Поделиться через

Устранение неполадок с сертификацией виртуальных машин

  • Вопросы и ответы

При публикации образа виртуальной машины в Azure Marketplace команда Azure проверяет его, чтобы обеспечить загрузку, безопасность и совместимость с Azure. Если образ виртуальной машины завершается сбоем любого из высококачественных тестов, он не публикуется. Вы получаете сообщение об ошибке, описывающее проблему.

В этой статье описываются распространенные сообщения об ошибках во время публикации образов виртуальной машины, а также связанные решения.

Заметка

Если у вас есть вопросы об этой статье или предложениях по улучшению, обратитесь в службу поддержки центра партнеров .

Сбой расширения виртуальной машины

Проверьте, поддерживает ли образ расширения виртуальных машин.

Чтобы включить расширения виртуальных машин, выполните приведенные действия.

  1. Выберите виртуальную машину Linux.

  2. Перейдите к параметрам диагностики .

  3. Включите базовые матрицы, обновивучетной записи хранения .

  4. Выберите Сохранить.

    снимок экрана, на котором показано, как включить мониторинг на уровне гостя.

Чтобы проверить правильность активации расширений виртуальной машины, выполните следующие действия.

  1. На виртуальной машине выберите расширения виртуальных машин вкладку, а затем проверьте состояние расширения диагностики Linux.

  2. Проверьте состояние подготовки.

    • Если состояние подготовка выполнена успешно, пройден тестовый случай расширений.
    • Если состояние сбой подготовки, тестовый случай расширений завершился сбоем, и необходимо задать флаг Hardened.

    снимок экрана, показывающий, что подготовка выполнена успешно.

    Если расширение виртуальной машины завершается сбоем, см. раздел Использование расширения диагностики Linux для мониторинга метрик и журналов, чтобы включить его. Если вы не хотите включить расширение виртуальной машины, обратитесь в службу поддержки и попросите его отключить.

Проблема с подготовкой виртуальных машин

Убедитесь, что вы выполнили процесс подготовки виртуальных машин строго перед отправкой предложения.

Проблемы подготовки могут включать следующие сценарии сбоя:

Ошибка Причина Решение
Недопустимый виртуальный жесткий диск (VHD) Если указанное значение файла cookie в нижнем колонтитуле VHD неверно, виртуальный жесткий диск считается недопустимым. Повторно создайте изображение и отправьте запрос.
Недопустимый тип большого двоичного объекта Сбой подготовки виртуальной машины, так как используемый большой двоичный объект является типом блока вместо типа страницы. Повторно создайте изображение в качестве типа страницы и отправьте запрос.
Время ожидания подготовки или неправильное обобщение Возникла проблема с обобщением виртуальной машины. Повторно создайте изображение с обобщением и отправьте запрос.

Заметка

Дополнительные сведения об обобщении виртуальных машин см. в следующем разделе:

Заметка

Если конфигурация завершается ошибкой, так как образ виртуальной машины требует развертывания пользовательского шаблона ARM, включите настраиваемый шаблон ARM для развертывания в технической конфигурации страницы Центра партнеров. Она помогает группе сертификации принять надлежащие меры для этого запроса, не завершив ошибку подготовки.

флажок пользовательского шаблона ARM

Спецификации VHD

Строка conectix является частью спецификации VHD и определяется как 8-байтовый файл cookie в нижнем колонтитуле VHD, который идентифицирует создателя файла. Все VHD-файлы, созданные корпорацией Майкрософт, имеют этот файл cookie.

Форматированный большой двоичный объект VHD должен иметь 512-байтовый нижний колонтитул в этом формате:

Поля нижнего колонтитула жесткого диска Размер (байты)
Печенье 8
Функции 4
Версия формата файла 4
Смещение данных 8
Отметка времени 4
Приложение Creator 4
Версия создателя 4
Ос узла создателя 4
Исходный размер 8
Текущий размер 8
Геометрия диска 4
Тип диска 4
Контрольная сумма 4
Уникальный идентификатор 16
Сохраненное состояние 1
Скрытный 427

Спецификации VHD

Чтобы обеспечить плавную публикацию, убедитесь, что виртуальный жесткий диск соответствует следующим критериям:

  • Файл cookie содержит строку conectix.
  • Тип диска является фиксированным.
  • Размер виртуального жесткого диска составляет не менее 20 МБ.
  • VHD выровнен. Размер виртуальной машины должен составлять 1 МБ.
  • Длина большого двоичного объекта VHD равна виртуальному размеру, а также длине нижнего колонтитула VHD (512).

Скачайте спецификациюVHD.

Соответствие программному обеспечению для Windows

Если запрос на образ Windows отклонен из-за проблемы с соответствием программного обеспечения, возможно, вы создали образ Windows с установленным экземпляром SQL Server. Вместо этого необходимо взять соответствующий базовый образ версии SQL Server из Azure Marketplace.

