Usando o Construtor de Imagens de VM do Azure
O Construtor de Imagens de VM do Azure é um serviço Azure totalmente gerenciado e acessível a provedores de recursos do Azure. Os provedores de recursos o configuram especificando uma imagem de origem, uma personalização a ser executada e o local onde a nova imagem deve ser distribuída. Um fluxo de trabalho de alto nível é ilustrado no diagrama:
Você pode passar configurações de modelo usando o Azure PowerShell, a CLI do Azure, os modelos do Azure Resource Manager, ou usar uma tarefa de DevOps do Construtor de Imagens de VM. Quando você envia a configuração para o serviço, o Azure cria um recurso de modelo de imagem. Quando o recurso de modelo de imagem for criado, você verá um grupo de recursos de preparo criado na sua assinatura, no formato IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID). O grupo de recursos de preparo contém arquivos e scripts referenciados na personalização em Arquivo, Shell e PowerShell na propriedade ScriptURI.
Para executar o build, você invoca Executar no recurso de modelo do Construtor de Imagens de VM. Em seguida, o serviço implanta outros recursos para o build, como uma VM, rede, disco e adaptador de rede.
Se você criar uma imagem sem usar uma rede virtual existente, o Construtor de Imagens de VM também implantará um IP público e um grupo de segurança de rede. O Construtor de Imagens de VM conecta-se à VM de build usando o protocolo SSH (Secure Shell) ou WinRM (Gerenciamento Remoto do Windows).
Se você selecionar uma rede virtual existente, o serviço será implantado por meio de Link Privado do Azure, e não será necessário um endereço IP público. Para obter mais informações, consulte Visão geral de rede do Construtor de Imagens de VM.
Quando a compilação for concluída, todos os recursos serão excluídos, exceto o grupo de recursos de preparo e a conta de armazenamento. Você pode removê-los excluindo o recurso de modelo de imagem ou pode deixá-los no local para executar a compilação novamente.
Para ver vários exemplos, guias passo a passo, modelos de configuração e soluções, acesse o repositório GitHub do Construtor de Imagens de VM.
Segurança
Para ajudar a manter suas imagens seguras, o Construtor de Imagens de VM:
- Permite criar imagens de linha de base (ou seja, configurações mínimas corporativas e de segurança) e permite que outros departamentos as personalizem ainda mais. Essas imagens podem ser mantidas seguras e em conformidade usando o Construtor de Imagens de VM para recriar rapidamente uma imagem de ouro usando a versão mais recente com patches de uma imagem de origem. O Construtor de Imagens de VM também facilita a criação de imagens que atendam à linha de base de segurança do Windows do Azure. Para obter mais informações, consulte Construtor de Imagens de VM - modelo de linha de base do Windows.
- Permite que você busque seus artefatos de personalização sem precisar torná-los publicamente acessíveis. O Construtor de Imagens de VM pode usar sua Identidade Gerenciada do Azure para buscar esses recursos, e você pode restringir os privilégios dessa identidade com o rigor necessário usando o Azure-RBAC. Você pode manter seus artefatos em segredo e impedir a adulteração por atores não autorizados.
- Cópias de artefatos de personalização, computação transitória e recursos de armazenamento e suas imagens resultantes são armazenados com segurança em sua assinatura, pois o acesso é controlado pelo Azure RBAC. Esse nível de segurança, que também se aplica à VM de build usada para criar a imagem personalizada, ajuda a impedir que seus scripts e arquivos de personalização sejam copiados para uma VM desconhecida em uma assinatura desconhecida. Além disso, você pode obter um alto grau de isolamento de cargas de trabalho de outros clientes usando ofertas de VM isoladas para a VM de build.
- Permite conectar o Construtor de Imagens de VM às suas redes virtuais existentes, para que você possa se comunicar com servidores de configuração existentes, como DSC (servidor de pull de configuração de estado desejado), Chef e Puppet, compartilhamentos de arquivos ou qualquer outro servidor e serviço roteável.
- Você pode configurar o Construtor de Imagens para fornecer as Identidades Atribuídas pelo Usuário à VM de build do Construtor de Imagens de VM (que é criada pelo serviço do Construtor de Imagens de VM na assinatura e usada para compilar e personalizar a imagem). Você pode usar essas identidades no momento da personalização para acessar recursos do Azure, incluindo segredos, na assinatura. Não é necessário atribuir acesso direto do Construtor de Imagens de VM a esses recursos.
Suporte a SO
O Construtor de Imagens de VM foi projetado para funcionar com todas as imagens de sistemas operacionais básicos do Azure Marketplace.
Observação
Comece agora a criar e validar imagens personalizadas dentro do portal.
Suporte à VM Confidencial e ao Início Confiável
O Construtor de Imagens de VM ampliou o suporte de modo a incluir as imagens TrustedLaunchSupported e ConfidentialVMSupported, com algumas restrições. Abaixo temos a lista de restrições:
| SecurityType | Status de suporte |
|---|---|
| TrustedLaunchSupported | Suporte como imagem de origem para builds de imagem |
| ConfidentialVMSupported | Suporte como imagem de origem para builds de imagem |
| TrustedLaunch | Sem suporte como imagem de origem |
| ConfidentialVM | Sem suporte como imagem de origem |
Observação
Ao usar imagens TrustedLaunchSupported, é importante que tanto a imagem de origem quanto a distribuída sejam TrustedLaunchSupported, para ter suporte. Os cenários em que a de origem for normal e a distribuída for TrustedLaunchSupported, ou a origem for TrustedLaunchSupported e a distribuída for uma Gen2 normal, não têm suporte.