS | 4.18.0-1023 | |
| 18.04 LTS | 5.0.0-1025 | |
| 18.10 | 4.18.0-1023 | |
| 19.04 | 5.0.0-1010 | |
| 19.04 | 5.3.0-1004 | |
| RHEL und Cent OS | 6.10 | 2.6.32-754.15.3 |
| 7.2 | 3.10.0-327.79.2 | |
| 7.3 | 3.10.0-514.66.2 | |
| 7.4 | 3.10.0-693.50.3 | |
| 7.5 | 3.10.0-862.34.2 | |
| 7.6 | 3.10.0-957.21.3 | |
| 7.7 | 3.10.0-1062.1.1 | |
| 8.0 | 4.18.0-80.4.2 | |
| 8.1 | 4.18.0-147 | |
| "7-RAW" (7,6) | ||
| "7-LVM" (7.6) | 3.10.0-957.21.3 | |
| RHEL-SAP 7.4 | TBD | |
| RHEL-SAP 7.5 | TBD | |
| SLES | SLES11SP4 (einschließlich SAP) | 3.0.101-108.95.2 |
| SLES12SP1 für SAP | 3.12.74-60.64.115.1 | |
| SLES12SP2 für SAP | 4.4.121-92.114.1 | |
| SLES12SP3 | 4.4180-4.31.1 (kernel-azure) | |
| SLES12SP3 für SAP | 4.4.180-94.97.1 | |
| SLES12SP4 | 4.12.14-6.15.2 (kernel-azure) | |
| SLES12SP4 für SAP | 4.12.14-95.19.1 | |
| SLES15 | 4.12.14-5.30.1 (kernel-azure) | |
| SLES15 für SAP | 4.12.14-5.30.1 (kernel-azure) | |
| SLES15SP1 | 4.12.14-5.30.1 (kernel-azure) | |
| Orakel | 6.10 | UEK2 2.6.39-400.312.2 UEK3 3.8.13-118.35.2 RHCK 2.6.32-754.15.3 |
| 7.0-7.5 | UEK3 3.8.13-118.35.2 UEK4 4.1.12-124.28.3 RHCK folgt RHEL oben |
|
| 7.6 | RHCK 3.10.0-957.21.3 UEK5 4.14.35-1902.2.0 |
|
| CoreOS Stable 2079.6.0 | 4.19.43* | |
| Beta 2135.3.1 | 4.19.50* | |
| Alpha 2163.2.1 | 4.19.50* | |
| Debian | jessie (Sicherheit) | 3.16.68-2 |
| jessie Backports | 4.9.168-1+deb9u3 | |
| Strecken (Sicherheit) | 4.9.168-1+deb9u3 | |
| Debian GNU/Linux 10 (Buster) | Debian 6.3.0-18+deb9u1 | |
| Buster, Sid (Stretch Backports) | 4.19.37-5 |
Bildgröße sollte sich in Vielfachen von Megabytes
Alle VHDs in Azure müssen eine virtuelle Größe aufweisen, die an Vielfachen von 1 MB (MB) ausgerichtet ist. Wenn Ihre VHD nicht der empfohlenen virtuellen Größe entspricht, wird Ihre Anforderung möglicherweise abgelehnt.
Befolgen Sie Richtlinien, wenn Sie von einem rohen Datenträger in eine VHD konvertieren. Stellen Sie sicher, dass die Rohdatenträgergröße ein Vielfaches von 1 MB ist. Weitere Informationen finden Sie unter Informationen für nichtdornierte Verteilungen.
VM-Zugriff verweigert
Ein Zugriff verweigert Problem beim Ausführen eines Testfalls auf dem virtuellen Computer kann durch unzureichende Berechtigungen verursacht werden.
Überprüfen Sie, ob Sie den richtigen Zugriff für das Konto aktiviert haben, auf dem die Selbsttestfälle ausgeführt werden. Aktivieren Sie den Zugriff auf Testfälle, wenn sie nicht aktiviert ist. Wenn Sie den Zugriff nicht aktivieren möchten, können Sie die Selbsttest-Fallergebnisse für das Supportteam freigeben.
So übermitteln Sie Ihre Anforderung mit ssh deaktivierten Image für den Zertifizierungsprozess:
Führen Sie das neuesten Zertifizierungstesttool für Azure-VMs auf Ihrem Image aus.
Heben Sie ein Supportticket. Stellen Sie sicher, dass Sie den Toolkitbericht anfügen und Angebotsdetails angeben:
- Angebotsname
- Herausgebername
- Plan-ID/SKU und -Version
Übermitteln Sie Ihre Zertifizierungsanforderung erneut.
