Partilhar via

Melhores práticas do Azure VM Image Builder

  • Artigo

Aplica-se a: ✔️ VMs ✔️ Linux VMs ✔️ do Windows Conjuntos ✔️ de escala flexíveis Conjuntos de balanças uniformes

Este artigo descreve as práticas recomendadas a serem seguidas ao usar o Azure VM Image Builder (AIB).

  • Para evitar que modelos de imagem sejam excluídos acidentalmente, use bloqueios de recursos no nível de recurso do modelo de imagem. Para obter mais informações, consulte Proteger seus recursos do Azure com um bloqueio.
  • Certifique-se de que seus modelos de imagem estejam configurados para recuperação de desastres seguindo as recomendações de confiabilidade para AIB.
  • Configure gatilhos AIB para reconstruir automaticamente suas imagens e mantê-las atualizadas .
  • Habilite a otimização de inicialização de VM no AIB para melhorar o tempo de criação de suas VMs.
  • Especifique suas próprias sub-redes Build VM e ACI para um controle mais rígido sobre a implantação de recursos relacionados à rede pelo AIB em sua assinatura. Especificar essas sub-redes também leva a tempos de criação de imagem mais rápidos. Consulte a referência de modelo para saber mais sobre como especificar essas opções.
  • Siga o princípio do menor privilégio para seus recursos AIB.
    • Modelo de imagem: uma entidade de segurança que tem acesso ao seu modelo de imagem pode executá-lo, excluí-lo ou adulterá-lo. Ter esse acesso, por sua vez, permite que o diretor altere as imagens criadas por aquele modelo de imagem.
    • Grupo de recursos de preparo: o AIB usa um grupo de recursos de preparo em sua assinatura para personalizar sua imagem de VM. Você deve considerar esse grupo de recursos como confidencial e restringir o acesso a esse grupo de recursos apenas às entidades necessárias. Como o processo de personalização da imagem ocorre nesse grupo de recursos, uma entidade com acesso ao grupo de recursos pode comprometer o processo de construção da imagem - por exemplo, injetando malware na imagem. O AIB também delega privilégios associados à identidade Template e à identidade Build VM aos recursos desse grupo de recursos. Assim, uma entidade com acesso ao grupo de recursos é capaz de obter acesso a essas identidades. Além disso, o AIB mantém uma cópia dos artefatos do personalizador neste grupo de recursos. Assim, uma entidade com acesso ao grupo de recursos é capaz de inspecionar essas cópias.
    • Identidade do modelo: uma entidade com acesso à identidade do modelo pode acessar todos os recursos para os quais a identidade tem permissões. Isso inclui seus artefatos do personalizador (por exemplo, scripts de shell e PowerShell), seus destinos de distribuição (por exemplo, uma versão de imagem da Galeria de Computação do Azure) e sua Rede Virtual. Portanto, você deve fornecer apenas os privilégios mínimos necessários para essa identidade.
    • Criar identidade de VM: uma entidade com acesso à sua identidade de VM de compilação é capaz de acessar todos os recursos para os quais a identidade tem permissões. Isso inclui quaisquer artefatos e Rede Virtual que você possa estar usando de dentro da VM de compilação usando essa identidade. Portanto, você deve fornecer apenas os privilégios mínimos necessários para essa identidade.
  • Se você estiver distribuindo para a Galeria de Computação do Azure (ACG), siga também as práticas recomendadas para os recursos do ACG.