Condividi tramite


Creare una macchina virtuale usando una base approvata

Questo articolo descrive come usare Azure per creare una macchina virtuale contenente un sistema operativo preconfigurato e approvato. Se non è compatibile con la soluzione, è possibile creare e configurare una macchina virtuale locale usando un sistema operativo approvato.


Nota

Prima di iniziare questa procedura, esaminare i requisiti tecnici per le offerte di macchine virtuali di Azure, inclusi i requisiti del disco rigido virtuale (VHD).

Selezionare un'immagine di base approvata

Selezionare una delle immagini Windows o Linux seguenti come base.

Finestre

Linux

Azure offre una gamma di distribuzioni Linux approvate. Per un elenco aggiornato, vedere Linux in distribuzioni approvate da Azure.

Creare una macchina virtuale nel portale di Azure

  1. Accedere al portale di Azure.
  2. Selezionare Macchine virtuali.
  3. Selezionare + Crea e + Macchina virtuale dal menu a discesa per aprire la schermata Crea macchina virtuale.
  4. Selezionare l'immagine dall'elenco a discesa oppure selezionare Visualizza tutte le immagini per cercare o esplorare tutte le immagini di macchine virtuali disponibili. È anche possibile configurare la generazione della macchina virtuale dell'immagine in base all'immagine selezionata.
  5. Selezionare le dimensioni della macchina virtuale da distribuire.
  6. Indicare gli altri dettagli necessari per creare la macchina virtuale.
  7. Selezionare Review + create (Revisione e creazione) per rivedere le scelte effettuate. Quando viene visualizzato il messaggio Convalida superata, selezionare Crea.

Azure avvia il provisioning della macchina virtuale specificata. Tenere traccia dello stato di avanzamento selezionando la scheda Macchine virtuali nel menu a sinistra. Dopo la creazione, lo stato della macchina virtuale diventa In esecuzione.

Configurare la macchina virtuale

Questa sezione descrive come ridimensionare, aggiornare e generalizzare una macchina virtuale di Azure. Questa procedura è necessaria per preparare la macchina virtuale alla distribuzione in Azure Marketplace.

Connettersi alla macchina virtuale

Per connettersi alla macchina virtuale Windows o Linux , vedere la documentazione seguente.

Installare gli aggiornamenti più recenti

Le immagini di base delle macchine virtuali del sistema operativo devono contenere gli aggiornamenti più recenti fino alla data di pubblicazione. Prima della pubblicazione, assicurarsi di aggiornare il sistema operativo e tutti i servizi installati con tutte le patch di sicurezza e manutenzione più recenti.

  • Per Windows Server, eseguire il comando Controlla aggiornamenti.
  • Per le distribuzioni Linux, gli aggiornamenti vengono in genere scaricati e installati tramite uno strumento da riga di comando o un'utilità grafica. Ubuntu Linux, ad esempio, per l'aggiornamento del sistema operativo mette a disposizione il comando apt-get e lo strumento Update Manager.

Eseguire controlli di sicurezza aggiuntivi

Mantenere un livello elevato di sicurezza per le immagini della soluzione in Azure Marketplace. Per un elenco di controllo delle configurazioni e delle procedure di sicurezza, vedere Raccomandazioni sulla sicurezza per le immagini di Azure Marketplace.

Personalizzare l'immagine della macchina virtuale

A questo punto, installare il software necessario e apportare eventuali modifiche di configurazione personalizzate nella macchina virtuale per il corretto funzionamento della soluzione, incluse le attività pianificate che devono essere eseguite dopo la distribuzione. Quando si apportano le modifiche personalizzate, tenere presente quanto segue:

  • Se si tratta di un'attività di run-once pianificata, l'attività deve essere eliminata dopo il completamento.
  • Le configurazioni non devono basarsi su unità diverse da C o D, perché solo queste due unità sono sempre disponibili (l'unità C è il disco del sistema operativo e l'unità D è il disco locale temporaneo).
  • Apportare le modifiche alla configurazione tecnica necessarie per la soluzione. Successivamente, verranno contrassegnate le configurazioni eseguite nella macchina virtuale nella sezione Proprietà della pagina Configurazione tecnica nel Centro per i partner. Verranno visualizzati i clienti quali scenari sono supportati in base alle modifiche alla configurazione apportate. Selezionare le proprietà di configurazione tecnica seguenti durante la pubblicazione:
    • Supporta il backup
    • Supporta la rete accelerata
    • Supporta la configurazione di cloud-init
    • Supporta le estensioni
    • Appliance virtuale di rete
    • Desktop remoto o SSH disabilitato
    • Richiede un modello di Resource Manager personalizzato

Per altre informazioni sulle personalizzazioni di Linux, vedere Estensioni della macchina virtuale e funzionalità per Linux.

