Compartilhar via

Melhores práticas do Construtor de Imagens de VM do Azure

  • Artigo

Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes

Este artigo descreve as melhores práticas a serem seguidas ao usar o Construtor de Imagens de VM do Azure (AIB).

  • Para evitar que os modelos de imagem sejam excluídos acidentalmente, use bloqueios de recursos no nível de recurso do modelo de imagem. Para obter mais informações, consulte Proteger seus recursos do Azure com um bloqueio.
  • Certifique-se de que seus modelos de imagem estejam configurados para recuperação de desastres seguindo as recomendações de confiabilidade para AIB.
  • Configure gatilhos AIB para reconstruir automaticamente suas imagens e mantê-las atualizadas.
  • Habilite a Otimização de Inicialização de VM no AIB para melhorar o tempo de criação das suas VMs.
  • Especifique suas próprias sub-redes de VM de Build e ACI para um controle mais rigoroso sobre a implantação de recursos relacionados à rede pelo AIB em sua assinatura. A especificação dessas sub-redes também leva a tempos de criação de imagens mais rápidos. Consulte referência do modelo para saber mais sobre a especificação dessas opções.
  • Siga o princípio de privilégios mínimos para seus recursos AIB.
    • Modelo de imagem: Uma entidade de segurança que tenha acesso ao seu modelo de imagem poderá executá-lo, excluí-lo ou adulterá-lo. Ter esse acesso, por sua vez, permite que a entidade de segurança altere as imagens criadas por esse modelo de imagem.
    • Grupo de recursos de preparação: O AIB usa um grupo de recursos de preparação em sua assinatura para personalizar a imagem da VM. Você deve considerar esse grupo de recursos como confidencial e restringir o acesso a ele somente às entidades de segurança necessárias. Como o processo de personalização da sua imagem ocorre nesse grupo de recursos, uma entidade de segurança com acesso ao grupo de recursos pode comprometer o processo de criação de imagens, por exemplo, injetando um malware na imagem. O AIB também delega privilégios associados à identidade do Modelo e à identidade da VM de Build aos recursos desse grupo de recursos. Portanto, uma entidade de segurança com acesso ao grupo de recursos pode obter acesso a essas identidades. Além disso, o AIB mantém uma cópia dos artefatos do seu personalizador nesse grupo de recursos. Portanto, uma entidade de segurança com acesso ao grupo de recursos pode inspecionar essas cópias.
    • Identidade do modelo: Uma entidade de segurança com acesso à sua identidade de modelo pode acessar todos os recursos para os quais a identidade tem permissões. Isso inclui os artefatos do seu personalizador (por exemplo, scripts do shell e do PowerShell), seus destinos de distribuição (por exemplo, uma versão de imagem da Galeria de Computação do Azure) e sua rede virtual. Portanto, você deve fornecer apenas os privilégios mínimos necessários a essa identidade.
    • Identidade da VM de Build: Uma entidade de segurança com acesso à sua identidade de VM de Build pode acessar todos os recursos para os quais a identidade tem permissões. Isso inclui todos os artefatos e a Rede Virtual que você possa estar usando na VM de Build usando essa identidade. Portanto, você deve fornecer apenas os privilégios mínimos necessários a essa identidade.
  • Se estiver distribuindo para o Galeria de Computação do Azure (ACG), siga também as melhores práticas para recursos ACG.