Wdrażanie zestawu skalowania maszyn wirtualnych przy użyciu obrazu systemu Linux ze wzmocnionym zabezpieczeniami

Dotyczy: ✔️ Obrazy systemu Linux ze wzmocnionym zabezpieczeniami

Wdrożenia zestawu skalowania maszyn wirtualnych przy użyciu obrazów z witryny Azure Marketplace można wykonać zgodnie z instrukcjami opisanymi w przypadku standardowych wdrożeń zestawu skalowania maszyn wirtualnych.

Jeśli jednak wybrano opcję utworzenia obrazu systemu Linux ze wzmocnionymi zabezpieczeniami przez usunięcie agentów gościa platformy Azure, kluczowe jest zrozumienie, jakie funkcje traci maszyna wirtualna przed podjęciem decyzji o usunięciu agenta systemu Linux platformy Azure i wpływu na wdrożenie maszyn wirtualnych.

W tym dokumencie "instrukcje" opisano kroki wdrażania wystąpienia zestawu skalowania maszyn wirtualnych przy jednoczesnym zrozumieniu ograniczeń funkcjonalnych obrazu ze wzmocnionymi zabezpieczeniami podczas wdrażania wystąpienia zestawu skalowania maszyn wirtualnych.

Wymagania wstępne

• Subskrypcja platformy Azure — jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto platformy Azure.
• Jeśli konta bezpłatnej wersji próbnej nie mają dostępu do maszyn wirtualnych używanych w tym samouczku, jedną z opcji jest użycie subskrypcji z płatnością zgodnie z rzeczywistym użyciem.
• Obraz z wzmocnionym zabezpieczeniami systemu Linux — możesz go utworzyć na podstawie tego artykułu.

Poufne wdrożenie maszyny wirtualnej usługi VMSS na podstawie obrazu systemu Linux ze wzmocnionymi zabezpieczeniami

Kroki wdrażania zestawu skalowania przy użyciu zestawu skalowania i obrazu ze wzmocnionymi zabezpieczeniami są następujące:

1. Wykonaj kroki, aby wzmocnić zabezpieczenia obrazu systemu Linux.

   Wzmacnianie zabezpieczeń obrazu systemu Linux w celu usunięcia agenta gościa platformy Azure.

   Wzmacnianie zabezpieczeń obrazu systemu Linux w celu usunięcia użytkowników sudo.

2. Zaloguj się do interfejsu wiersza polecenia platformy Azure.

   Upewnij się, że zainstalowano najnowszy interfejs wiersza polecenia platformy Azure i zalogowano się do konta platformy Azure przy użyciu polecenia az login.

3. Uruchom usługę Azure Cloud Shell.

   Usługa Azure Cloud Shell to bezpłatna interaktywna powłoka, której można użyć do wykonania kroków opisanych w tym artykule. Udostępnia ona wstępnie zainstalowane i najczęściej używane narzędzia platformy Azure, które są skonfigurowane do użycia na koncie.

   Aby otworzyć usługę Cloud Shell, wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu. Możesz również otworzyć usługę Cloud Shell na osobnej karcie przeglądarki, przechodząc do .https://shell.azure.com/bash Wybierz pozycję Kopiuj, aby skopiować bloki kodu, wklej go w usłudze Cloud Shell, a następnie wybierz Enter, aby go uruchomić.

   Jeśli wolisz zainstalować interfejs wiersza polecenia i korzystać z niego lokalnie, ten przewodnik Szybki start wymaga interfejsu wiersza polecenia platformy Azure w wersji 2.0.30 lub nowszej. Uruchom polecenie az--version, aby znaleźć wersję. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

4. Utwórz grupę zasobów.

   Utwórz grupę zasobów za pomocą polecenia az group create. Grupa zasobów platformy Azure to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. W poniższym przykładzie pokazano tworzenie grupy zasobów o nazwie myResourceGroup w lokalizacji eastus:

   az group create --name myResourceGroup --location eastus
   

   Uwaga

   Poufne maszyny wirtualne nie są dostępne we wszystkich lokalizacjach. W przypadku aktualnie obsługiwanych lokalizacji zobacz, które produkty maszyn wirtualnych są dostępne w regionie świadczenia usługi Azure.

5. Utwórz zestaw skalowania maszyn wirtualnych.

   Teraz utwórz zestaw skalowania maszyn wirtualnych za pomocą polecenia az vmss create az cli. Poniższy przykład tworzy zestaw skalowania o nazwie myScaleSet z liczbą wystąpień 2.

   Jeśli chcesz ustawić nazwę użytkownika administratora, upewnij się, że nie jest ona częścią listy wyrazów zarezerwowanych dla maszyn wirtualnych. W takim przypadku nazwa użytkownika jest automatycznie ustawiana na azureuser. W przypadku poświadczeń administratora podczas tworzenia maszyny wirtualnej będzie można używać poświadczeń ustawionych na podstawie obrazu ze wzmocnionymi zabezpieczeniami.

   Uwaga

   W przypadku wyspecjalizowanych obrazów właściwości osprofile są obsługiwane inaczej niż uogólnione obrazy. Korzystanie z modułu równoważenia obciążenia jest opcjonalne, ale jest zalecane z tych powodów.

   az vmss create \
     --resource-group myResourceGroup \
     --name myScaleSet \
     --vm-sku "Standard_DC4as_v5" \
     --security-type ConfidentialVM \
     --os-disk-security-encryption-type DiskwithVMGuestState \
     --os-disk-secure-vm-disk-encryption-set "/subscriptions/.../disk-encryption-sets/<des-name>" \
     --image "/subscriptions/.../images/<imageName>/versions/<version>" \
     --enable-vtpm true \
     --enable-secure-boot true \
     --vnet-name <virtual-network-name> \
     --subnet <subnet-name> \
     --lb "/subscriptions/.../loadBalancers/<lb-name>" \
     --specialized true \
     --instance-count 2 \
     --admin-username "azureuser" \
     --admin-password ""
   

6. Uzyskaj dostęp do zestawu skalowania maszyn wirtualnych z portalu.

   Aby zalogować się, możesz uzyskać dostęp do zestawu skalowania cvm i użyć nazwy użytkownika administratora i hasła ustawionego wcześniej. Pamiętaj, że jeśli zdecydujesz się zaktualizować poświadczenia administratora, zrób to bezpośrednio w modelu zestawu skalowania przy użyciu interfejsu wiersza polecenia.

   Uwaga

   Jeśli chcesz wdrożyć skalowanie cvm skalowane przy użyciu niestandardowego obrazu ze wzmocnionymi zabezpieczeniami, pamiętaj, że niektóre funkcje związane z skalowaniem automatycznym będą ograniczone. Czy ręczne reguły skalowania będą nadal działać zgodnie z oczekiwaniami, możliwość skalowania automatycznego będzie ograniczona ze względu na obraz niestandardowy bez agenta. Więcej szczegółów na temat ograniczeń można znaleźć tutaj dla agenta aprowizacji. Alternatywnie możesz przejść do karty metryk w witrynie Azure Portal i potwierdzić to samo. Można jednak nadal konfigurować reguły niestandardowe na podstawie metryk modułu równoważenia obciążenia, takich jak liczba synów, liczba połączeń SNAT itp.

Następne kroki

W tym artykule przedstawiono sposób wdrażania wystąpienia zestawu skalowania maszyn wirtualnych przy użyciu obrazu systemu Linux ze wzmocnionymi zabezpieczeniami. Aby uzyskać więcej informacji na temat CVM, zobacz Poufne maszyny wirtualne serii DCasv5 i ECasv5.