Tworzenie maszyny wirtualnej przy użyciu zatwierdzonej bazy

W tym artykule opisano sposób używania platformy Azure do tworzenia maszyny wirtualnej zawierającej wstępnie skonfigurowany, zatwierdzony system operacyjny. Jeśli rozwiązanie nie jest zgodne, można utworzyć i skonfigurować lokalną maszynę wirtualną przy użyciu zatwierdzonego systemu operacyjnego.

Uwaga

Przed rozpoczęciem tej procedury zapoznaj się z wymaganiami technicznymi dotyczącymi ofert maszyn wirtualnych platformy Azure, w tym wymaganiami dotyczącymi wirtualnego dysku twardego (VHD).

Wybieranie zatwierdzonego obrazu podstawowego

Wybierz jeden z następujących obrazów systemu Windows lub Linux jako bazowy obraz.

Windows

• Windows Server
• SQL Server 2019, 2014, 2012
• Windows 11 Enterprise (ten obraz podstawowy jest zatwierdzony tylko do użytku z usługą Microsoft Dev Box)

Linux

Platforma Azure oferuje szereg zatwierdzonych dystrybucji systemu Linux. Aby zapoznać się z bieżącą listą, zobacz Linux on distributions endorsed by Azure (System Linux w dystrybucjach zatwierdzonych przez platformę Azure).

Tworzenie maszyny wirtualnej w witrynie Azure Portal

1. Zaloguj się w witrynie Azure Portal.
2. Wybierz pozycję Maszyny wirtualne.
3. Wybierz pozycję + Utwórz i + Maszyna wirtualna z menu rozwijanego, aby otworzyć ekran Utwórz maszynę wirtualną.
4. Wybierz obraz z listy rozwijanej lub wybierz pozycję Zobacz wszystkie obrazy , aby wyszukać lub przeglądać wszystkie dostępne obrazy maszyn wirtualnych. Możesz także skonfigurować generację maszyny wirtualnej dla swojego obrazu w zależności od wybranego obrazu.
5. Wybierz rozmiar maszyny wirtualnej, która ma zostać wdrożona.
6. Podaj inne wymagane szczegóły, aby utworzyć maszynę wirtualną.
7. Wybierz pozycję Przejrzyj i utwórz, aby przejrzeć twoje wybory. Po wyświetleniu komunikatu Weryfikacja przekazana wybierz pozycję Utwórz.

Platforma Azure rozpoczyna aprowizowanie określonej maszyny wirtualnej. Śledź postęp, wybierając kartę Maszyny wirtualne w menu po lewej stronie. Po jego utworzeniu stan maszyny wirtualnej zmieni się na Uruchomiono.

Konfigurowanie maszyny wirtualnej

W tej sekcji opisano sposób rozmiarów, aktualizacji i uogólnień maszyny wirtualnej platformy Azure. Te kroki są niezbędne do przygotowania maszyny wirtualnej do wdrożenia w witrynie Azure Marketplace.

Łączenie z maszyną wirtualną

Zapoznaj się z następującą dokumentacją, aby nawiązać połączenie z maszyną wirtualną z systemem Windows lub Linux .

Instalowanie najnowszych aktualizacji

Podstawowe obrazy maszyn wirtualnych systemu operacyjnego muszą zawierać najnowsze aktualizacje do daty ich publikacji. Przed opublikowaniem upewnij się, że system operacyjny i wszystkie zainstalowane usługi zostały zaktualizowane najnowszymi poprawkami zabezpieczeń.

• W przypadku systemu Windows Server uruchom polecenie Sprawdź aktualizacje.
• W przypadku dystrybucji systemu Linux aktualizacje są często pobierane i instalowane za pośrednictwem narzędzia wiersza polecenia lub narzędzia graficznego. Na przykład system Ubuntu Linux udostępnia polecenie apt-get i narzędzie Update Manager do aktualizowania systemu operacyjnego.

