Azure VM Image Builder gebruiken
VM Image Builder is een volledig beheerde Azure-service die toegankelijk is voor Azure-resourceproviders. Resourceproviders configureren deze door een broninstallatiekopieën op te geven, een aanpassing die moet worden uitgevoerd en waar de nieuwe installatiekopieën moeten worden gedistribueerd. Een werkstroom op hoog niveau wordt geïllustreerd in het diagram:
U kunt sjabloonconfiguraties doorgeven met behulp van Azure PowerShell, de Azure CLI of Azure Resource Manager-sjablonen, of met behulp van een DevOps-taak van VM Image Builder. Wanneer u de configuratie naar de service verzendt, maakt Azure een resource voor een installatiekopieënsjabloon. Wanneer de resource van de afbeeldingssjabloon wordt gemaakt, wordt er een faseringsresourcegroep gemaakt in uw abonnement, in de indeling IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID). De faseringsresourcegroep bevat bestanden en scripts waarnaar wordt verwezen in de aanpassing Bestand, Shell en PowerShell in de eigenschap ScriptURI.
Als u de build wilt uitvoeren, roept u Uitvoeren aan op de vm Image Builder-sjabloonresource. De service implementeert vervolgens andere resources voor de build, zoals een VM, netwerk, schijf en netwerkadapter.
Als u een installatiekopie maakt zonder een bestaand virtueel netwerk te gebruiken, implementeert VM Image Builder ook een openbare IP- en netwerkbeveiligingsgroep. VM Image Builder maakt verbinding met de build-VM met behulp van het WinRM-protocol (Secure Shell) of Windows Remote Management (WinRM).
Als u een bestaand virtueel netwerk selecteert, wordt de service geïmplementeerd via Azure Private Link en is een openbaar IP-adres niet vereist. Zie overzicht van VM Image Builder-netwerken voor meer informatie.
Wanneer de build is voltooid, worden alle resources verwijderd, met uitzondering van de faseringsresourcegroep en het opslagaccount. U kunt ze verwijderen door de resource van de installatiekopieënsjabloon te verwijderen of u kunt ze behouden om de build opnieuw uit te voeren.
Voor meerdere voorbeelden, stapsgewijze handleidingen, configuratiesjablonen en oplossingen, gaat u naar de GitHub-opslagplaats voor VM Image Builder.
Beveiliging
Om uw installatiekopieën veilig te houden, kunt u VM Image Builder:
- Hiermee kunt u basislijninstallatiekopieën maken (dat wil gezegd, uw minimale beveiliging en bedrijfsconfiguraties) en kunnen andere afdelingen deze verder aanpassen. U kunt deze installatiekopieën beveiligen en compatibel houden met behulp van VM Image Builder om snel een gouden installatiekopieën te herbouwen die gebruikmaakt van de nieuwste patchversie van een broninstallatiekopieën. VM Image Builder maakt het ook eenvoudiger voor u om installatiekopieën te bouwen die voldoen aan de Azure Windows-beveiligingsbasislijn. Zie VM Image Builder - Windows-basislijnsjabloon voor meer informatie.
- Hiermee kunt u uw aanpassingsartefacten ophalen zonder ze openbaar toegankelijk te maken. VM Image Builder kan uw Azure Managed Identity gebruiken om deze resources op te halen en u kunt de bevoegdheden van deze identiteit zo strikt beperken als nodig is met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). U kunt uw artefacten geheim houden en manipulatie voorkomen door onbevoegde actoren.
- Slaat veilig kopieën van aanpassingsartefacten, tijdelijke reken- en opslagresources en de resulterende installatiekopieën in uw abonnement op, omdat de toegang wordt beheerd door Azure RBAC. Dit beveiligingsniveau, dat ook van toepassing is op de build-VM die wordt gebruikt voor het maken van de aangepaste installatiekopieën, helpt voorkomen dat uw aanpassingsscripts en bestanden worden gekopieerd naar een onbekende VIRTUELE machine in een onbekend abonnement. En u kunt een hoge mate van scheiding van de workloads van andere klanten bereiken met behulp van geïsoleerde VM-aanbiedingen voor de build-VM.
- Hiermee kunt u VM Image Builder verbinden met uw bestaande virtuele netwerken, zodat u kunt communiceren met bestaande configuratieservers, zoals DSC (pull-server voor de gewenste statusconfiguratie), Chef en Puppet, bestandsshares of andere routeerbare servers en services.
- Kan worden geconfigureerd om uw door de gebruiker toegewezen identiteiten toe te wijzen aan de VM Image Builder-build-VM (de VM die de VM Image Builder-service in uw abonnement maakt en gebruikt om de installatiekopieën te bouwen en aan te passen). U kunt deze identiteiten vervolgens op het moment van aanpassing gebruiken om toegang te krijgen tot Azure-resources, inclusief geheimen, in uw abonnement. U hoeft vm Image Builder geen directe toegang tot deze resources toe te wijzen.w
Besturingssysteemondersteuning
VM Image Builder is ontworpen om te werken met alle installatiekopieën van het basisbesturingssysteem van Azure Marketplace.
Notitie
Ga aan de slag met het bouwen en valideren van aangepaste installatiekopieën in de portal.
Ondersteuning voor vertrouwelijke VM's en vertrouwde start
VM Image Builder biedt uitgebreide ondersteuning voor TrustedLaunchSupported- en ConfidentialVMSupported-installatiekopieën, met bepaalde beperkingen. Hieronder ziet u de lijst met beperkingen:
| SecurityType | Ondersteuningsstatus |
|---|---|
| TrustedLaunchSupported | Ondersteuning als broninstallatiekopieën voor builds van installatiekopieën |
| ConfidentialVMSupported | Ondersteuning als broninstallatiekopieën voor builds van installatiekopieën |
| TrustedLaunch | Niet ondersteund als broninstallatiekopieën |
| ConfidentialVM | Niet ondersteund als broninstallatiekopieën |
Notitie
Wanneer u TrustedLaunchSupported-installatiekopieën gebruikt, is het belangrijk dat de bron en distributie beide TrustedLaunchSupported moeten zijn om deze te kunnen ondersteunen. Als de bron normaal is en de distributie TrustedLaunchSupported is, of als de bron TrustedLaunchSupported is en de distributie normaal Gen2 is, wordt deze niet ondersteund.