Anmerkung
Wenn Sie ein gesperrtes VM-Image veröffentlichen, das ssh deaktiviert oder eingeschränkt hat, aktivieren Sie das Kontrollkästchen "Remotedesktop oder SSH deaktiviert" auf der Seite "Technische Konfiguration" des Partner Centers. Dadurch wird das Zertifizierungsteam darüber informiert, dass dies beabsichtigt ist, und die richtigen Überprüfungen für das Bild durchführen, ohne dass es für eingeschränkten Zugriff fehlschlägt.
Downloadfehler
In der folgenden Tabelle finden Sie alle Probleme, die auftreten, wenn Sie das VM-Image mit einer SAS-URL (Shared Access Signature) herunterladen.
| Fehler | Grund | Lösung |
|---|---|---|
| Blob nicht gefunden | Die VHD kann entweder gelöscht oder von der angegebenen Position verschoben werden. | |
| Verwendete Blobs | Die VHD wird von einem anderen internen Prozess verwendet. Der Quell-BLOB-Speicher der VHD wird geändert, während die Veröffentlichung ausgeführt wird. | Die VHD sollte sich nicht in einem verwendeten Zustand befinden, wenn Sie sie mit einer SAS-URL herunterladen. Verwenden/ändern Sie die VHD auch nicht, wenn die Veröffentlichung ausgeführt wird. |
| Ungültige SAS-URL | Die zugeordnete SAS-URL für die VHD ist falsch. | Rufen Sie die richtige SAS-URL ab. |
| Ungültige Signatur | Die zugeordnete SAS-URL für die VHD ist falsch. | Rufen Sie die richtige SAS-URL ab. |
| HTTP-bedingter Header | Die SAS-URL ist ungültig. | Rufen Sie die richtige SAS-URL ab. |
| Ungültiger VHD-Name | Überprüfen Sie, ob Sonderzeichen, z. B. ein Prozentzeichen % oder Anführungszeichen ", im VHD-Namen vorhanden sind. |
Benennen Sie die VHD-Datei um, indem Sie die Sonderzeichen entfernen. |
VM-Images müssen 1 MB freien Speicherplatz haben
Wenn Sie Ihr Image in Azure veröffentlichen (mit GPT-Partition), empfehlen wir dringend, dass Sie die ersten 2.048 Sektoren (1 MB) des Betriebssystemdatenträgers leer halten. Diese Anforderung besteht darin, Azure das Hinzufügen wichtiger Metadaten zum Image zu ermöglichen (Beispiele umfassen Metadaten zur Verbesserung der Startzeit für Kunden, Abrechnung und andere Details). Dies ist eine Empfehlung für bewährte Methoden, wenn Sie bereits einem genehmigten Basisimage verwenden und Ihr Bild über ein gültiges Abrechnungstag verfügt. Wenn Ihr Image jedoch nicht über ein gültiges Abrechnungstag verfügt, schlägt die Veröffentlichung möglicherweise fehl, wenn die ersten 1 MB des Betriebssystemdatenträgers nicht leer sind.
Wenn Sie ein eigenes Image erstellen, das über kein gültiges Abrechnungstag verfügt, stellen Sie sicher, dass die ersten 2.048 Sektoren (1 MB) des Betriebssystemdatenträgers leer sind. Andernfalls schlägt die Veröffentlichung fehl. Diese Anforderung gilt nur für den Betriebssystemdatenträger (nicht für Datenträger). Wenn Sie Ihr Image aus einer genehmigten Basis erstellen, ist es bereits über 1 MB leer. Daher müssen Sie nicht separat daran arbeiten.
Um die ersten 1 MB frei auf Ihrem Betriebssystemdatenträger zu halten, führen Sie die Schritte im nächsten Abschnitt aus.
So behalten Sie zu Beginn 1 MB freien Speicherplatz auf einer leeren VHD (2.048 Sektoren, jeder Sektor 512 Byte)
Diese Schritte gelten nur für Linux.
Erstellen Sie eine beliebige Art von Linux-VM, z. B. Ubuntu, CentOS oder andere. Füllen Sie die erforderlichen Felder aus, und wählen Sie dann Weiter: Datenträgeraus.
Erstellen Sie einen nicht verwalteten Datenträger für Ihren virtuellen Computer. Verwenden Sie entweder die Standardwerte, oder geben Sie einen beliebigen Wert für Felder wie Betriebssystemdatenträgergröße, Betriebssystemdatenträgertypund Verschlüsselungstypan.
