Udostępnij za pośrednictwem

Tworzenie maszyny wirtualnej przy użyciu zatwierdzonej bazy

  • Artykuł

W tym artykule opisano sposób używania platformy Azure do tworzenia maszyny wirtualnej zawierającej wstępnie skonfigurowany, zatwierdzony system operacyjny. Jeśli rozwiązanie nie jest zgodne, można utworzyć i skonfigurować lokalną maszynę wirtualną przy użyciu zatwierdzonego systemu operacyjnego.


Uwaga

Przed rozpoczęciem tej procedury zapoznaj się z wymaganiami technicznymi dotyczącymi ofert maszyn wirtualnych platformy Azure, w tym wymaganiami dotyczącymi wirtualnego dysku twardego (VHD).

Wybieranie zatwierdzonego obrazu podstawowego

Wybierz jeden z następujących obrazów systemu Windows lub Linux jako podstawy.

Windows

Linux

Platforma Azure oferuje szereg zatwierdzonych dystrybucji systemu Linux. Aby zapoznać się z bieżącą listą, zobacz Linux on distributions endorsed by Azure (System Linux w dystrybucjach zatwierdzonych przez platformę Azure).

Tworzenie maszyny wirtualnej w witrynie Azure Portal

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz pozycję Maszyny wirtualne.
  3. Wybierz pozycję + Utwórz i + Maszyna wirtualna z menu rozwijanego, aby otworzyć ekran Tworzenie maszyny wirtualnej.
  4. Wybierz obraz z listy rozwijanej lub wybierz pozycję Zobacz wszystkie obrazy , aby wyszukać lub przeglądać wszystkie dostępne obrazy maszyn wirtualnych. Możesz również skonfigurować generowanie maszyny wirtualnej obrazu w zależności od wybranego obrazu.
  5. Wybierz rozmiar maszyny wirtualnej, która ma zostać wdrożona.
  6. Podaj inne wymagane szczegóły, aby utworzyć maszynę wirtualną.
  7. Wybierz pozycję Przejrzyj i utwórz , aby przejrzeć wybrane opcje. Po wyświetleniu komunikatu Weryfikacja przekazana wybierz pozycję Utwórz.

Platforma Azure rozpoczyna aprowizowanie określonej maszyny wirtualnej. Śledź postęp, wybierając kartę Maszyny wirtualne w menu po lewej stronie. Po jego utworzeniu stan maszyny wirtualnej zmieni się na Uruchomiono.

Konfigurowanie maszyny wirtualnej

W tej sekcji opisano sposób rozmiarów, aktualizacji i uogólnień maszyny wirtualnej platformy Azure. Te kroki są niezbędne do przygotowania maszyny wirtualnej do wdrożenia w witrynie Azure Marketplace.

Łączenie z maszyną wirtualną

Zapoznaj się z następującą dokumentacją, aby nawiązać połączenie z maszyną wirtualną z systemem Windows lub Linux .

Instalowanie najnowszych aktualizacji

Podstawowe obrazy maszyn wirtualnych systemu operacyjnego muszą zawierać najnowsze aktualizacje do ich daty publikacji. Przed opublikowaniem upewnij się, że system operacyjny został zaktualizowany i wszystkie zainstalowane usługi ze wszystkimi najnowszymi poprawkami zabezpieczeń i konserwacji.

  • W przypadku systemu Windows Server uruchom polecenie Sprawdź aktualizacje.
  • W przypadku dystrybucji systemu Linux aktualizacje są często pobierane i instalowane za pośrednictwem narzędzia wiersza polecenia lub narzędzia graficznego. Na przykład system Ubuntu Linux udostępnia polecenie apt-get i narzędzie Update Manager do aktualizowania systemu operacyjnego.

Wykonywanie dodatkowych kontroli zabezpieczeń

Zachowaj wysoki poziom zabezpieczeń obrazów rozwiązań w witrynie Azure Marketplace. Aby uzyskać listę kontrolną konfiguracji i procedur zabezpieczeń, zobacz Zalecenia dotyczące zabezpieczeń obrazów witryny Azure Marketplace.

Dostosowywanie obrazu maszyny wirtualnej

Teraz zainstaluj niezbędne oprogramowanie i wprowadź wszelkie niestandardowe zmiany konfiguracji na maszynie wirtualnej, aby rozwiązanie działało prawidłowo, w tym wszelkie zaplanowane zadania, które muszą być uruchamiane po wdrożeniu. Podczas wprowadzania zmian niestandardowych należy wziąć pod uwagę następujące kwestie:

  • Jeśli jest to zaplanowane zadanie uruchamiane raz, zadanie powinno zostać usunięte po pomyślnym zakończeniu.
  • Konfiguracje nie powinny polegać na dyskach innych niż C lub D, ponieważ tylko te dwa dyski są zawsze gwarantowane (dysk C jest dyskiem systemu operacyjnego, a dysk D jest tymczasowym dyskiem lokalnym).
  • Wprowadź wszelkie zmiany konfiguracji technicznej niezbędne dla rozwiązania. Później oznaczysz konfiguracje utworzone na maszynie wirtualnej w sekcji Właściwości strony Konfiguracja techniczna w Centrum partnerskim. Spowoduje to wyświetlenie klientów, którzy scenariusze są obsługiwane w oparciu o wprowadzone zmiany konfiguracji. Wybierz następujące właściwości konfiguracji technicznej podczas publikowania:
    • Obsługuje tworzenie kopii zapasowych
    • Obsługuje przyspieszoną sieć
    • Obsługuje konfigurację pakietu cloud-init
    • Obsługuje rozszerzenia
    • Jest wirtualnym urządzeniem sieciowym
    • Pulpit zdalny lub wyłączony protokół SSH
    • Wymaga niestandardowego szablonu usługi ARM

Aby uzyskać więcej informacji na temat dostosowywania systemu Linux, zobacz Rozszerzenia i funkcje maszyny wirtualnej dla systemu Linux.

Uogólnianie obrazu

Wszystkie obrazy w witrynie Azure Marketplace muszą być wielokrotnego użytku w ogólny sposób. Aby to osiągnąć, dysk VHD systemu operacyjnego musi być uogólniony, operacja, która usuwa wszystkie identyfikatory specyficzne dla wystąpienia i sterowniki oprogramowania z maszyny wirtualnej.

W przypadku systemu Windows

Dyski systemu operacyjnego Windows są uogólnione za pomocą narzędzia sysprep . Jeśli później zaktualizujesz lub ponownie skonfigurujesz system operacyjny, musisz ponownie uruchomić narzędzie sysprep.

Ostrzeżenie

Po uruchomieniu narzędzia sysprep wyłącz maszynę wirtualną do momentu jej wdrożenia, ponieważ aktualizacje mogą być uruchamiane automatycznie. To zamknięcie pozwoli uniknąć kolejnych aktualizacji przed wprowadzeniem zmian specyficznych dla wystąpienia w systemie operacyjnym lub zainstalowanych usługach. Aby uzyskać więcej informacji na temat uruchamiania narzędzia sysprep, zobacz Uogólnij maszynę wirtualną z systemem Windows.

Uwaga

Jeśli masz włączoną Microsoft Defender dla Chmury (Azure Defender) w subskrypcji, w której tworzysz maszynę wirtualną do przechwycenia i nie chcesz, aby żadna maszyna wirtualna utworzona na podstawie tego obrazu została zarejestrowana w portalu usługi Defender for Endpoint, upewnij się, że wyłączysz Microsoft Defender dla Chmury w subskrypcji lub dla samej maszyny wirtualnej. Jeśli ta maszyna wirtualna nie zostanie wyłączona, każda maszyna wirtualna utworzona na podstawie tego obrazu zostanie zarejestrowana w portalu usługi Defender for Endpoint, nawet jeśli maszyna wirtualna zostanie wdrożona w innej dzierżawie bez Microsoft Defender dla Chmury.

W przypadku systemu Linux

  1. Usuń agenta systemu Linux platformy Azure.

    1. Nawiąż połączenie z maszyną wirtualną z systemem Linux przy użyciu klienta SSH.
    2. W oknie SSH wprowadź następujące polecenie: sudo waagent –deprovision+user.
    3. Wpisz Y, aby kontynuować (możesz dodać parametr -force do poprzedniego polecenia, aby uniknąć kroku potwierdzenia).
    4. Po zakończeniu polecenia wprowadź exit (Zakończ ), aby zamknąć klienta SSH.

  2. Jeśli na obrazie zainstalowano Ochrona punktu końcowego w usłudze Microsoft Defender (MDE), odinstaluj rozwiązanie MDE, uruchamiając następujące polecenia w zależności od systemu operacyjnego obrazu:

    • RHEL, CentOS i Oracle: sudo yum remove mdatp

    • SLES i warianty: sudo zypper remove mdatp

    • Ubuntu i Debian: sudo apt-get purge mdatp

    • Marynarz: sudo dnf remove mdatp

  3. Zatrzymaj maszynę wirtualną.

    1. W witrynie Azure Portal wybierz grupę zasobów (RG) i coknij przydziel maszynę wirtualną.
    2. Maszyna wirtualna jest teraz uogólniona i możesz utworzyć nową maszynę wirtualną przy użyciu tego dysku maszyny wirtualnej.

Przechwytywanie obrazu

Uwaga

Aby opublikować subskrypcję platformy Azure zawierającą galerię obliczeń platformy Azure, musi znajdować się w tej samej dzierżawie co konto wydawcy. Ponadto konto wydawcy musi mieć co najmniej dostęp współautora do subskrypcji zawierającej galerię obliczeń platformy Azure.