Не создавайте собственный образ Windows с установленным в нем SQL Server. Используйте утвержденные базовые образы SQL Server (Enterprise/Standard/Web) из Azure Marketplace.

Если вы пытаетесь установить Visual Studio или любой лицензированный продукт Office, обратитесь в службу поддержки для предварительного утверждения.

Дополнительные сведения о выборе утвержденной базы см. в разделе Создание виртуальной машины из утвержденной базовой.

Тестовые случаи Linux

В следующей таблице перечислены тестовые случаи Linux, которые выполняет набор средств. Проверка теста указывается в описании.

Тестовый случай Описание
Журнал Bash Перед созданием образа виртуальной машины необходимо очистить файлы журнала Bash.
Версия агента Linux необходимо установить минимальную поддерживаемую версию агента Linux Azure или более поздней.
Обязательные параметры ядра Убедитесь, что для x86_64 заданы следующие параметры ядра: console=ttyS0 earlyprintk=ttyS0. Убедитесь, что для Arm64 заданы следующие параметры ядра: console=ttyAMA0 earlyprintk=ttyAMA0.
Переключение секции на диске ОС Проверяет, что секции буфера не создаются на диске ОС.
Корневая секция на диске ОС Создайте одну корневую секцию для диска ОС.
Версия OpenSSL Версия OpenSSL должна быть версии 0.9.8 или более поздней.
Python version Для Python версии 2.6 или более поздней рекомендуется.
Интервал активности клиента Задайте для ClientAliveInterval значение 180. Для приложения его можно задать от 30 до 235. Если вы включаете SSH для конечных пользователей, это значение должно быть задано, как описано.
Архитектура ОС Поддерживаются только 64-разрядные операционные системы.
Автоматическое обновление Определяет, включена ли автоматическое обновление агента Linux.

Тестовые случаи Windows

В следующей таблице перечислены тестовые случаи Windows, которые запускает набор средств, а также описание проверки теста:

Тестовый случай Описание
Архитектура ОС Azure поддерживает только 64-разрядные операционные системы.
Зависимость учетной записи пользователя Выполнение приложения не должно зависеть от учетной записи администратора.
Отказоустойчивый кластер Функция отказоустойчивой кластеризации Windows Server пока не поддерживается. Приложение не должно зависеть от этой функции.
IPV6 IPv6 еще не поддерживается в среде Azure. Приложение не должно зависеть от этой функции.
DHCP Роль сервера протокола конфигурации динамического узла пока не поддерживается. Приложение не должно зависеть от этой функции.
Удаленный доступ. Роль сервера удаленного доступа (Direct Access) пока не поддерживается. Приложение не должно зависеть от этой функции.
Службы управления правами Службы управления правами. Роль сервера пока не поддерживается. Приложение не должно зависеть от этой функции.
Службы развертывания Windows Службы развертывания Windows. Роль сервера пока не поддерживается. Приложение не должно зависеть от этой функции.
Шифрование диска BitLocker Шифрование диска BitLocker не поддерживается на жестком диске операционной системы, но оно может использоваться на дисках данных.
Сервер имен хранилища Интернета Функция сервера имен хранилища Интернета пока не поддерживается. Приложение не должно зависеть от этой функции.
Многопатовые операции ввода-вывода Многопатоковый ввод-вывод. Эта функция сервера пока не поддерживается. Приложение не должно зависеть от этой функции.
Балансировка нагрузки сети Балансировка нагрузки сети. Эта функция сервера пока не поддерживается. Приложение не должно зависеть от этой функции.
Протокол разрешения одноранговых имен Протокол разрешения одноранговых имен. Эта функция сервера пока не поддерживается. Приложение не должно зависеть от этой функции.
Службы SNMP Функция простых служб управления сетями (SNMP) пока не поддерживается. Приложение не должно зависеть от этой функции.
Служба имен Интернета Windows Служба имен Интернета Windows. Эта функция сервера пока не поддерживается. Приложение не должно зависеть от этой функции.
Служба беспроводной локальной сети Служба беспроводной локальной сети. Эта функция сервера пока не поддерживается. Приложение не должно зависеть от этой функции.

Если вы столкнулись с ошибками в предыдущих тестовых случаях, обратитесь к столбцу Description в таблице решения. Дополнительные сведения см. в группе поддержки.