Nachdem Sie den virtuellen Computer erstellt haben, wählen Sie im linken Bereich Datenträgeraus.
Fügen Sie Ihre VHD als Datenträger an Ihre VM an, um eine Partitionstabelle zu erstellen.
Wählen Sie Vorhandene Datenträger anfügen:
Suchen Sie Ihr VHD-Speicherkonto.
Wählen Sie Container-und dann Ihre VHD aus.
Wählen Sie OKaus.
Ihre VHD wird als Datenträger LUN 0 hinzugefügt.
Starten Sie den virtuellen Computer neu.
Melden Sie sich nach dem Neustart des virtuellen Computers mit Putty oder einem anderen Client bei der VM an, und führen Sie den befehl
sudo -iaus, um Stammzugriff zu erhalten.
Erstellen Sie eine Partition auf Ihrer VHD.
Geben Sie
fdisk /dev/sdbBefehl ein.Um die vorhandene Partitionsliste aus Ihrer VHD anzuzeigen, geben Sie
pein.Geben Sie
dein, um alle vorhandenen Partitionen zu löschen, die in Ihrer VHD verfügbar sind. Sie können diesen Schritt überspringen, wenn er nicht erforderlich ist.
Geben Sie
nein, um eine neue Partition zu erstellen, und wählen Siepfür (primäre Partition) aus.Geben Sie 2048 als ersten Sektor Wert ein. Sie können letzten Sektor als Standardwert belassen.
Wichtig
Alle vorhandenen Daten werden bis 2048 Sektoren (jeder Sektor von 512 Byte) gelöscht. Sichern Sie die VHD, bevor Sie eine neue Partition erstellen.
Geben Sie
wein, um die Erstellung der Partition zu bestätigen.
Sie können die Partitionstabelle überprüfen, indem Sie den Befehl
n fdisk /dev/sdbausführen undpeingeben. Sie sehen, dass die Partition mit dem Offsetwert 2048 erstellt wird.
Trennen Sie die VHD vom virtuellen Computer, und löschen Sie den virtuellen Computer.
Standardanmeldeinformationen
Senden Sie niemals Standardanmeldeinformationen mit der übermittelten VHD. Das Hinzufügen von Standardanmeldeinformationen macht die VHD anfälliger für Sicherheitsbedrohungen. Erstellen Sie stattdessen ihre eigenen Anmeldeinformationen, wenn Sie die VHD übermitteln.
DataDisk wurde falsch zugeordnet
Ein Zuordnungsproblem kann auftreten, wenn eine Anforderung mit mehreren Datenträgern übermittelt wird, die nicht sequenziert sind. Die Nummerierungsreihenfolge für drei Datenträger muss beispielsweise 0, 1, 2sein. Jede andere Reihenfolge wird als Zuordnungsproblem behandelt.
Übermitteln Sie die Anforderung erneut mit der richtigen Sequenzierung von Datenträgern.
Falsche Betriebssystemzuordnung
Wenn ein Image erstellt wird, kann es der falschen Betriebssystembezeichnung zugeordnet oder zugewiesen werden. Wenn Sie beispielsweise Windows als Teil des Betriebssystemnamens auswählen, während Sie das Image erstellen, sollte der Betriebssystemdatenträger nur mit Windows installiert werden. Die gleiche Anforderung gilt für Linux.
VM nicht generalisiert
Wenn alle Bilder, die aus Azure Marketplace stammen, wiederverwendet werden sollen, muss die VHD des Betriebssystems generalisiert werden.
Bei Linux-generalisiert der folgende Prozess eine Linux-VM und stellt sie als separate VM erneut zur Bereitstellung her.
Geben Sie im SSH-Fenster den folgenden Befehl ein:
sudo waagent -deprovision+user.Für Windowsgeneralisieren Sie Windows-Images mithilfe von
sysreptool.Weitere Informationen zum
sysreptoolTool finden Sie unter Systemvorbereitung (Sysprep).