Wykonywanie dodatkowych kontroli zabezpieczeń

Zachowaj wysoki poziom zabezpieczeń obrazów rozwiązań w witrynie Azure Marketplace. Aby uzyskać listę kontrolną konfiguracji i procedur zabezpieczeń, zobacz Zalecenia dotyczące zabezpieczeń obrazów witryny Azure Marketplace.

Dostosowywanie obrazu maszyny wirtualnej

Teraz zainstaluj niezbędne oprogramowanie i wprowadź wszelkie niestandardowe zmiany konfiguracji na maszynie wirtualnej, aby rozwiązanie działało prawidłowo, w tym wszelkie zaplanowane zadania, które muszą być uruchamiane po wdrożeniu. Podczas wprowadzania zmian niestandardowych należy wziąć pod uwagę następujące kwestie:

• Jeśli jest to zaplanowane zadanie uruchamiane raz, zadanie powinno zostać usunięte po pomyślnym zakończeniu.
• Konfiguracje nie powinny polegać na dyskach innych niż C lub D, ponieważ tylko te dwa dyski są zawsze gwarantowane (dysk C jest dyskiem systemu operacyjnego, a dysk D jest tymczasowym dyskiem lokalnym).
• Wprowadź wszelkie zmiany konfiguracji technicznej niezbędne dla rozwiązania. Później oznaczysz konfiguracje utworzone na maszynie wirtualnej w sekcji Właściwości strony Konfiguracja techniczna w Centrum partnerskim. Pokaże to Twoim klientom, które scenariusze są obsługiwane na podstawie zmian w konfiguracji, które teraz wprowadzasz. Wybierz następujące właściwości konfiguracji technicznej podczas publikowania:
  • Obsługuje tworzenie kopii zapasowych
  • Obsługuje przyspieszoną sieć
  • Obsługuje konfigurację pakietu cloud-init
  • Obsługuje rozszerzenia
  • Jest wirtualnym urządzeniem sieciowym
  • Zdalny pulpit lub SSH wyłączone
  • Wymaga niestandardowego szablonu ARM

Aby uzyskać więcej informacji na temat dostosowywania systemu Linux, zobacz Rozszerzenia i funkcje maszyny wirtualnej dla systemu Linux.

Uogólnianie obrazu

Wszystkie obrazy w witrynie Azure Marketplace muszą być wielokrotnego użytku w sposób uniwersalny. Aby to osiągnąć, dysk VHD systemu operacyjnego musi być zuniwersalizowany: operacja ta usuwa wszystkie identyfikatory specyficzne dla wystąpienia i sterowniki z maszyny wirtualnej.

W przypadku systemu Windows

Dyski systemu operacyjnego Windows są uogólnione za pomocą narzędzia sysprep . Jeśli później zaktualizujesz lub ponownie skonfigurujesz system operacyjny, musisz ponownie uruchomić narzędzie sysprep.

Ostrzeżenie

Po uruchomieniu narzędzia sysprep wyłącz maszynę wirtualną do momentu jej wdrożenia, ponieważ aktualizacje mogą być uruchamiane automatycznie. Zamknięcie to zapobiegnie wprowadzeniu przez kolejne aktualizacje zmian specyficznych dla instancji w systemie operacyjnym lub w zainstalowanych usługach. Aby uzyskać więcej informacji na temat uruchamiania narzędzia sysprep, zobacz Uogólnij maszynę wirtualną z systemem Windows.

Uwaga

Jeśli masz włączoną usługę Microsoft Defender for Cloud (Azure Defender) w subskrypcji, w której tworzysz maszynę wirtualną do przechwycenia i nie chcesz, aby żadna maszyna wirtualna utworzona na podstawie tego obrazu została zarejestrowana w portalu usługi Defender for Endpoint, upewnij się, że usługa Microsoft Defender for Cloud jest wyłączona w subskrypcji lub dla samej maszyny wirtualnej. Jeśli ta funkcja nie zostanie wyłączona, każda maszyna wirtualna utworzona na podstawie tego obrazu zostanie zarejestrowana w portalu Defender for Endpoint, nawet jeśli zostanie wdrożona w innej dzierżawie bez usługi Microsoft Defender dla Chmury.