Generalizzare l'immagine

Tutte le immagini in Azure Marketplace devono essere riutilizzabili in modo generico. Per ottenere questo risultato, il disco rigido virtuale del sistema operativo deve essere generalizzato. La generalizzazione è un'operazione che rimuove tutti gli identificatori specifici di istanze e tutti i driver software da una macchina virtuale.

Per Windows

La generalizzazione dei dischi con sistema operativo Windows viene eseguita con lo strumento sysprep. Se in seguito si aggiorna o si riconfigura il sistema operativo, è necessario eseguire di nuovo sysprep.

Avviso

Dopo aver eseguito sysprep, disattivare la macchina virtuale fino a quando non viene distribuita perché gli aggiornamenti potrebbero essere eseguiti automaticamente. Questo arresto eviterà che gli aggiornamenti successivi possano apportare modifiche specifiche di istanza al sistema operativo o ai servizi installati. Per altre informazioni sull'esecuzione di sysprep, vedere Generalizzare una macchina virtuale Windows.

Nota

Se è stata abilitata Microsoft Defender per il cloud (Azure Defender) nella sottoscrizione in cui si sta creando la macchina virtuale da acquisire e non si vuole che alcuna macchina virtuale creata da questa immagine venga registrata nel portale di Defender per endpoint, assicurarsi di disabilitare Microsoft Defender per il cloud nella sottoscrizione o per la macchina virtuale stessa. Se questa opzione non è disabilitata, qualsiasi macchina virtuale creata da questa immagine verrà registrata nel portale di Defender per endpoint anche se la macchina virtuale viene distribuita in un tenant diverso senza Microsoft Defender per il cloud.

Per Linux

  1. Rimuovere l'agente Linux di Azure.

    1. Connettersi alla VM Linux tramite un client SSH.
    2. Nella finestra SSH immettere questo comando: sudo waagent –deprovision+user.
    3. Digitare Y per continuare (è possibile aggiungere il parametro -force al comando precedente per evitare il passaggio di conferma).
    4. Al termine del comando, immettere Esci per chiudere il client SSH.
  2. Se Microsoft Defender per endpoint (MDE) è installato nell'immagine, disinstallare MDE eseguendo i comandi seguenti a seconda del sistema operativo dell'immagine:

    • RHEL, CentOS e Oracle: sudo yum remove mdatp

    • SLES e varianti: sudo zypper remove mdatp

    • Ubuntu e Debian: sudo apt-get purge mdatp

    • Marinaio: sudo dnf remove mdatp

  3. Arrestare la macchina virtuale.

    1. Nel portale di Azure selezionare il gruppo di risorse (RG) e deallocare la macchina virtuale.
    2. La macchina virtuale è ora generalizzata ed è possibile creare una nuova macchina virtuale usando questo disco della macchina virtuale.

Acquisire l'immagine

Nota

La sottoscrizione di Azure contenente la raccolta di calcolo di Azure deve trovarsi nello stesso tenant dell'account di pubblicazione per la pubblicazione. Inoltre, l'account editore deve avere almeno l'accesso Collaboratore alla sottoscrizione contenente La raccolta di calcolo di Azure.

Quando la macchina virtuale è pronta, è possibile acquisirla in una raccolta di calcolo di Azure (in precedenza noto come Raccolta immagini condivise). Seguire questa procedura per acquisire:

  1. Nella portale di Azure passare alla pagina della macchina virtuale.
  2. Selezionare Acquisisci.
  3. In Condividi immagine in Raccolta di calcolo di Azure selezionare Sì, condividerla in una raccolta come versione dell'immagine.
  4. In Stato del sistema operativo selezionare Generalizzato.
  5. Selezionare una raccolta di immagini di destinazione o Crea nuovo.
  6. Selezionare una definizione di immagine di destinazione o Crea nuovo.
  7. Specificare un numero di versione per l'immagine.
  8. Selezionare Review + create (Revisione e creazione) per rivedere le scelte effettuate.
  9. Dopo aver superato la convalida, selezionare Crea.

La pubblicazione delle immagini di macchine virtuali in Azure Marketplace dalla raccolta di calcolo di Azure richiede l'impostazione delle autorizzazioni in modo che il Centro per i partner possa acquisire le immagini ospitate nella raccolta.

