Korzystanie z narzędzia Azure VM Image Builder
Vm Image Builder to w pełni zarządzana usługa platformy Azure dostępna dla dostawców zasobów platformy Azure. Dostawcy zasobów konfigurują go, określając obraz źródłowy, dostosowywanie do wykonania i miejsce dystrybucji nowego obrazu. Ogólny przepływ pracy przedstawiono na diagramie:
Konfiguracje szablonów można przekazywać przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub szablonów usługi Azure Resource Manager albo za pomocą zadania DevOps konstruktora obrazów maszyny wirtualnej. Po przesłaniu konfiguracji do usługi platforma Azure tworzy zasób szablonu obrazu. Po utworzeniu zasobu szablonu obrazu w ramach subskrypcji zostanie utworzona tymczasowa grupa zasobów w formacie IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID). Tymczasowa grupa zasobów zawiera pliki i skrypty, do których odwołuje się dostosowywanie plików, powłoki i programu PowerShell we właściwości ScriptURI.
Aby uruchomić kompilację, należy wywołać polecenie Uruchom w zasobie szablonu konstruktora obrazów maszyny wirtualnej. Następnie usługa wdraża inne zasoby dla kompilacji, takie jak maszyna wirtualna, sieć, dysk i karta sieciowa.
Jeśli tworzysz obraz bez używania istniejącej sieci wirtualnej, narzędzie VM Image Builder wdraża również publiczny adres IP i sieciową grupę zabezpieczeń. Narzędzie VM Image Builder łączy się z maszyną wirtualną kompilacji przy użyciu protokołu Secure Shell (SSH) lub zdalnego zarządzania systemem Windows (WinRM).
Jeśli wybierzesz istniejącą sieć wirtualną, usługa zostanie wdrożona za pośrednictwem usługi Azure Private Link, a publiczny adres IP nie jest wymagany. Aby uzyskać więcej informacji, zobacz Omówienie sieci narzędzia Image Builder maszyny wirtualnej.
Po zakończeniu kompilacji wszystkie zasoby zostaną usunięte, z wyjątkiem przejściowej grupy zasobów i konta magazynu. Można je usunąć, usuwając zasób szablonu obrazu lub pozostawić je na miejscu, aby ponownie uruchomić kompilację.
Aby uzyskać wiele przykładów, przewodniki krok po kroku, szablony konfiguracji i rozwiązania, przejdź do repozytorium GitHub konstruktora obrazów maszyny wirtualnej.
Zabezpieczenia
Aby zapewnić bezpieczeństwo obrazów, konstruktor obrazów maszyny wirtualnej:
- Umożliwia tworzenie obrazów punktów odniesienia (czyli minimalnych zabezpieczeń i konfiguracji firmowych) i umożliwia innym działom dalsze dostosowywanie ich. Te obrazy mogą być bezpieczne i zgodne przy użyciu narzędzia VM Image Builder, aby szybko odbudować złoty obraz, który używa najnowszej poprawkowej wersji obrazu źródłowego. Narzędzie VM Image Builder ułatwia również tworzenie obrazów spełniających punkt odniesienia zabezpieczeń systemu Windows platformy Azure. Aby uzyskać więcej informacji, zobacz Vm Image Builder — szablon punktu odniesienia systemu Windows.
- Umożliwia pobranie artefaktów dostosowywania bez konieczności udostępniania ich publicznie. Konstruktor obrazów maszyny wirtualnej może używać tożsamości zarządzanej platformy Azure do pobierania tych zasobów i można ograniczyć uprawnienia tej tożsamości tak ściśle, jak to wymagane, przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure. Możesz zachować wpis tajny artefaktów i zapobiec manipulowaniu przez nieautoryzowanych aktorów.
- Bezpiecznie przechowuje kopie artefaktów dostosowywania, przejściowe zasoby obliczeniowe i magazynowe oraz ich wynikowe obrazy w ramach subskrypcji, ponieważ dostęp jest kontrolowany przez kontrolę dostępu na podstawie ról platformy Azure. Ten poziom zabezpieczeń, który ma również zastosowanie do maszyny wirtualnej kompilacji używanej do tworzenia dostosowanego obrazu, pomaga zapobiec kopiowaniu skryptów dostosowywania i plików do nieznanej maszyny wirtualnej w nieznanej subskrypcji. Ponadto można osiągnąć wysoki stopień oddzielenia od obciążeń innych klientów przy użyciu ofert izolowanych maszyn wirtualnych dla maszyny wirtualnej kompilacji.
- Umożliwia łączenie programu VM Image Builder z istniejącymi sieciami wirtualnymi, dzięki czemu można komunikować się z istniejącymi serwerami konfiguracji, takimi jak DSC (serwer ściągania konfiguracji żądanego stanu), Chef i Puppet, udziały plików lub inne serwery i usługi routingu.
- Można skonfigurować do przypisywania tożsamości przypisanych przez użytkownika do maszyny wirtualnej kompilacji konstruktora obrazów maszyny wirtualnej (czyli maszyny wirtualnej tworzonej przez usługę Vm Image Builder w ramach subskrypcji i używa ich do kompilowania i dostosowywania obrazu). Następnie możesz użyć tych tożsamości w czasie dostosowywania, aby uzyskać dostęp do zasobów platformy Azure, w tym wpisów tajnych, w ramach subskrypcji. Nie ma potrzeby przypisywania bezpośredniego dostępu do tych zasobów przez narzędzie Image Builder maszyny wirtualnej.
Obsługa systemu operacyjnego
Konstruktor obrazów maszyny wirtualnej jest przeznaczony do pracy ze wszystkimi podstawowymi obrazami systemu operacyjnego witryny Azure Marketplace.
Uwaga
Rozpocznij tworzenie i weryfikowanie obrazów niestandardowych w portalu.
Poufne maszyny wirtualne i zaufana obsługa uruchamiania
Konstruktor obrazów maszyny wirtualnej ma rozszerzoną obsługę obrazów TrustedLaunchSupported i ConfidentialVMSupported z pewnymi ograniczeniami. Poniżej znajduje się lista ograniczeń:
| SecurityType | Stan pomocy technicznej |
|---|---|
| TrustedLaunchSupported | Obsługa obrazu źródłowego dla kompilacji obrazu |
| PoufneVMSupported | Obsługa obrazu źródłowego dla kompilacji obrazu |
| TrustedLaunch | Nieobsługiwane jako obraz źródłowy |
| Poufne maszyny wirtualne | Nieobsługiwane jako obraz źródłowy |
Uwaga
W przypadku korzystania z obrazów TrustedLaunchSupported ważne jest, aby źródło i dystrybucja musiały być obsługiwane przez usługę TrustedLaunchSupported. Jeśli źródło jest normalne, a dystrybucja jest TrustedLaunchSupported lub jeśli źródło jest TrustedLaunchSupported, a dystrybucja jest normalna gen2, nie jest obsługiwana.