Utilizzo di Image Builder per le macchine virtuali di Azure
VM Image Builder è un servizio Azure completamente gestito accessibile ai fornitori di risorse Azure. I provider di risorse lo configurano specificando un'immagine di origine, una personalizzazione da eseguire e la posizione in cui distribuire la nuova immagine. Un flusso di lavoro di alto livello è illustrato nel diagramma:
È possibile passare configurazioni di modello usando Azure PowerShell, l'interfaccia della riga di comando di Azure o i modelli di Azure Resource Manager oppure usando un'attività DevOps di Image Builder di macchine virtuali. Quando si invia la configurazione al servizio, Azure crea una risorsa di modello immagine con identificativo . Quando viene creata la risorsa modello di immagine, nella sottoscrizione viene creato un gruppo di risorse di staging , nel formato IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID). Il gruppo di risorse di staging contiene file e script a cui si fa riferimento nella personalizzazione di File, Shell e PowerShell nella proprietà ScriptURI.
Per eseguire il build, invocare l'opzione Esegui nella risorsa modello dell'Image Builder della macchina virtuale. Il servizio distribuisce quindi altre risorse per la compilazione, ad esempio una macchina virtuale, una rete, un disco e una scheda di rete.
Se si compila un'immagine senza usare una rete virtuale esistente, Image Builder distribuisce anche un indirizzo IP pubblico e un gruppo di sicurezza di rete. VM Image Builder si connette alla VM di compilazione usando il protocollo Secure Shell (SSH) o Gestione remota Windows (WinRM).
Se si seleziona una rete virtuale esistente, il servizio viene distribuito tramite collegamento privato di Azure e non è necessario un indirizzo IP pubblico. Per ulteriori informazioni, vedere la panoramica della rete di Image Builder delle macchine virtuali .
Al termine della compilazione, tutte le risorse vengono eliminate, ad eccezione del gruppo di risorse di staging e dell'account di archiviazione. È possibile rimuoverli eliminando la risorsa modello di immagine oppure lasciandoli al posto per eseguire di nuovo la compilazione.
Per più esempi, guide dettagliate, modelli di configurazione e soluzioni, passare al repository GitHub VM Image Builder.
Sicurezza
Per aiutare a mantenere le tue immagini sicure, VM Image Builder:
- Consente di creare immagini di base(ovvero le configurazioni minime di sicurezza e aziendali) e consente ad altri reparti di personalizzarli ulteriormente. È possibile mantenere queste immagini sicure e conformi utilizzando VM Image Builder per ricompilare rapidamente un'immagine gold che utilizza la versione più recente di un'immagine di origine. Image Builder per macchine virtuali semplifica anche la creazione di immagini che soddisfano il baseline di sicurezza di Azure Windows. Per ulteriori informazioni, vedere Generatore di Immagini della Macchina Virtuale - Template di base di Windows.
- Consente di recuperare gli artefatti di personalizzazione senza doverli rendere accessibili pubblicamente. Builder di Immagini VM può usare la tua identità gestita di Azure per recuperare queste risorse ed è possibile limitare i privilegi di questa identità come necessario usando l'accesso basato sui ruoli di Azure (Azure RBAC). È possibile mantenere i segreti degli artefatti e prevenire la manomissione da parte di attori non autorizzati.
- Archivia in modo sicuro copie di artefatti di personalizzazione, risorse di calcolo e archiviazione temporanee e le relative immagini risultanti all'interno dell'abbonamento, poiché l'accesso è gestito tramite Azure RBAC. Questo livello di sicurezza, che si applica anche alla macchina virtuale di compilazione usata per creare l'immagine personalizzata, impedisce la copia di script e file di personalizzazione in una macchina virtuale sconosciuta in una sottoscrizione sconosciuta. È anche possibile ottenere un livello elevato di separazione dai carichi di lavoro di altri clienti usando offerte di macchine virtuali isolate per la macchina virtuale di compilazione.
- Consente di connettere Image Builder vm alle reti virtuali esistenti, in modo da poter comunicare con i server di configurazione esistenti, ad esempio DSC (server di pull di configurazione dello stato desiderato), Chef e Puppet, condivisioni file o qualsiasi altro server e servizi instradabili.
- Può essere configurato per assegnare le identità assegnate dall'utente alla macchina virtuale di compilazione del VM Image Builder, ovvero la macchina virtuale creata dal servizio Image Builder nel tuo abbonamento e usata per compilare e personalizzare l'immagine. È quindi possibile usare queste identità in fase di personalizzazione per accedere alle risorse di Azure, inclusi i segreti, nella sottoscrizione. Non è necessario assegnare a Image Builder l'accesso diretto a tali risorse.w
Supporto del sistema operativo
VM Image Builder è progettato per funzionare con tutte le immagini del sistema operativo di base di Azure Marketplace.
Nota
Iniziare con la compilazione e la convalida di immagini personalizzate all'interno del portale.
Supporto per macchine virtuali riservate e avvio sicuro
Il VM Image Builder ha esteso il supporto per le immagini TrustedLaunchSupported e ConfidentialVMSupported, con determinati vincoli. Di seguito è riportato l'elenco dei vincoli:
| SecurityType | stato del supporto |
|---|---|
| AvvioAttendibileSupportato | Supporto come immagine di origine per le compilazioni di immagini |
| ConfidentialVMSupported | Supporto come immagine di origine per le compilazioni di immagini |
| TrustedLaunch | Non supportato come immagine di origine |
| ConfidentialVM | Non supportato come immagine di origine |
Nota
Quando si utilizzano immagini TrustedLaunchSupported, è importante che sia l'origine che la distribuzione supportino TrustedLaunchSupported affinché la funzionalità sia garantita. Se l'origine è normale e la distribuzione è TrustedLaunchSupported o se l'origine è TrustedLaunchSupported e la distribuzione è normale Gen2, non è supportata.