Распространенные ошибки тестового случая

Ознакомьтесь со следующей таблицей распространенных ошибок, которые могут возникнуть при выполнении тестовых случаев:

Тестовый случай Ошибка Решение
Тестовый случай версии агента Linux Необходимо установить минимальную поддерживаемую версию агента Azure Linux или более поздней. Обновите версию агента Linux. Дополнительные сведения см. на странице обновления версии агента Linux.
Тестовый случай журнала Bash Ошибка возникает, если размер журнала Bash в отправленном изображении составляет более 1 килобайта (КБ). Размер ограничен 1 КБ, чтобы убедиться, что файл журнала Bash не содержит потенциально конфиденциальную информацию. Устраните ошибку путем подключения виртуального жесткого диска к другой рабочей виртуальной машине и внесения изменений, чтобы уменьшить размер до 1 КБ или меньше. Например, удалите файлы .bash_history.
Обязательный тестовый случай параметров ядра Эта ошибка возникает, если значение console не задано для ttyS0. Проверьте его, выполнив следующую команду:
cat /proc/cmdline.		 Задайте для console значение ttyS0и повторно отправьте запрос.
Тестовый случай клиентского интервала Если набор средств дает неудачный результат для тестового случая, неуместное значение для ClientAliveInterval. Задайте для ClientAliveInterval значение меньше или равно 235, а затем повторно отправьте запрос.
smoke_test Вы получаете сообщение об ошибке, когда образ не может загрузить или перезагрузить из-за паники ядра. Вы можете получить некоторые сведения о трассировке вызовов паники ядра из описания ошибки. Если вы хотите просмотреть всю трассировку вызовов и последовательный журнал, можно развернуть виртуальную машину в Azure с помощью образа и проверить последовательную консоль в ресурсе виртуальной машины на портале Azure. При создании виртуальной машины в Azure можно скачать журнал последовательной консоли на портале Azure. Дополнительные сведения см. в последовательной консоли дляLinux.
verify_dns_name_resolution Этот тестовый случай проверяет разрешение DNS-имен, выполнив команду: ping bing.com -c 5 -i 0.5 -O. Ошибка возникает, если не удается выполнить связь с общедоступным веб-адресом bing.com. Дополнительные сведения см. в Azure DNS, чтобы добавить правильные параметры.
verify_no_pre_exist_users При обнаружении пароля или пароля пользователя XXXX возника ет ошибка при обнаружении пароля или ключа пользователя. Проверьте файл /etc/shadow, чтобы узнать, имеет ли он пароль пользователя. В этом случае необходимо удалить пароль и удалить файл {user's home directory}/.ssh/authorized_keys после сообщения об ошибке.
validate_netvsc_reload Сообщение об ошибке произошло сбоем. SSHException: сеанс SSH не активен,, если виртуальная машина не может быть подключена после выполнения следующей команды. Ошибка обнаружена паника ядра с узла xx, если на виртуальной машине обнаружена паника ядра после выполнения команды: modprobe -r hv_netvsc; modprobe hv_netvsc; ip link set eth0 down; ip link set eth0 up;dhclient -r eth0; dhclient eth0. Проверьте последовательную консоль, чтобы узнать, произошла ли ошибка во время выполнения предыдущей команды. Дополнительные сведения см. в клиента виртуальной службы сети (NetVSC).

Проверка размера диска данных

Запросы на диск данных с размером больше 1023 гигабайт (ГБ) не утверждены. Это правило применяется как к Linux, так и к Windows.

Повторно отправьте запрос размером менее 1 023 ГБ или равным 1 023 ГБ.

Проверка размера диска ОС

Ознакомьтесь со следующими правилами для ограничений размера диска ОС. При отправке любого запроса убедитесь, что размер диска ОС находится в пределах ограничения для Linux или Windows.

ОС Рекомендуемый размер виртуального жесткого диска
Линукс 1 ГБ до 1023 ГБ
Виндоус 30 ГБ до 250 ГБ

Так как виртуальные машины разрешают доступ к базовой операционной системе, убедитесь, что размер виртуального жесткого диска достаточно велик для виртуального жесткого диска. Диски не расширяются без простоя. Используйте размер диска от 30 ГБ до 50 ГБ.

Размер VHD Фактически занятый размер Решение
>500 tebibytes (TiB) n/a Обратитесь в службу поддержки за утверждением исключения.
250-500 ТиБ >200 гибибайт (GiB) разница с размером большого двоичного объекта Обратитесь в службу поддержки за утверждением исключения.

Заметка

Более крупные размеры дисков влечет за собой более высокие затраты и приводят к задержке во время установки и репликации. Из-за этой задержки и стоимости группа поддержки может обратиться за обоснованием утверждения исключения.

Проверка проверки исправлений WannaCry для Windows

Чтобы предотвратить потенциальную атаку, связанную с вирусом WannaCry, убедитесь, что все запросы образов Windows обновляются с помощью последнего исправления.

Вы можете проверить версию файла образа из C:\windows\system32\drivers\srv.sys или srv2.sys.

В следующей таблице показана минимальная исправленная версия Windows Server:

ОС Версия
Windows Server 2008 R2 6.1.7601.23689
Windows Server 2012 6.2.9200.22099
Windows Server 2012 R2 6.3.9600.18604
Windows Server 2016 10.0.14393.953
Windows Server 2019 NA

Заметка

Windows Server 2019 не имеет обязательных требований к версии.