Importante

Microsoft sta passando il processo per l'acquisizione di immagini dalla raccolta di calcolo a un processo più sicuro. Per continuare ad aggiornare le offerte della macchina virtuale, assicurarsi che alle app Microsoft seguenti venga concesso l'accesso seguendo questa procedura. Questi passaggi devono essere eseguiti una sola volta per ogni raccolta di calcolo usata per la pubblicazione in Azure Marketplace.

Prerequisiti

Per concedere l'autorizzazione del Centro per i partner, è necessario assicurarsi che siano soddisfatti i prerequisiti seguenti:

  1. La raccolta di calcolo di Azure deve trovarsi nello stesso tenant di Microsoft Entra collegato all'account del Centro per i partner
  2. È necessario essere un proprietario della sottoscrizione in cui è presente la raccolta di calcolo.

Suggerimento

È consigliabile usare una raccolta di calcolo dedicata ai fini della pubblicazione nel Centro per i partner e concedere solo l'autorizzazione a questa raccolta dedicata. Non è necessario concedere autorizzazioni a livello di sottoscrizione.

Passaggio 1: Effettuare il provisioning delle entità servizio

È prima necessario effettuare il provisioning delle entità servizio nella sottoscrizione di Azure, che viene eseguita registrando il provider di risorse del Centro per i partner Microsoft( RP). Un'entità servizio è un'identità che verrà quindi usata per fornire al Centro per i partner l'accesso alla raccolta di calcolo per l'acquisizione delle immagini. Questo passaggio non concede l'accesso.

PowerShell
# Connect to your Azure account
Connect-AzAccount

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
Set-AzContext -Subscription <SubscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
Register-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

# Ensure the Resource Principal is registered successfully.
Get-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion
Interfaccia della riga di comando di Azure
# Connect to your Azure account
Az login

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
az account set --subscription <subscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
az provider register --namespace

# Ensure the Resource Principal is registered successfully.
az provider show --namespace Microsoft.PartnerCenterIngestion

Dopo il provisioning delle entità servizio, è necessario concedere autorizzazioni esplicite per leggere le immagini da una raccolta di calcolo specifica. Il Centro per i partner è in fase di transizione a un processo più sicuro per l'acquisizione delle immagini. Durante questa transizione, viene chiesto di concedere temporaneamente l'accesso a due applicazioni Microsoft in modo da poter continuare ad aggiornare le offerte della macchina virtuale.

PowerShell
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
Get-AzGallery -ResourceGroupName <resource-group> -GalleryName <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
Get-AzADServicePrincipal -SearchString "Microsoft Partner Center Resource Provider"

# Create a role assignment to the first Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id1> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
Get-AzADServicePrincipal -SearchString "Compute Image Registry"

# Create a role assignment to the second Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id2> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>
Interfaccia della riga di comando di Azure
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
az sig show --resource-group <resource-group> --gallery-name <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
az ad sp list --display-name "Microsoft Partner Center Resource Provider" --query '[].id'

# Create a role assignment to the first Microsoft application.
az role assignment create --assignee-object-id <sp-id1> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
az ad sp list --display-name "Compute Image Registry" --query '[].id'

# Create a role assignment to the second Microsoft application.
az role assignment create --assignee-object-id <sp-id2> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>
Azure portal
  1. Lo gin a portale di Azure

  2. Passare alla raccolta di calcolo di Azure che contiene l'immagine della macchina virtuale.

  3. Passare alla scheda Controllo di accesso all'interno della raccolta di calcolo di Azure.

  4. Seleziona Aggiungi>Aggiungi assegnazione ruolo.

  5. Selezionare il ruolo Lettore di immagini della raccolta di calcolo e fare clic su Avanti.

  6. Selezionare questa opzione per assegnare l'accesso a Utente, gruppo o entità servizio.

  7. Fare clic su + Seleziona membri e cercare e selezionare le entità servizio "Provider di risorse del Centro per i partner Microsoft" e "Registro immagini di calcolo". Fare clic su Avanti.

  8. Fare clic su Rivedi e assegna.

  • Passaggio successivo consigliato: testare l'immagine della macchina virtuale per assicurarsi che soddisfi i requisiti di pubblicazione di Azure Marketplace. (Facoltativo).
  • Se non si vuole testare l'immagine della macchina virtuale, accedere al Centro per i partner per pubblicare l'immagine.
  • Se si riscontrano difficoltà a creare il nuovo disco rigido virtuale basato su Azure, vedere Domande frequenti sulle macchine virtuali per Azure Marketplace.