DataDisk-Fehler
Verwenden Sie die folgende Tabelle, um Lösungen für Fehler zu erhalten, die sich auf den Datenträger beziehen:
| Fehler | Grund | Lösung |
|---|---|---|
DataDisk- InvalidUrl: |
Dieser Fehler kann aufgrund einer ungültigen logischen Einheitsnummer (LUN) auftreten, wenn das Angebot übermittelt wird. | Überprüfen Sie, ob sich die LUN-Nummernsequenz für den Datenträger im Partner Center befindet. |
DataDisk- NotFound: |
Dieser Fehler kann auftreten, da sich ein Datenträger nicht an einer angegebenen SAS-URL befindet. | Stellen Sie sicher, dass sich der Datenträger unter der angegebenen SAS-URL befindet. |
Problem beim Remotezugriff
Dieser Fehler wird angezeigt, wenn die Remotedesktopprotokolloption (RDP) für das Windows-Image nicht aktiviert ist.
Aktivieren Sie den RDP-Zugriff für Windows-Images, bevor Sie sie übermitteln.
Bash-Verlauf fehlgeschlagen
Dieser Fehler wird angezeigt, wenn die Größe des Bash-Verlaufs in Ihrem übermittelten Bild mehr als 1 KB (KB) beträgt. Die Größe ist auf 1 KB beschränkt, um die Datei auf potenziell vertrauliche Informationen zu beschränken.
So löschen Sie den Bash-Verlauf:
Stellen Sie den virtuellen Computer bereit, und wählen Sie die Option Befehl ausführen im Azure-Portal aus.
Wählen Sie die erste Option RunShellScript- aus, und führen Sie dann den Befehl aus:
cat /dev/null > ~/.bash_history && history -c.
Starten Sie den virtuellen Computer neu, nachdem der Befehl erfolgreich ausgeführt wurde.
Generalisieren Sie den virtuellen Computer, nehmen Sie die Image-VHD auf, und beenden Sie den virtuellen Computer.
Übermitteln Sie das generalisierte Bild erneut.
Überprüfungen der virtuellen Netzwerkanwendung
Während der Marketplace-Imagezertifizierung wird ein VM-Angebot, das eine Network Virtual Appliance (NVA) ist, mithilfe von Tests überprüft, die generisch für jedes VM-Angebot sind, und NVA-Testfälle, die in der folgenden Tabelle aufgeführt sind. Ziel dieser NVA-spezifischen Überprüfungen ist es, zu überprüfen, wie gut das NVA-Image mit SDN-Stapel orchestriert.
| Testfall | Schritte zum Ausführen des Testfalls | Lösung |
|---|---|---|
| VHD-Zugriff | Stellen Sie sicher, dass die richtige SAS-URL für die VHD bereitgestellt wird, die Berechtigungen für den Zugriff festgelegt sind und das NVA-Image generalisiertenist. | Überprüfen Sie das NVA-Bild und die bereitgestellte URL. |
| NVA-Bereitstellung | Stellen Sie einen virtuellen Computer mithilfe der NVA mit einer NIC bereit. Überprüfen Sie, ob die Bereitstellung in 20 Minuten abgeschlossen ist. | Wenn die Bereitstellung nicht innerhalb von 20 Minuten abgeschlossen ist, überprüfen Sie das NVA-Image. |
| NVA-Neustart | Stellen Sie einen virtuellen Computer mithilfe der NVA mit einer NIC bereit. Wechseln Sie dann zum virtuellen Computer im Azure-Portal, und wählen Sie unter Abschnitt Support + Problembehandlung im linken Bereich Erneut bereitstellen + erneut bereitstellen und die VM erneut bereitstellen. Überprüfen Sie nach Abschluss der erneuten Bereitstellung, ob der Status der VM Ausführen von ist und der NIC-Port 22 mithilfe des Netcat-Befehls erreichbar ist. | Wenn der virtuelle Computer nach dem Neustart nicht angezeigt wird, liegt möglicherweise ein Problem mit dem NVA-Image vor. Wenn der Netcat-Test fehlschlägt, kann dies darauf zurückzuführen sein, dass die NIC nach dem Neustart nicht angezeigt werden konnte, obwohl die VM ausgeführt wurde. Warten Sie einige Minuten, und versuchen Sie es erneut. Wenn es nach 20 Minuten immer noch fehlschlägt, liegt möglicherweise ein Problem mit dem NVA-Bild vor. |
| NVA-Erneute Bereitstellung | Stellen Sie einen virtuellen Computer mithilfe der NVA mit einer NIC bereit. Stellen Sie dann den virtuellen Computer erneut zur Anwendung. Stellen Sie sicher, dass der Status des virtuellen Computers Ausführen von ist und der NIC-Port 22 mithilfe des Netcat-Befehls erreichbar ist. | Wenn die erneute Bereitstellung nicht innerhalb von 15 Minuten abgeschlossen ist, liegt möglicherweise ein Problem mit dem NVA-Image vor. Wenn der Netcat-Test fehlschlägt, kann dies darauf zurückzuführen sein, dass die NIC nach dem Neustart nicht angezeigt werden konnte, obwohl die VM ausgeführt wurde. Warten Sie einige Minuten, und versuchen Sie es erneut. Wenn es nach 20 Minuten immer noch fehlschlägt, liegt möglicherweise ein Problem mit dem NVA-Bild vor. |
