Verwenden von Azure VM Image Builder
VM Image Builder ist ein vollständig verwalteter Azure-Dienst, der über einen Azure-Ressourcenanbieter zugänglich ist. Ressourcenanbieter konfigurieren es, indem sie ein Quell-Image angeben, eine Anpassung vornehmen und angeben, wo das neue Image verteilt werden soll. Ein Workflow auf hoher Ebene wird im folgenden Diagramm veranschaulicht:
Sie können Vorlagenkonfigurationen mithilfe von Azure PowerShell, der Azure CLI oder Azure Resource Manager-Vorlagen oder mithilfe einer VM Image Builder DevOps-Aufgabe übergeben. Wenn Sie die Konfiguration an den Dienst übermitteln, erstellt Azure eine Imagevorlagenressource. Wenn die Imagevorlagenressource erstellt wird, wird eine Stagingressourcengruppe in Ihrem Abonnement erstellt und in Format IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID) angezeigt. Die Stagingressourcengruppe enthält Dateien und Skripts, auf die in der Datei-, Shell- und PowerShell-Anpassung in der ScriptURI-Eigenschaft verwiesen wird.
Wenn Sie den Build ausführen möchten, rufen Sie „Ausführen“ in der VM Image Builder-Vorlagenressource auf. Der Dienst erstellt dann weitere Ressourcen für den Build, z. B. ein VM, ein Netzwerk, einen Datenträger und einen Netzwerkadapter.
Wenn Sie ein Image erstellen, ohne ein vorhandenes virtuelles Netzwerk zu verwenden, stellt VM Image Builder auch eine öffentliche IP- und Netzwerksicherheitsgruppe bereit. VM Image Builder stellt eine Verbindung mit der Build-VM mithilfe des Secure Shell- (SSH) oder des Windows Remote Management-Protokolls (WinRM) her.
Wenn Sie ein bestehendes virtuelles Netzwerk auswählen, wird der Dienst über Azure Private Link bereitgestellt, und eine öffentliche IP-Adresse ist nicht erforderlich. Weitere Informationen finden Sie unter Netzwerküberblick für VM Image Builder.
Wenn der Build abgeschlossen ist, werden alle Ressourcen gelöscht, außer für die Stagingressourcengruppe und das Speicherkonto. Sie können sie entfernen, indem Sie die Imagevorlagenressource löschen, oder Sie können sie an Ort und Stelle belassen, um den Build erneut auszuführen.
Mehrere Beispiele, Schritt-für-Schritt-Anleitungen, Konfigurationsvorlagen und Lösungen finden Sie im VM Image Builder GitHub repository.
Sicherheit
Um die Sicherheit Ihrer Images zu gewährleisten, leistet VM Image Builder folgendes:
- Es ermöglicht Ihnen, Basis-Images zu erstellen (d. h. Ihre minimalen Sicherheits- und Unternehmenskonfigurationen) und erlaubt anderen Abteilungen, diese weiter anzupassen. Sie können dazu beitragen, diese Images sicher und konform zu halten, indem Sie mit VM Image Builder schnell ein Golden Image erstellen, das die neueste gepatchte Version eines Quell-Images verwendet. VM Image Builder erleichtert Ihnen auch das Erstellen von Images, die der Azure Windows-Sicherheits-Baseline entsprechen. Weitere Informationen finden Sie unter Image Builder – Windows Baselinevorlage.
- Es ermöglicht Ihnen, Ihre Anpassungsartefakte abzurufen, ohne sie öffentlich zugänglich zu machen. Image Builder kann Ihre verwaltete Azure-Identität verwenden, um diese Ressourcen abzurufen, und Sie können die Berechtigungen dieser Identität mithilfe von Azure-RBAC so weit wie erforderlich einschränken. Sie können sowohl Ihre Artefakte geheim halten als auch Manipulationen durch Unbefugte verhindern.
- Es speichert Kopien von Anpassungsartefakten, vorübergehende Compute- und Speicherressourcen und die daraus resultierenden Images sicher innerhalb Ihres Abonnements, da der Zugriff über Azure-RBAC gesteuert wird. Diese Sicherheitsstufe, die auch für die Build-VM gilt, die zur Erstellung des angepassten Images verwendet wird, verhindert, dass Ihre Anpassungsskripte und -dateien auf eine unbekannte VM in einem unbekannten Abonnement kopiert werden. Und Sie können ein hohes Maß an Trennung von den Workloads anderer Kunden erreichen, indem Sie isolierte VM-Angebote für die Build-VM verwenden.
- Es ermöglicht Ihnen, VM Image Builder mit Ihren bestehenden virtuellen Netzwerken zu verbinden, so dass Sie mit bestehenden Konfigurationsservern wie DSC (Desired State Configuration Pull Server), Chef und Puppet, Dateifreigaben oder anderen routbaren Servern und Diensten kommunizieren können.
- ES kann so konfiguriert werden, dass sie der VM Image Builder Build-VM (d. h. der VM, die der VM Image Builder-Dienst in Ihrem Abonnement erstellt und zum Erstellen und Anpassen des Images verwendet) Ihre benutzerseitig zugewiesenen Identitäten zuweist. Sie können diese Identitäten dann zur Anpassungszeit für den Zugriff auf Azure-Ressourcen, einschließlich Geheimnisse, in Ihrem Abonnement verwenden. Es ist nicht erforderlich, VM Image Builder direkten Zugriff auf diese Ressourcen zuzuweisen.
Betriebssystemunterstützung
VM Image Builder ist für die Verwendung mit allen Azure Marketplace-Basisbetriebssystemimages konzipiert.
Hinweis
Erste Schritte mit dem Erstellen und Überprüfen benutzerdefinierter Images im Portal.
Unterstützung für vertrauliche VM und vertrauenswürdige Starts
VM Image Builder bietet – mit bestimmten Einschränkungen – erweiterte Unterstützung für TrustedLaunchSupported- und ConfidentialVMSupported-Images. Dies ist die Liste der Einschränkungen:
| SecurityType | Status der Unterstützung |
|---|---|
| TrustedLaunchSupported | Unterstützung als Quellimage für Imagebuilds |
| ConfidentialVMSupported | Unterstützung als Quellimage für Imagebuilds |
| TrustedLaunch | Nicht als Quellimage unterstützt |
| ConfidentialVM | Nicht als Quellimage unterstützt |
Hinweis
Wenn Sie TrustedLaunchSupported-Images verwenden, ist es wichtig, dass sowohl die Quelle als auch die Distribution TrustedLaunchSupported sein müssen, damit sie unterstützt werden. Wenn die Quelle normal ist und die Distribution TrustedLaunchSupported lautet, oder wenn die Quelle TrustedLaunchSupported lautet und die Distribution eine normale Distribution der 2. Generation ist, wird dies nicht unterstützt.