Gdy maszyna wirtualna będzie gotowa, możesz ją przechwycić w galerii obliczeń platformy Azure (wcześniej znanej jako galeria obrazów udostępnionych). Wykonaj poniższe kroki, aby przechwycić:

  1. W witrynie Azure Portal przejdź do strony Maszyny wirtualnej.
  2. Wybierz pozycję Przechwyć.
  3. W obszarze Udostępnij obraz do galerii obliczeniowej platformy Azure wybierz pozycję Tak, udostępnij go galerii jako wersję obrazu.
  4. W obszarze Stan systemu operacyjnego wybierz pozycję Uogólnione.
  5. Wybierz galerię obrazów docelowych lub utwórz nową.
  6. Wybierz definicję obrazu docelowego lub utwórz nowy.
  7. Podaj numer wersji obrazu.
  8. Wybierz pozycję Przejrzyj i utwórz , aby przejrzeć wybrane opcje.
  9. Po zakończeniu walidacji wybierz pozycję Utwórz.

Opublikowanie obrazów maszyn wirtualnych w witrynie Azure Marketplace z galerii obliczeń platformy Azure wymaga ustawienia uprawnień, dzięki czemu Centrum partnerskie może uzyskać obrazy hostowane w galerii.

Ważne

Firma Microsoft przenosi proces uzyskiwania obrazów z galerii obliczeniowej do bezpieczniejszego procesu. Aby kontynuować aktualizowanie ofert maszyny wirtualnej, upewnij się, że następujące aplikacje firmy Microsoft mają dostęp, wykonując następujące kroki. Te kroki należy wykonać raz dla każdej galerii obliczeniowej użytej do opublikowania w witrynie Azure Marketplace.

Wymagania wstępne

Aby udzielić uprawnień Centrum partnerskiego, musisz upewnić się, że zostały spełnione następujące wymagania wstępne:

  1. Galeria zasobów obliczeniowych platformy Azure musi znajdować się w tej samej dzierżawie firmy Microsoft, która jest połączona z kontem Centrum partnerskiego
  2. Musisz być właścicielem subskrypcji, w której znajduje się galeria obliczeniowa.

Napiwek

Zaleca się użycie dedykowanej galerii obliczeniowej do celów publikowania w Centrum partnerskim i udzielenia uprawnień tylko do tej dedykowanej galerii. Nie musisz udzielać uprawnień na poziomie subskrypcji.

Krok 1. Aprowizuj jednostki usługi

Najpierw musisz aprowizować jednostki usługi w ramach subskrypcji platformy Azure, co jest wykonywane przez zarejestrowanie dostawcy zasobów Centrum partnerskiego firmy Microsoft. Jednostka usługi to tożsamość, która będzie następnie używana do zapewnienia Centrum partnerskiemu dostępu do galerii obliczeniowej w celu uzyskania obrazów. Ten krok nie udziela dostępu.

Program PowerShell
# Connect to your Azure account
Connect-AzAccount

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
Set-AzContext -Subscription <SubscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
Register-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

# Ensure the Resource Principal is registered successfully.
Get-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion
Interfejs wiersza polecenia platformy Azure
# Connect to your Azure account
Az login

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
az account set --subscription <subscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
az provider register --namespace

# Ensure the Resource Principal is registered successfully.
az provider show --namespace Microsoft.PartnerCenterIngestion

Po aprowizacji jednostek usługi muszą mieć jawne uprawnienia do odczytywania obrazów z określonej galerii obliczeniowej. Centrum partnerskie jest w trakcie przejścia do bezpieczniejszego procesu uzyskiwania obrazów. W trakcie tego przejścia prosimy o tymczasowe udzielenie dostępu do dwóch aplikacji firmy Microsoft, aby można było kontynuować aktualizowanie ofert maszyny wirtualnej.

Program PowerShell
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
Get-AzGallery -ResourceGroupName <resource-group> -GalleryName <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
Get-AzADServicePrincipal -SearchString "Microsoft Partner Center Resource Provider"

# Create a role assignment to the first Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id1> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
Get-AzADServicePrincipal -SearchString "Compute Image Registry"

# Create a role assignment to the second Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id2> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>
Interfejs wiersza polecenia platformy Azure
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
az sig show --resource-group <resource-group> --gallery-name <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
az ad sp list --display-name "Microsoft Partner Center Resource Provider" --query '[].id'

# Create a role assignment to the first Microsoft application.
az role assignment create --assignee-object-id <sp-id1> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
az ad sp list --display-name "Compute Image Registry" --query '[].id'

# Create a role assignment to the second Microsoft application.
az role assignment create --assignee-object-id <sp-id2> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>
Azure Portal

  1. Lo gin w witrynie Azure Portal

  2. Przejdź do galerii usługi Azure Compute zawierającej obraz maszyny wirtualnej.

  3. Przejdź do karty Kontrola dostępu w galerii obliczeń platformy Azure.

  4. Wybierz pozycję Dodaj>Dodaj przypisanie roli.

  5. Wybierz rolę Czytelnik obrazów galerii obliczeniowej i kliknij przycisk Dalej.

  6. Wybierz, aby przypisać dostęp do użytkownika, grupy lub jednostki usługi.

  7. Kliknij pozycję + Wybierz członków i wyszukaj i wybierz jednostki usługi "Dostawca zasobów Centrum partnerskiego" i "Compute Image Registry". Kliknij przycisk Dalej.

  8. Kliknij pozycję Przejrzyj i przypisz.

Powiązana zawartość