Udostępnij za pośrednictwem

Najlepsze rozwiązania dotyczące usługi Azure VM Image Builder

  • Artykuł

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny ✔️ wirtualne z systemem Windows ✔️ — elastyczne zestawy ✔️ skalowania

W tym artykule opisano najlepsze rozwiązania, które należy stosować podczas korzystania z narzędzia Azure VM Image Builder (AIB).

  • Aby zapobiec przypadkowemu usunięciu szablonów obrazów, użyj blokad zasobów na poziomie zasobu szablonu obrazu. Aby uzyskać więcej informacji, zobacz Ochrona zasobów platformy Azure za pomocą blokady.
  • Upewnij się, że szablony obrazów zostały skonfigurowane do odzyskiwania po awarii, postępując zgodnie z zaleceniami dotyczącymi niezawodności dla usługi AIB.
  • Skonfiguruj wyzwalacze AIB, aby automatycznie ponownie kompilować obrazy i aktualizować je.
  • Włącz optymalizację rozruchu maszyny wirtualnej w usłudze AIB, aby poprawić czas tworzenia maszyn wirtualnych.
  • Określ własną maszynę wirtualną kompilacji i podsieci ACI, aby uzyskać ściślejszą kontrolę nad wdrażaniem zasobów związanych z siecią przez usługę AIB w ramach subskrypcji. Określenie tych podsieci prowadzi również do szybszego czasu kompilacji obrazu. Zobacz dokumentację szablonu, aby dowiedzieć się więcej na temat określania tych opcji.
  • Postępuj zgodnie z zasadą najniższych uprawnień dla zasobów usługi AIB.
    • Szablon obrazu: podmiot zabezpieczeń mający dostęp do szablonu obrazu może uruchamiać, usuwać lub modyfikować. Dzięki temu dostępowi podmiot zabezpieczeń może zmienić obrazy utworzone przez ten szablon obrazu.
    • Tymczasowa grupa zasobów: usługa AIB używa tymczasowej grupy zasobów w ramach subskrypcji w celu dostosowania obrazu maszyny wirtualnej. Należy rozważyć tę grupę zasobów jako poufne i ograniczyć dostęp do tej grupy zasobów tylko do wymaganych podmiotów zabezpieczeń. Ponieważ proces dostosowywania obrazu odbywa się w tej grupie zasobów, podmiot zabezpieczeń z dostępem do grupy zasobów może naruszyć bezpieczeństwo procesu tworzenia obrazu — na przykład przez wstrzyknięcie złośliwego oprogramowania do obrazu. Usługa AIB deleguje również uprawnienia skojarzone z tożsamością szablonu i tworzeniem tożsamości maszyny wirtualnej do zasobów w tej grupie zasobów. W związku z tym podmiot zabezpieczeń z dostępem do grupy zasobów może uzyskać dostęp do tych tożsamości. Ponadto usługa AIB utrzymuje kopię artefaktów konfiguratora w tej grupie zasobów. W związku z tym podmiot zabezpieczeń z dostępem do grupy zasobów może sprawdzić te kopie.
    • Tożsamość szablonu: podmiot zabezpieczeń z dostępem do tożsamości szablonu może uzyskać dostęp do wszystkich zasobów, dla których tożsamość ma uprawnienia. Obejmuje to artefakty konfiguratora (na przykład skrypty powłoki i programu PowerShell), cele dystrybucji (na przykład wersję obrazu galerii obliczeniowej platformy Azure) i sieć wirtualną. W związku z tym musisz podać tylko minimalne wymagane uprawnienia do tej tożsamości.
    • Tworzenie tożsamości maszyny wirtualnej: podmiot zabezpieczeń z dostępem do tożsamości maszyny wirtualnej kompilacji może uzyskać dostęp do wszystkich zasobów, dla których tożsamość ma uprawnienia. Obejmuje to wszystkie artefakty i sieć wirtualną, których można używać z poziomu maszyny wirtualnej kompilacji przy użyciu tej tożsamości. W związku z tym musisz podać tylko minimalne wymagane uprawnienia do tej tożsamości.
  • Jeśli rozpowszechniasz usługę Azure Compute Gallery (ACG), postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zasobów ACG.