| Hohe Verfügbarkeit | Stellen Sie einen virtuellen Computer mithilfe der NVA mit einer NIC bereit. Entweder sollte keine öffentliche IP an die NIC angefügt werden, oder wenn öffentliche IP angefügt ist, sollte SKU standard sein, und die IP-Zuordnungsmethode sollte statisch sein. Richten Sie im selben virtuellen Netzwerk einen azure Internal Load Balancer ein, die nachstehende Konfiguration verwendet. - Lastenausgleich mit Standard-SKU- - Front-End-IP mit privater IP-Zuordnungsmethode als dynamisch – Integritätssonden mit TCP, Port 22 mit einem Wiederholungsintervall von 15 Sekunden – Eine Lastenausgleichsregel mit Protokoll als alle und die unverankerte IP-Einstellung auf "False" aktivieren. - Back-End-Pool, der auf die VM NVA verweist. Nachdem das Setup fertig ist, stellen Sie sicher, dass der virtuelle NVA-Computer über den Lastenausgleich über den Netcat-Befehl erreichbar ist. |
Wenn der NVA über das Lastenausgleichsmodul nicht erreichbar ist, überprüfen Sie die Einrichtung des virtuellen Computers, des Lastenausgleichs und der HA-Ports. Wenn alles korrekt ist, liegt möglicherweise ein Problem mit dem NVA-Bild vor. |
| VNET-Peering | Stellen Sie einen virtuellen Computer VM1 mithilfe des NVA-Images mit einer NIC in einem virtuellen Netzwerk-VNET1 bereit. Stellen Sie in einem anderen virtuellen Netzwerk VNET2 einen virtuellen Computer VM2 mit jedem Linux-Image bereit, z. B. Ubuntu, mit einer NIC und VM-Einstellungen als Dynamische IP-Zuordnungsmethode und einfache SKU. Erstellen VNET-Peering- zwischen VNET1 und VNET2 und Datenverkehr zu remote virtual network ist als Zulassen (Standard) Nachdem das Setup fertig ist, stellen Sie sicher, dass wir von VM2 aus private IP-Adressen der NIC auf der NVA VM1 über den Netcat-Befehl erreichen können. |
Wenn die NVA VM1 von VM2 nicht erreichbar ist, überprüfen Sie, ob die VNET-Peering ordnungsgemäß konfiguriert ist, und versuchen Sie es erneut. Wenn es immer noch nicht funktioniert, liegt möglicherweise ein Problem mit dem NVA-Bild vor. |
| Beschleunigtes Netzwerk (AN) | Stellen Sie einen virtuellen Computer mit dem NVA und 1 AN aktivierten NIC-bereit. Sie können AN auf einer NIC aktivieren, während Sie den virtuellen Computer erstellen, oder auf den NIC-Eigenschaften nach dem Erstellen der VM. Stellen Sie sicher, dass der virtuelle Computer ausgeführt wird. | Wenn die Bereitstellung fehlschlägt, überprüfen Sie, ob das NVA-Image beschleunigte Netzwerke unterstützt. |
| Multi-NIC Basic | Stellen Sie einen virtuellen Computer mithilfe der NVA mit 3 NICs mit dynamischer IP-Zuordnungsmethode und einfacher SKU bereit. Rufen Sie private IP- und MAC-Adresse für alle NICs ab (anweisungen hierzu finden Sie unter Anzeigen der Netzwerkschnittstelle). Stellen Sie dann den virtuellen Computer erneut zur Seite, und stellen Sie sicher, dass die private IP- und MAC-Adresse für alle NICs gleich bleiben wie vor der erneuten Bereitstellung. | Wenn sich die private IP- und MAC-Adresse für alle NICs nach der erneuten Bereitstellung ändern, liegt möglicherweise ein Problem mit dem NVA-Image vor. |
| Netzwerkunterbrechung | Stellen Sie einen virtuellen Computer mithilfe der NVA mit einer NIC bereit. Erstellen und anwenden Sie dann eine Netzwerksicherheitsgruppe (NSG), um den gesamten Datenverkehr auf den virtuellen Computer NVA zu blockieren. Überprüfen Sie dann, ob der Status der VM Ausführenist. | Wenn nach dem Anwenden von NSG der virtuelle Computer heruntergeht, liegt möglicherweise ein Problem mit dem NVA-Image vor. |
Für weitere Informationen oder Fragen öffnen Sie einen Azure-Supportfall.
