Creare una macchina virtuale usando una base approvata

Questo articolo descrive come usare Azure per creare una macchina virtuale contenente un sistema operativo preconfigurato e approvato. Se non è compatibile con la soluzione, è possibile creare e configurare una macchina virtuale locale usando un sistema operativo approvato.

Nota

Prima di iniziare questa procedura, esaminare i requisiti tecnici per le offerte di macchine virtuali di Azure, inclusi i requisiti del disco rigido virtuale (VHD).

Selezionare un'immagine di base approvata

Selezionare una delle immagini Windows o Linux seguenti come base.

Windows

• Windows Server
• SQL Server 2019, 2014, 2012
• Windows 11 Enterprise (questa immagine di base è approvata solo per l'uso con Microsoft Dev Box)

Linux

Azure offre una gamma di distribuzioni Linux approvate. Per un elenco aggiornato, vedere Linux in distribuzioni approvate da Azure.

Creare una macchina virtuale nel portale di Azure

1. Accedere al portale di Azure.
2. Selezionare Macchine virtuali.
3. Selezionare + Crea e + Macchina virtuale dal menu a discesa per aprire la schermata Crea una macchina virtuale.
4. Selezionare l'immagine dall'elenco a discesa oppure selezionare Visualizza tutte le immagini per cercare o esplorare tutte le immagini di macchine virtuali disponibili. È possibile configurare anche la generazione VM per la tua immagine in base all'immagine selezionata.
5. Selezionare le dimensioni della macchina virtuale da distribuire.
6. Indicare gli altri dettagli necessari per creare la macchina virtuale.
7. Selezionare Review + create (Revisione e creazione) per rivedere le scelte effettuate. Quando viene visualizzato il messaggio Convalida superata, selezionare Crea.

Azure avvia il provisioning della macchina virtuale da te specificata. Tenere traccia dello stato di avanzamento selezionando la scheda Macchine virtuali nel menu a sinistra. Dopo la creazione, lo stato della macchina virtuale diventa In esecuzione.

Configurare la macchina virtuale

Questa sezione descrive come ridimensionare, aggiornare e generalizzare una macchina virtuale di Azure. Questa procedura è necessaria per preparare la macchina virtuale alla distribuzione in Azure Marketplace.

Connettersi alla macchina virtuale

Per connettersi alla macchina virtuale Windows o Linux , vedere la documentazione seguente.

Installare gli aggiornamenti più recenti

Le immagini di base delle macchine virtuali del sistema operativo devono contenere gli aggiornamenti più recenti fino alla data di pubblicazione. Prima della pubblicazione, assicurarsi di aggiornare il sistema operativo e tutti i servizi installati con tutte le patch di sicurezza e manutenzione più recenti.

• Per Windows Server, eseguire il comando Controlla aggiornamenti.
• Per le distribuzioni Linux, gli aggiornamenti vengono in genere scaricati e installati tramite uno strumento da riga di comando o un'utilità grafica. Ubuntu Linux, ad esempio, per l'aggiornamento del sistema operativo mette a disposizione il comando apt-get e lo strumento Update Manager.

Eseguire controlli di sicurezza aggiuntivi

Mantenere un livello elevato di sicurezza per le immagini della soluzione in Azure Marketplace. Per un elenco di controllo delle configurazioni e delle procedure di sicurezza, vedere Raccomandazioni sulla sicurezza per le immagini di Azure Marketplace.

Personalizzare l'immagine della macchina virtuale

A questo punto, installare il software necessario e apportare eventuali modifiche di configurazione personalizzate nella macchina virtuale per il corretto funzionamento della soluzione, incluse le attività pianificate che devono essere eseguite dopo la distribuzione. Quando si apportano le modifiche personalizzate, tenere presente quanto segue:

• Se si tratta di un'attività pianificata una tantum, l'attività deve eliminarsi dopo il completamento con successo.
• Le configurazioni non devono basarsi su unità diverse da C o D, perché solo queste due unità sono sempre disponibili (l'unità C è il disco del sistema operativo e l'unità D è il disco locale temporaneo).
• Apportare le modifiche alla configurazione tecnica necessarie per la soluzione. Successivamente, verranno contrassegnate le configurazioni eseguite nella macchina virtuale nella sezione Proprietà della pagina Configurazione tecnica nel Centro per i partner. Questo mostrerà ai tuoi clienti quali scenari sono supportati in base alle modifiche alla configurazione che hai apportato ora. Selezionare le proprietà di configurazione tecnica seguenti durante la pubblicazione:
  • Supporta il backup
  • Supporta la rete accelerata
  • Supporta la configurazione di cloud-init
  • Supporta le estensioni
  • Dispositivo virtuale di rete
  • Desktop remoto o SSH disabilitato
  • Richiede un modello ARM personalizzato

Per altre informazioni sulle personalizzazioni di Linux, vedere Estensioni della macchina virtuale e funzionalità per Linux.