W przypadku systemu Linux

1. Usuń agenta systemu Linux platformy Azure.

   1. Nawiąż połączenie z maszyną wirtualną z systemem Linux przy użyciu klienta SSH.
   2. W oknie SSH wprowadź następujące polecenie: sudo waagent –deprovision+user.
   3. Wpisz Y, aby kontynuować (możesz dodać parametr -force do poprzedniego polecenia, aby uniknąć kroku potwierdzenia).
   4. Po zakończeniu polecenia wprowadź exit (Zakończ ), aby zamknąć klienta SSH.

2. Jeśli na obrazie zainstalowano Microsoft Defender dla punktu końcowego (MDE), odinstaluj MDE, uruchamiając następujące polecenia w zależności od systemu operacyjnego używanego na obrazie:

   • RHEL, CentOS i Oracle: sudo yum remove mdatp

   • SLES i warianty: sudo zypper remove mdatp

   • Ubuntu i Debian: sudo apt-get purge mdatp

   • Marynarz: sudo dnf remove mdatp

3. Zatrzymaj maszynę wirtualną.

   1. W portalu Azure wybierz swoją grupę zasobów (RG) i zdezaktywuj maszynę wirtualną.
   2. Maszyna wirtualna jest teraz uogólniona i możesz utworzyć nową maszynę wirtualną przy użyciu tego dysku maszyny wirtualnej.

Przechwytywanie obrazu

Uwaga

Aby opublikować, subskrypcja platformy Azure zawierająca Azure Compute Gallery musi znajdować się pod tą samą dzierżawą co konto wydawcy. Ponadto konto wydawcy musi mieć co najmniej dostęp współautora do subskrypcji zawierającej Galerię obliczeniową Azure.

Gdy maszyna wirtualna będzie gotowa, możesz ją przechwycić w galerii obliczeń platformy Azure (wcześniej znanej jako galeria obrazów udostępnionych). Wykonaj następujące kroki, aby przechwycić:

1. W witrynie Azure Portal przejdź do strony Maszyny wirtualnej.
2. Wybierz Przechwyć.
3. W obszarze Udostępnij obraz do galerii obliczeniowej platformy Azure wybierz pozycję Tak, udostępnij go galerii jako wersję obrazu.
4. W obszarze Stan systemu operacyjnego wybierz pozycję Uogólnione.
5. Wybierz galerię obrazów docelowych lub utwórz nową.
6. Wybierz definicję obrazu docelowego lub utwórz nowy.
7. Podaj numer wersji obrazu.
8. Wybierz pozycję Przejrzyj i utwórz, aby przejrzeć twoje wybory.
9. Po zakończeniu walidacji wybierz pozycję Utwórz.

Zapewnij Centrum Partnerów uprawnienia do Galerii Obliczeniowej Azure

Opublikowanie obrazów maszyn wirtualnych w witrynie Azure Marketplace z galerii obliczeń platformy Azure wymaga ustawienia uprawnień, dzięki czemu Centrum partnerskie może uzyskać obrazy hostowane w galerii.

Ważne

Firma Microsoft przenosi proces uzyskiwania obrazów z galerii obliczeniowej do bezpieczniejszego procesu. Aby kontynuować aktualizowanie ofert maszyny wirtualnej, upewnij się, że następujące aplikacje firmy Microsoft mają dostęp, wykonując następujące kroki. Te kroki należy wykonać raz dla każdej galerii obliczeniowej użytej do opublikowania w witrynie Azure Marketplace.