Übersicht über Netcat:
Netcat ist ein Befehl, der eine TCP- oder UDP-Verbindung zwischen zwei Computern herstellen kann, d. h. es kann einen offenen Port schreiben und lesen. Während der NVA-Überprüfungen führen wir den Netcat-Befehl von einer VM aus, die sich im gleichen virtuellen Netzwerk wie der NVA-VM befindet, um zu testen, ob TCP-Port 22 erreichbar ist. Die Befehlssyntax ist nc <destination_ip_address> <destination_port>, wobei
- destination_ip_address ist die private IP-Adresse, die vm NIC zugewiesen ist,
- destination_port ist die Portnummer auf der NVA. Wir verwenden 22 in NVA-Testfällen.
Beispiel: nc 192.168.1.1 22
Anfordern einer Ausnahme für VM-Images für ausgewählte Tests
Herausgeber können Ausnahmen für einige Tests anfordern, die während der VM-Zertifizierung ausgeführt wurden. Ausnahmen werden in seltenen Fällen bereitgestellt, wenn ein Herausgeber Nachweise zur Unterstützung der Anforderung bereitstellt. Das Zertifizierungsteam behält sich das Recht vor, Ausnahmen jederzeit zu verweigern oder zu genehmigen.
In diesem Abschnitt werden allgemeine Szenarien beschrieben, in denen Herausgeber eine Ausnahme anfordern und eine Anforderung anfordern.
Szenarien für Ausnahme
Herausgeber fordern in der Regel Ausnahmen in den folgenden Fällen an:
Ausnahme für einen oder mehrere Testfälle. Wenden Sie sich an Partner Center-Support um Ausnahmen für Testfälle anzufordern.
Gesperrte VMs / Kein Stammzugriff. Einige Herausgeber haben Szenarien, in denen VMs gesperrt werden müssen, da sie Software wie Firewalls auf dem virtuellen Computer installiert haben. Laden Sie in diesem Fall das Certified Test Tool herunter, und übermitteln Sie den Bericht unter Partner Center Support.
Benutzerdefinierte Vorlagen. Einige Herausgeber veröffentlichen VM-Images, für die eine benutzerdefinierte Azure Resource Manager (ARM)-Vorlage zum Bereitstellen der virtuellen Computer erforderlich ist. Übermitteln Sie in diesem Fall die benutzerdefinierten Vorlagen im Partner Center-Support, die vom Zertifizierungsteam zur Überprüfung verwendet werden sollen.
Informationen, die für Ausnahmeszenarien bereitgestellt werden sollen
Wenden Sie sich an Partner Center-Support um eine Ausnahme für eines der Szenarien anzufordern und die folgenden Informationen einzuschließen:
Publisher-ID. Geben Sie Ihre Herausgeber-ID des Partner Central-Portals ein.
Angebots-ID/Name. Geben Sie die Angebots-ID oder den Namen ein.
SKU/Plan-ID. Geben Sie die VM-Angebots-Plan-ID oder SKU ein.
Version. Geben Sie die VM-Angebotsversion ein, für die eine Ausnahme erforderlich ist.
Ausnahmetyp. Wählen Sie aus Tests, gesperrten virtuellen Computern oder benutzerdefinierten Vorlagen aus.
Anforderungsgrund. Schließen Sie den Grund für die Ausnahmeanforderung sowie alle Informationen zu Testfreistellungen ein.
Zeitachse. Geben Sie das Enddatum für Ihre Ausnahme ein.
Anlage. Angefügte wichtige Nachweisdokumente:
- Fügen Sie für gesperrte VMs den Testbericht an.
- Stellen Sie für benutzerdefinierte Vorlagen die benutzerdefinierte ARM-Vorlage als Anlage bereit.
Wenn Sie diese Anlagen nicht einschließen können, wird Ihre Anforderung verweigert.
Beheben einer Sicherheitsanfälligkeit oder eines Exploits in einem VM-Angebot
In diesem Abschnitt wird beschrieben, wie Sie ein neues VM-Image bereitstellen, wenn eine Sicherheitsanfälligkeit oder ein Exploit mit einem Ihrer VM-Images entdeckt wird. Sie gilt nur für Azure VM-Angebote, die auf Azure Marketplace veröffentlicht werden.