Generalizzare l'immagine

Tutte le immagini in Azure Marketplace devono essere riutilizzabili in modo generico. Per ottenere questo risultato, il disco rigido virtuale del sistema operativo deve essere generalizzato. La generalizzazione è un'operazione che rimuove tutti gli identificatori specifici di istanze e tutti i driver software da una macchina virtuale.

Per Windows

La generalizzazione dei dischi con sistema operativo Windows viene eseguita con lo strumento sysprep. Se in seguito si aggiorna o si riconfigura il sistema operativo, è necessario eseguire di nuovo sysprep.

Avviso

Dopo aver eseguito sysprep, disattivare la macchina virtuale fino a quando non viene distribuita perché gli aggiornamenti potrebbero essere eseguiti automaticamente. Questo arresto eviterà che gli aggiornamenti successivi possano apportare modifiche specifiche di istanza al sistema operativo o ai servizi installati. Per altre informazioni sull'esecuzione di sysprep, vedere Generalizzare una macchina virtuale Windows.

Nota

Se è abilitato Microsoft Defender for Cloud (Azure Defender) nella sottoscrizione in cui si sta creando la macchina virtuale da acquisire e non si vuole che alcuna macchina virtuale creata da questa immagine venga registrata nel portale di Defender per endpoint, assicurarsi di disabilitare Microsoft Defender for Cloud nella sottoscrizione o per la macchina virtuale stessa. Se questa opzione non è disabilitata, qualsiasi macchina virtuale creata da questa immagine verrà registrata nel portale di Defender per endpoint anche se la macchina virtuale viene distribuita in un tenant diverso senza Microsoft Defender per il cloud.

Per Linux

1. Rimuovere l'agente Linux di Azure.

   1. Connettersi alla VM Linux tramite un client SSH.
   2. Nella finestra SSH immettere questo comando: sudo waagent –deprovision+user.
   3. Digitare Y per continuare (è possibile aggiungere il parametro -force al comando precedente per evitare il passaggio di conferma).
   4. Al termine del comando, immettere Esci per chiudere il client SSH.

2. Se Microsoft Defender per endpoint (MDE) è installato nell'immagine, disinstallare MDE eseguendo i comandi seguenti a seconda del sistema operativo dell'immagine:

   • RHEL, CentOS e Oracle: sudo yum remove mdatp

   • SLES e varianti: sudo zypper remove mdatp

   • Ubuntu e Debian: sudo apt-get purge mdatp

   • Marinaio: sudo dnf remove mdatp

3. Ferma la macchina virtuale.

   1. Nel portale di Azure selezionare il gruppo di risorse (RG) e deallocare la macchina virtuale.
   2. La macchina virtuale è ora generalizzata ed è possibile creare una nuova macchina virtuale usando questo disco della macchina virtuale.

Acquisire l'immagine

Nota

La sottoscrizione di Azure contenente l'Azure Compute Gallery deve trovarsi nello stesso tenant dell'account di pubblicazione. Inoltre, l'account publisher deve avere almeno l'accesso Collaboratore alla sottoscrizione contenente Azure Compute Gallery.

Quando la macchina virtuale è pronta, è possibile acquisirla in una Azure Compute Gallery (in precedenza conosciuta come Raccolta immagini condivise). Per acquisire, seguire questa procedura:

1. Nella portale di Azure passare alla pagina della macchina virtuale.
2. Selezionare Acquisisci.
3. Seleziona Condividi immagine nella Raccolta immagini di Azure, quindi scegli Sì, condividerla in una raccolta come versione dell'immagine.
4. In Stato del sistema operativo selezionare Generalizzato.
5. Selezionare una raccolta di immagini di destinazione o Crea nuovo.
6. Selezionare una definizione di immagine di destinazione o Crea nuovo.
7. Specificare un numero di versione per l'immagine.
8. Selezionare Review + create (Revisione e creazione) per rivedere le scelte effettuate.
9. Dopo aver superato la convalida, selezionare Crea.

