Azure VM Image Builder 사용
VM Image Builder는 Azure 리소스 공급자가 액세스할 수 있는 완전 관리형 Azure 서비스입니다. 리소스 공급자는 원본 이미지, 수행할 사용자 지정 및 새 이미지를 배포할 위치를 지정하여 VM Image Builder를 구성합니다. 개략적인 워크플로는 다이어그램에 설명되어 있습니다.
VM Image Builder의 개념적 골든 이미지 다이어그램.
Azure PowerShell, Azure CLI 또는 Azure Resource Manager 템플릿을 사용하거나 VM Image Builder DevOps 작업을 사용하여 템플릿 구성을 전달할 수 있습니다. 구성을 서비스에 제출하면 Azure가 이미지 템플릿 리소스를 만듭니다. 이미지 템플릿 리소스가 만들어지면 구독에 준비 리소스 그룹이 IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID) 형식으로 만들어집니다. 준비 리소스 그룹에는 ScriptURI 속성의 File, Shell 및 PowerShell 사용자 지정에서 참조되는 파일과 스크립트가 포함됩니다.
빌드를 실행하려면 VM Image Builder 템플릿 리소스에서 실행을 호출합니다. 그러면 VM Image Builder 서비스는 VM, 네트워크, 디스크 및 네트워크 어댑터와 같은 빌드에 대한 추가 리소스를 배포합니다.
기존 가상 네트워크를 사용하지 않고 이미지를 빌드하는 경우 VM Image Builder는 공용 IP 및 네트워크 보안 그룹도 배포합니다. VM Image Builder는 SSH(Secure Shell) 또는 WinRM(Windows 원격 관리) 프로토콜을 사용하여 빌드 VM에 연결합니다.
기존 가상 네트워크를 선택하면 Azure Private Link를 통해 서비스가 배포되고, 공용 IP 주소가 필요 없습니다. 자세한 내용은 Azure VM Image Builder 네트워킹 개요를 참조하세요.
빌드가 완료되면 준비 리소스 그룹과 스토리지 계정을 제외한 모든 리소스가 삭제됩니다. 이미지 템플릿 리소스를 삭제하여 제거할 수도 있고, 그대로 두고 빌드를 다시 실행할 수도 있습니다.
여러 예제, 단계별 가이드, 구성 템플릿 및 솔루션을 보려면 VM Image Builder GitHub 리포지토리로 이동합니다.
보안
이미지를 안전하게 보관하기 위해 VM Image Builder는 다음과 같이 합니다.
- 기준 이미지(즉, 최소 보안 및 회사 구성)를 만들고 다른 부서에서 기준 이미지를 추가로 사용자 지정할 수 있게 합니다. VM Image Builder를 사용하여 최신 패치 버전의 원본 이미지를 사용하는 골든 이미지를 빠르게 다시 빌드함으로써 이러한 이미지의 보안을 유지하고 규정을 준수할 수 있습니다. 또한 VM Image Builder를 사용하면 Azure Windows 보안 기준을 충족하는 이미지를 더 쉽게 빌드할 수 있습니다. 자세한 내용은 VM Image Builder - Windows 기준 템플릿을 참조하세요.
- 공개적으로 액세스할 수 있게 만들지 않고도 사용자 지정 아티팩트 가져오기를 사용할 수 있습니다. VM Image Builder는 Azure Managed Identity를 사용하여 이러한 리소스를 가져올 수 있으며, Azure RBAC(역할 기반 액세스 제어)를 사용하여 이 ID의 권한을 필요한 만큼 엄격하게 제한할 수 있습니다. 아티팩트 비밀을 지키고 권한 없는 작업자에 의한 변조를 방지할 수 있습니다.
- 액세스 권한을 Azure-RBAC로 제어하므로 사용자 지정 아티팩트의 복사본, 임시 컴퓨팅 및 스토리지 리소스 그리고 결과 이미지를 구독 내에 안전하게 저장합니다. 사용자 지정된 이미지를 만드는 데 사용되는 빌드 VM에도 적용되는 이 수준의 보안은 사용자 지정 스크립트 및 파일이 알 수 없는 구독의 알 수 없는 VM에 복사되지 않도록 방지하는 데 도움이 됩니다. 또한 빌드 VM에 격리된 VM 제품을 사용하여 다른 고객의 워크로드와 확실하게 격리할 수 있습니다.
- VM Image Builder를 기존 가상 네트워크에 연결할 수 있습니다. 그러면 DSC(Desired State Configuration 끌어오기 서버), Chef, Puppet, 파일 공유 또는 기타 라우팅 가능한 서버와 서비스 같은 기존 구성 서버와 통신할 수 있습니다.
- 사용자가 할당한 ID를 VM Image Builder 빌드 VM(즉, VM Image Builder 서비스가 구독에 만들고 이미지를 빌드 및 사용자 지정하는 데 사용하는 VM)에 할당하도록 구성할 수 있습니다. 그런 다음 사용자 지정 시 이러한 ID를 사용하여 구독에서 비밀을 비롯한 Azure 리소스에 액세스할 수 있습니다. VM Image Builder에 해당 리소스에 대한 직접 액세스 권한을 할당할 필요가 없습니다.
OS 지원
VM Image Builder는 모든 Azure Marketplace 기본 운영 체제 이미지와 함께 작동하도록 설계되었습니다.
참고 항목
포털 내에서 사용자 지정 이미지 빌드 및 유효성 검사를 시작합니다.
기밀 VM 및 신뢰할 수 있는 시작 지원
VM Image Builder는 특정 제약 조건을 사용하여 TrustedLaunchSupported 및 ConfidentialVMSupported 이미지에 대한 추가 지원을 제공합니다. 다음은 제약 조건 목록입니다.
| SecurityType | 상태 지원 |
|---|---|
| TrustedLaunchSupported | 이미지 빌드에 대한 원본 이미지로 지원 |
| ConfidentialVMSupported | 이미지 빌드에 대한 원본 이미지로 지원 |
| TrustedLaunch | 원본 이미지로 지원되지 않음 |
| ConfidentialVM | 원본 이미지로 지원되지 않음 |
참고 항목
TrustedLaunchSupported 이미지를 사용하는 경우 원본 및 배포가 모두 TrustedLaunchSupported여야 지원됩니다. 원본이 정상이고 배포가 TrustedLaunchSupported이거나 원본이 TrustedLaunchSupported이고 배포가 일반 Gen2인 경우 지원되지 않습니다.