Anmerkung
Sie können das letzte VM-Image nicht aus einem Plan entfernen oder den letzten Plan für ein Angebot beenden.
Führen Sie eine der folgenden Aktionen aus:
- Wenn Sie über ein neues VM-Image verfügen, um das anfällige VM-Image zu ersetzen, lesen Sie Bereitstellen eines festen VM-Images.
- Wenn Sie kein neues VM-Image haben, um das einzige VM-Image in einem Plan zu ersetzen, oder wenn Sie mit dem Plan fertig sind, die Verteilung des Plans beenden.
- Wenn Sie nicht beabsichtigen, das einzige VM-Image im Angebot zu ersetzen, empfehlen wir, die Verteilung des Angebotsbeenden.
Bereitstellen eines festen VM-Images
So stellen Sie ein festes VM-Image bereit, um ein VM-Image zu ersetzen, das über eine Sicherheitsanfälligkeit oder ein Exploit verfügt:
- Stellen Sie ein neues VM-Image bereit, um die Sicherheitslücke oder das Exploit zu beheben.
- Entfernen Sie das VM-Image mit dem Sicherheitsrisiko oder Exploit.
- Veröffentlichen Sie das Angebot erneut.
Bereitstellen eines neuen VM-Images zur Behebung der Sicherheitslücke oder des Exploits
Um diese Schritte auszuführen, bereiten Sie die technischen Ressourcen für das VM-Image vor, das Sie hinzufügen möchten. Weitere Informationen finden Sie unter Erstellen eines virtuellen Computers mithilfe einer genehmigten Basis oder Erstellen eines virtuellen Computers mit ihrem eigenen Image und Generieren eines SAS-URI für Ihr VM-Image.
Melden Sie sich bei Partner Centeran.
Wählen Sie auf der Startseite die Marketplace-Angebote Kachel aus.
Wählen Sie in der Spalte Angebotsalias das Angebot aus.
Wählen Sie die Registerkarte Planübersicht und dann den entsprechenden Plan aus.
Wählen Sie auf der Registerkarte technische Konfiguration unter VM-Images+ VM-Image hinzufügenaus.
Anmerkung
Sie können jeweils nur ein VM-Image zu einem Plan hinzufügen. Wenn Sie mehrere VM-Images hinzufügen möchten, veröffentlichen Sie das erste, bevor Sie das nächste VM-Image hinzufügen.
Geben Sie in den angezeigten Feldern eine neue Datenträgerversion und das Image des virtuellen Computers an.
Wählen Sie Entwurf speichernaus.
Entfernen Sie als Nächstes das VM-Image mit der Sicherheitslücke.
Entfernen sie das VM-Image mit der Sicherheitslücke oder exploit
- Melden Sie sich bei Partner Centeran.
- Wählen Sie auf der Startseite die Marketplace-Angebote Kachel aus.
- Wählen Sie in der Spalte Angebotsalias das Angebot aus.
- Wählen Sie die Registerkarte Planübersicht und dann den entsprechenden Plan aus.
- Wählen Sie auf der Registerkarte technische Konfiguration unter VM Imagesneben dem vm-Image, das Sie entfernen möchten, VM-Image entfernenaus.
- Wählen Sie im Dialogfeld Weiteraus.
- Wählen Sie Entwurf speichernaus.
Veröffentlichen Sie als Nächstes das Angebot erneut.
Erneutes Veröffentlichen des Angebots
- Wählen Sie Überprüfen und veröffentlichen Sieaus.
- Wenn Sie dem Zertifizierungsteam Informationen bereitstellen müssen, fügen Sie diese dem Feld Hinweise zur Zertifizierung hinzu.
- Wählen Sie veröffentlichenaus.
Informationen zum Abschließen des Veröffentlichungsprozesses finden Sie unter Überprüfen und Veröffentlichen von Angeboten.
Behandeln einer TLS-bezogenen Sicherheitsanfälligkeit in einem VM-Angebot
In diesem Abschnitt wird beschrieben, wie Sie ein neues VM-Image bereitstellen, wenn eine TLS-sicherheitsrelevante Sicherheitsanfälligkeit mit einem Ihrer VM-Images erkannt wird. Sie gilt nur für Azure VM-Angebote, die auf Azure Marketplace veröffentlicht werden.