Concedere al Centro per i Partner l'autorizzazione alla tua Azure Compute Gallery

La pubblicazione delle immagini delle macchine virtuali su Azure Marketplace dalla tua Azure Compute Gallery richiede l'impostazione delle autorizzazioni affinché il Partner Center possa acquisire le immagini ospitate all'interno della tua raccolta.

Importante

Microsoft sta transitando il processo per l'acquisizione di immagini dalla Compute Gallery a un processo più sicuro. Per continuare ad aggiornare le offerte della macchina virtuale, assicurarsi che alle app Microsoft seguenti venga concesso l'accesso seguendo questa procedura. Questi passaggi devono essere eseguiti ogni volta per ogni Compute Gallery utilizzata per la pubblicazione in Azure Marketplace.

Prerequisiti

Per concedere l'autorizzazione del Centro per i partner, è necessario assicurarsi che siano soddisfatti i prerequisiti seguenti:

1. La Azure Compute Gallery deve trovarsi nello stesso tenant di Microsoft Entra collegato al tuo account Partner Center.
2. È necessario essere un Owner della sottoscrizione in cui è presente la Compute Gallery.

Suggerimento

È consigliabile utilizzare una "Compute Gallery" dedicata per le finalità di pubblicazione nel Centro per i partner e concedere l'autorizzazione solo a questa galleria dedicata. Non è necessario concedere autorizzazioni a livello di sottoscrizione.

Passaggio 1: Configurare le entità di servizio

Per prima cosa, è necessario configurare le entità servizio nella sottoscrizione di Azure, cosa che avviene registrando il Microsoft Partner Center Resource Provider (RP). Una service principal è un'identità che verrà utilizzata per fornire al Partner Center l'accesso alla Compute Gallery per l'acquisizione delle tue immagini. Questo passaggio non concede l'accesso.

PowerShell

# Connect to your Azure account
Connect-AzAccount

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
Set-AzContext -Subscription <SubscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
Register-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

# Ensure the Resource Principal is registered successfully.
Get-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

Interfaccia della riga di comando di Azure (CLI)

# Connect to your Azure account
Az login

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
az account set --subscription <subscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
az provider register --namespace

# Ensure the Resource Principal is registered successfully.
az provider show --namespace Microsoft.PartnerCenterIngestion

Passaggio 2: Concedere al Centro per i partner l'accesso alla raccolta di calcolo di Azure

Dopo il provisioning delle entità servizio, è necessario concedere autorizzazioni esplicite per leggere le immagini da una specifica Compute Gallery. Il Centro per i partner è in fase di transizione a un processo più sicuro per l'acquisizione delle immagini. Durante questa transizione, viene chiesto di concedere temporaneamente l'accesso a due applicazioni Microsoft in modo da poter continuare ad aggiornare le offerte della macchina virtuale.

PowerShell

# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
Get-AzGallery -ResourceGroupName <resource-group> -GalleryName <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
Get-AzADServicePrincipal -SearchString "Microsoft Partner Center Resource Provider"

# Create a role assignment to the first Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id1> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
Get-AzADServicePrincipal -SearchString "Compute Image Registry"

# Create a role assignment to the second Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id2> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

Interfaccia della riga di comando di Azure (CLI)

# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
az sig show --resource-group <resource-group> --gallery-name <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
az ad sp list --display-name "Microsoft Partner Center Resource Provider" --query '[].id'

# Create a role assignment to the first Microsoft application.
az role assignment create --assignee-object-id <sp-id1> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
az ad sp list --display-name "Compute Image Registry" --query '[].id'

# Create a role assignment to the second Microsoft application.
az role assignment create --assignee-object-id <sp-id2> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

Azure portal

1. Il login al portale di Azure
2. Accedere alla Compute Gallery di Azure che contiene l'immagine della tua macchina virtuale.
3. Accedere alla scheda Controllo degli accessi all'interno della Azure Compute Gallery.
4. Seleziona Aggiungi>Aggiungi assegnazione ruolo.
5. Selezionare il ruolo Compute Gallery Image Reader e fare clic su Avanti.
6. Selezionare questa opzione per assegnare l'accesso a Utente, gruppo o principale del servizio.
7. Fare clic su + Seleziona membri e cercare e selezionare i principali del servizio "Provider di risorse del Centro per i partner Microsoft" e "Registro delle immagini di calcolo". Fare clic su Avanti.
8. Fare clic su Rivedi e assegna.

Accedi al Centro Partner per pubblicare la tua immagine.

Contenuto correlato

• Hai riscontrato difficoltà nel creare un nuovo disco rigido virtuale basato su Azure? Consulta le Domande frequenti sulle macchine virtuali per Azure Marketplace.