Wymagania wstępne

Aby udzielić uprawnień Centrum partnerskiego, należy upewnić się, że zostały spełnione następujące wymagania wstępne:

1. Galeria obliczeniowa platformy Azure musi znajdować się w tej samej dzierżawie Microsoft Entra, która jest połączona z kontem Centrum partnerskiego.
2. Musisz być właścicielem subskrypcji, w której znajduje się galeria obliczeniowa.

Napiwek

Zaleca się użycie dedykowanej galerii obliczeniowej do celów publikowania w Centrum partnerskim i przyznanie uprawnień tylko tej dedykowanej galerii. Nie musisz udzielać uprawnień na poziomie subskrypcji.

Krok 1: Skonfiguruj zasady usługi

Najpierw musisz utworzyć zasady serwisowe w ramach swojej subskrypcji platformy Azure, co odbywa się przez zarejestrowanie dostawcy zasobów w Centrum Partnerów Microsoft. Główna jednostka usługi to tożsamość, która będzie używana, aby zapewnić Partner Center dostęp do Galerii Obliczeniowej w celu uzyskania obrazów. Ten krok nie udziela dostępu.

PowerShell

# Connect to your Azure account
Connect-AzAccount

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
Set-AzContext -Subscription <SubscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
Register-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

# Ensure the Resource Principal is registered successfully.
Get-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

Azure CLI

# Connect to your Azure account
Az login

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
az account set --subscription <subscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
az provider register --namespace

# Ensure the Resource Principal is registered successfully.
az provider show --namespace Microsoft.PartnerCenterIngestion

Krok 2. Udzielanie Centrum Partnerów dostępu do Galerii Obliczeniowej Azure

Po aprowizacji zasad usługi należy przyznać im jawne uprawnienia do odczytywania obrazów z określonej galerii obliczeniowej. Centrum Partnerów jest w trakcie przechodzenia na bezpieczniejszy proces pozyskiwania obrazów. W trakcie tego przejścia prosimy o tymczasowe udzielenie dostępu do dwóch aplikacji firmy Microsoft, aby można było kontynuować aktualizowanie ofert maszyny wirtualnej.

PowerShell

# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
Get-AzGallery -ResourceGroupName <resource-group> -GalleryName <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
Get-AzADServicePrincipal -SearchString "Microsoft Partner Center Resource Provider"

# Create a role assignment to the first Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id1> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
Get-AzADServicePrincipal -SearchString "Compute Image Registry"

# Create a role assignment to the second Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id2> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

Azure CLI

# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
az sig show --resource-group <resource-group> --gallery-name <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
az ad sp list --display-name "Microsoft Partner Center Resource Provider" --query '[].id'

# Create a role assignment to the first Microsoft application.
az role assignment create --assignee-object-id <sp-id1> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
az ad sp list --display-name "Compute Image Registry" --query '[].id'

# Create a role assignment to the second Microsoft application.
az role assignment create --assignee-object-id <sp-id2> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

Azure Portal

1. Zaloguj się do Azure Portal
2. Przejdź do galerii usługi Azure Compute zawierającej obraz maszyny wirtualnej.
3. Przejdź do karty Kontrola dostępu w Galerii obliczeniowej platformy Azure.
4. Wybierz pozycję Dodaj>Dodaj przypisanie roli.
5. Wybierz rolę Czytelnik obrazów Compute Gallery i kliknij Dalej.
6. Wybierz, aby przypisać dostęp do użytkownika, grupy lub głównego konta usługi.
7. Kliknij + Wybierz członków i wyszukaj oraz wybierz obiekty główne usługi „Microsoft Partner Center Resource Provider” i „Compute Image Registry”. Kliknij przycisk Dalej.
8. Kliknij Przejrzyj i przypisz.

Zaloguj się do centrum partnerskiego , aby opublikować obraz.

Powiązana zawartość

• Jeśli napotkałeś trudności z tworzeniem nowego VHD opartego na platformie Azure, zobacz Często zadawane pytania dotyczące maszyn wirtualnych w Azure Marketplace.