Korrekturschritte
Führen Sie die folgenden Schritte aus, um diese Sicherheitsanfälligkeiten zu beheben:
Deaktivieren Sie die Verwendung von TLS 1.0- und 1.1-Protokollen, und stellen Sie sicher, dass das VM-Image TLS Version 1.2 oder höher unterstützt. Dies kann erreicht werden, indem sie die entsprechenden Registrierungsschlüssel oder Konfigurationseinstellungen im VM-Image festlegen.
Verwenden Sie für Linux die folgenden Befehle, um manuell zu testen und sicherzustellen, dass diese Versionen deaktiviert sind:
für TLS 1.0:
openssl s_client -connect ip:port -tls1für TLS 1.1:
openssl s_client -connect ip:port -tls1_1
Informationen zu Windows finden Sie in der offiziellen TLS-Registrierungseinstellungen-Dokumentation, um die Registrierungsschlüssel zu aktualisieren. Verwenden Sie die folgenden PowerShell-Befehle, um TLS-Einstellungen zu konfigurieren:
| Pfad | Name | Wert |
|---|---|---|
| HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client | "Aktiviert" | 0 |
| HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server | "Aktiviert" | 0 |
| HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client | "Aktiviert" | 0 |
| HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server | "Aktiviert" | 0 |
| HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client | "Aktiviert" | 1 |
| HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server | "Aktiviert" | 1 |
Aktivieren höherer Versionen (optional)
Wenn Sie höhere Versionen (z. B. TLS 1.3) aktivieren möchten, wiederholen Sie die obigen Schritte mit den entsprechenden Pfaden und Werten für diese Versionen.
VM-Images mit eingeschränktem Zugriff oder erfordern benutzerdefinierte Vorlagen
Gesperrtes (oder) deaktiviertes SSH-Angebot
Bilder, die mit SSH disabled(for Linux) oder RDP disabled (für Windows) veröffentlicht werden, werden als gesperrte VMs behandelt. Es gibt spezielle Geschäftsszenarien, aufgrund deren Herausgeber nur eingeschränkten Zugriff auf keine/wenige Benutzer zulassen.
Bei Überprüfungen lassen gesperrte VMs möglicherweise die Ausführung bestimmter Zertifizierungsbefehle nicht zu.
Benutzerdefinierte Vorlagen
Im Allgemeinen folgen alle unter einem virtuellen Computer veröffentlichten Images der Standard-ARM-Vorlage für die Bereitstellung. Es gibt jedoch Szenarien, in denen Publisher möglicherweise Anpassungen erfordern kann, während VMs bereitgestellt werden (z. B. mehrere NIC(n), die konfiguriert werden sollen).
Je nach den folgenden Szenarien (nichtexextive) verwenden Herausgeber benutzerdefinierte Vorlagen für die Bereitstellung der VM:
- VM erfordert zusätzliche Netzwerksubnetze.
- Weitere Metadaten, die in arm-Vorlage eingefügt werden sollen.
- Befehle, die für die Ausführung der ARM-Vorlage erforderlich sind.
VM-Erweiterungen
Azure Virtual Machine (VM)-Erweiterungen sind kleine Anwendungen, die Konfiguration und Automatisierungsaufgaben nach der Bereitstellung auf Azure-VMs bereitstellen. Wenn z. B. ein virtueller Computer Softwareinstallation, Virenschutz oder zum Ausführen eines Skripts benötigt, kann eine VM-Erweiterung verwendet werden.
Linux VM-Erweiterungsüberprüfungen erfordern Folgendes, um Teil des Images zu sein:
- Mindestens unterstützte Version des Azure Linux-Agents oder höher muss installiert werden.](https://learn.microsoft.com/troubleshoot/azure/virtual-machines/support-extensions-agent-version)
- Python-Version oberhalb von 2.6+
Weitere Informationen finden Sie unter VM Extension.
Überprüfung der Integrität des Bilds
Wenn Sie ein Image erstellen und Datenträger aus dem Image erstellen, um die Integrität des Bilds zu überprüfen, beachten Sie, dass die ersten 1 MB für eine optimierte Leistung reserviert sind und die letzten 512 Bytes für die VHD-Fußzeile reserviert sind. Ignorieren Sie sie also, während Sie die Integrität des Bilds überprüfen.
Verwandte Inhalte
- Konfigurieren des virtuellen Computers bieten Eigenschaften
- Active Marketplace Rewards
- Wenn Sie Fragen oder Feedback zur Verbesserung haben, wenden Sie sich an Partner Center-Support