Delen via

Best practices voor Azure VM Image Builder

  • Artikel

Van toepassing op: ✔️ Virtuele Linux-machines voor Windows-VM's ✔️ ✔️ Flexibele schaalsets Uniform-schaalsets ✔️

In dit artikel worden aanbevolen procedures beschreven die moeten worden gevolgd tijdens het gebruik van Azure VM Image Builder (AIB).

  • Als u wilt voorkomen dat afbeeldingssjablonen per ongeluk worden verwijderd, gebruikt u resourcevergrendelingen op resourceniveau van de afbeeldingssjabloon. Zie Uw Azure-resources beveiligen met een vergrendeling voor meer informatie.
  • Zorg ervoor dat uw afbeeldingssjablonen zijn ingesteld voor herstel na noodgevallen door de betrouwbaarheidsaanbeveling voor AIB te volgen.
  • Stel AIB-triggers in om uw installatiekopieën automatisch opnieuw op te bouwen en ze bijgewerkt te houden.
  • Schakel VM-opstartoptimalisatie in AIB in om de maaktijd voor uw VM's te verbeteren.
  • Geef uw eigen build-VM en ACI-subnetten op voor een strakkere controle over de implementatie van netwerkgerelateerde resources door AIB in uw abonnement. Het opgeven van deze subnetten leidt ook tot snellere buildtijden voor installatiekopieën. Zie de sjabloonverwijzing voor meer informatie over het opgeven van deze opties.
  • Volg het principe van minimale bevoegdheden voor uw AIB-resources.
    • Afbeeldingssjabloon: een principal die toegang heeft tot uw afbeeldingssjabloon, kan ermee worden uitgevoerd, verwijderd of geknoeid. Als u deze toegang hebt, kan de principal de afbeeldingen wijzigen die door die afbeeldingssjabloon zijn gemaakt.
    • Faseringsresourcegroep: AIB maakt gebruik van een faseringsresourcegroep in uw abonnement om uw VM-installatiekopieën aan te passen. U moet deze resourcegroep als gevoelig beschouwen en de toegang tot deze resourcegroep beperken tot alleen vereiste principals. Omdat het proces van het aanpassen van uw installatiekopieën plaatsvindt in deze resourcegroep, kan een principal met toegang tot de resourcegroep het proces voor het bouwen van afbeeldingen in gevaar brengen, bijvoorbeeld door malware in de afbeelding te injecteren. AIB delegeert ook bevoegdheden die zijn gekoppeld aan de sjabloonidentiteit en build-VM-identiteit aan resources in deze resourcegroep. Daarom kan een principal met toegang tot de resourcegroep toegang krijgen tot deze identiteiten. Verder onderhoudt AIB een kopie van uw customizer-artefacten in deze resourcegroep. Daarom kan een principal met toegang tot de resourcegroep deze kopieën inspecteren.
    • Sjabloonidentiteit: een principal met toegang tot uw sjabloon-id heeft toegang tot alle resources waarvoor de identiteit machtigingen heeft. Dit omvat uw customizer-artefacten (bijvoorbeeld shell- en PowerShell-scripts), uw distributiedoelen (bijvoorbeeld een installatiekopieënversie van de Azure Compute Gallery) en uw virtuele netwerk. Daarom moet u alleen de minimaal vereiste bevoegdheden voor deze identiteit opgeven.
    • VM-identiteit bouwen: een principal met toegang tot uw build-VM-identiteit heeft toegang tot alle resources waarvoor de identiteit machtigingen heeft. Dit omvat alle artefacten en het virtuele netwerk die u mogelijk gebruikt vanuit de build-VM met behulp van deze identiteit. Daarom moet u alleen de minimaal vereiste bevoegdheden voor deze identiteit opgeven.
  • Als u distribueert naar Azure Compute Gallery (ACG), volgt u ook de aanbevolen procedures voor ACG-resources.