Uso de Azure VM Image Builder
VM Image Builder es un servicio de Azure totalmente administrado al que se accede a través de un proveedor de recursos de Azure. Los proveedores de recursos lo configuran especificando una imagen de origen, una personalización que se va a realizar y dónde se va a distribuir la nueva imagen. El flujo de trabajo de alto nivel se ilustra en el siguiente diagrama:
Puede pasar configuraciones de plantilla mediante Azure PowerShell, la CLI de Azure o las plantillas de Azure Resource Manager, o mediante una tarea de DevOps de VM Image Builder. Al enviar la configuración al servicio, Azure crea un recurso de plantilla de imagen. Cuando se crea el recurso de plantilla de imagen, se crea un grupo de recursos de almacenamiento provisional en la suscripción, con el formato IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID). El grupo de recursos de almacenamiento provisional contiene archivos y scripts a los que se hace referencia en la personalización de Archivo, Shell y PowerShell en la propiedad ScriptURI.
Para ejecutar la compilación, invoque Ejecutar en el recurso de plantilla de VM Image Builder. A continuación, el servicio implementa otros recursos para la compilación, como una máquina virtual (VM), una red, un disco y un adaptador de red.
Si crea una imagen sin usar una red virtual existente, VM Image Builder también implementa una dirección IP pública y un grupo de seguridad de red. VM Image Builder se conecta a la máquina virtual de compilación mediante Secure Shell (SSH) o el protocolo de Administración remota de Windows (WinRM).
Si selecciona una red virtual existente, el servicio se implementa a través de Azure Private Link y no se requiere una dirección IP pública. Para más información, consulte Introducción a VM Image Builder.
Cuando finaliza la compilación, se eliminan todos los recursos, excepto el grupo de recursos de almacenamiento provisional y la cuenta de almacenamiento. Para quitarlos, elimine el recurso de plantilla de imagen; también puede dejarlos donde están para volver a ejecutar la compilación.
Puede encontrar múltiples ejemplos, guías paso a paso, plantillas de configuración y soluciones en el repositorio de GitHub de VM Image Builder.
Seguridad
Para ayudar a proteger las imágenes, VM Image Builder:
- Le permite crear imágenes de línea de base (es decir, configuraciones de seguridad mínima y corporativas) y permite que otros departamentos las personalicen aún más. Puede ayudar a que estas imágenes se mantengan seguras y compatibles usando VM Image Builder para recompilar rápidamente una imagen maestra que use la versión revisada más reciente de una imagen de origen. VM Image Builder también facilita la compilación de imágenes que cumplen la línea de base de Windows en Azure. Para más información, consulte VM Image Builder: plantilla de línea de base de Windows.
- Permite capturar los artefactos de personalización sin necesidad de que sean accesibles públicamente. VM Image Builder puede usar la identidad administrada de Azure para capturar estos recursos, y puede restringir los privilegios de esta identidad tan estrictamente como sea necesario mediante el control de acceso basado en rol (Azure RBAC). Puede mantener el secreto de los artefactos y evitar la manipulación por parte de actores no autorizados.
- Almacena de forma segura las copias de artefactos de personalización, los recursos de proceso y almacenamiento transitorios y sus imágenes resultantes en la suscripción, ya que el acceso se controla mediante Azure RBAC. Este nivel de seguridad, que también se aplica a la máquina virtual de compilación que se usa para crear la imagen personalizada, ayuda a evitar que los scripts y archivos de personalización se copien en una máquina virtual desconocida en una suscripción desconocida. Además, puede lograr un alto grado de aislamiento de las cargas de trabajo de otros clientes mediante ofertas de máquinas virtuales aisladas para la máquina virtual de compilación.
- Permite conectar VM Image Builder a las redes virtuales existentes, de modo que pueda comunicarse con servidores de configuración existentes, como DSC (servidor de extracción de configuración de estado deseado), Chef y Puppet, recursos compartidos de archivos o cualquier otro servidor y servicios enrutables.
- Se puede configurar para asignar las identidades asignadas por el usuario a la máquina virtual de VM Image Builder (es decir, la máquina virtual que crea el servicio VM Image Builder en su suscripción y que se usa para compilar y personalizar la imagen). A continuación, puede usar estas identidades en el momento de la personalización para acceder a los recursos de Azure, incluidos los secretos, en la suscripción. No es necesario asignar acceso directo de VM Image Builder a esos recursos.
SO compatible
VM Image Builder está diseñado para funcionar con todas las imágenes del sistema operativo base de Azure Marketplace.
Nota:
Comience a compilar y validar imágenes personalizadas dentro del portal.
Compatibilidad con la máquina virtual confidencial y el inicio seguro
VM Image Builder tiene compatibilidad ampliada con imágenes TrustedLaunchSupported y ConfidentialVMSupported, con ciertas restricciones. A continuación se muestra la lista de restricciones:
| SecurityType | Estado de compatibilidad |
|---|---|
| TrustedLaunchSupported | Compatibilidad como imagen de origen para compilaciones de imágenes |
| ConfidentialVMSupported | Compatibilidad como imagen de origen para compilaciones de imágenes |
| TrustedLaunch | No se admite como una imagen de origen |
| ConfidentialVM | No se admite como una imagen de origen |
Nota:
Al usar imágenes TrustedLaunchSupported, es importante que el origen y la distribución sean TrustedLaunchSupported para que se admitan. Si el origen es normal y la distribución es TrustedLaunchSupported, o si el origen es TrustedLaunchSupported y la distribución es Gen2 normal, no se admite.