Проверка исправлений уязвимостей SACK

При отправке образа Linux запрос может быть отклонен из-за проблем с версией ядра.

Обновите ядро с утвержденной версией и повторно отправьте запрос. Утвержденную версию ядра можно найти в следующей таблице. Номер версии должен быть равен или больше указанного здесь числа.

Если образ не установлен с одной из следующих версий ядра, обновите его с правильными исправлениями. Запросите необходимое утверждение от группы поддержки после обновления образа с этими необходимыми исправлениями:

  • CVE-2019-11477
  • CVE-2019-11478
  • CVE-2019-11479
Семейство ОС Версия Ядро
Ubuntu 14.04 LTS 4.4.0-151
14.04 LTS 4.15.0-1049-*-azure
16.04 LTS 4.15.0-1049
18.04 LTS 4.18.0-1023
18.04 LTS 5.0.0-1025
18.10 4.18.0-1023
19.04 5.0.0-1010
19.04 5.3.0-1004
RHEL и Cent OS 6.10 2.6.32-754.15.3
7.2 3.10.0-327.79.2
7.3 3.10.0-514.66.2
7.4 3.10.0-693.50.3
7.5 3.10.0-862.34.2
7.6 3.10.0-957.21.3
7.7 3.10.0-1062.1.1
8.0 4.18.0-80.4.2
8.1 4.18.0-147
"7-RAW" (7.6)
"7-LVM" (7.6) 3.10.0-957.21.3
RHEL-SAP 7.4 ТБD
RHEL-SAP 7.5 ТБD
SLES SLES11SP4 (включая SAP) 3.0.101-108.95.2
SLES12SP1 для SAP 3.12.74-60.64.115.1
SLES12SP2 для SAP 4.4.121-92.114.1
SLES12SP3 4.4180-4.31.1 (ядро-azure)
SLES12SP3 для SAP 4.4.180-94.97.1
SLES12SP4 4.12.14-6.15.2 (ядро-azure)
SLES12SP4 для SAP 4.12.14-95.19.1
SLES15 4.12.14-5.30.1 (ядро-azure)
SLES15 для SAP 4.12.14-5.30.1 (ядро-azure)
SLES15SP1 4.12.14-5.30.1 (ядро-azure)
Оракул 6.10 UEK2 2.6.39-400.312.2
UEK3 3.8.13-118.35.2
RHCK 2.6.32-754.15.3
7.0-7.5 UEK3 3.8.13-118.35.2
UEK4 4.1.12-124.28.3
RHCK следует RHEL
7.6 RHCK 3.10.0-957.21.3
UEK5 4.14.35-1902.2.0
CoreOS Stable 2079.6.0 4.19.43*
Бета-версия 2135.3.1 4.19.50*
Альфа 2163.2.1 4.19.50*
Debian jessie (безопасность) 3.16.68-2
Jessie backports 4.9.168-1+deb9u3
stretch (безопасность) 4.9.168-1+deb9u3
Debian GNU/Linux 10 (бюстер) Debian 6.3.0-18+deb9u1
buster, sid (stretch backports) 4.19.37-5

Размер изображения должен находиться в нескольких мегабайтах

Все виртуальные жесткие диски в Azure должны иметь виртуальный размер, равный нескольким 1 мегабайтам (МБ). Если виртуальный жесткий диск не соответствует рекомендуемой виртуальной величине, запрос может быть отклонен.

Следуйте рекомендациям при преобразовании из необработанного диска в VHD. Убедитесь, что размер необработанного диска составляет 1 МБ. Дополнительные сведения см. в разделе Information for nonendorsed distributions.

Доступ к виртуальной машине запрещен

Проблема с доступом, отказано в при выполнении тестового случая на виртуальной машине, может возникнуть из-за нехватки привилегий.

Убедитесь, что вы включили правильный доступ для учетной записи, в которой выполняются варианты самостоятельного тестирования. Включите доступ к тестовой ситуации, если она не включена. Если вы не хотите включить доступ, вы можете предоставить общий доступ к результатам самостоятельного тестирования в группе поддержки.

Чтобы отправить запрос с отключенным образом SSH для процесса сертификации, выполните приведенные ниже действия.

  1. Запустите последнее средство тестирования сертификации для виртуальных машин Azure на образе.

  2. Создайте запрос в службу поддержки . Обязательно вложите отчет набора средств и предоставьте сведения о предложении:

    • Имя предложения
    • Имя издателя
    • Идентификатор плана и номер SKU и версия

  3. Повторно отправьте запрос на сертификацию.

Заметка

Если вы публикуете заблокированный образ виртуальной машины с отключенным или ограниченным SSH, включите флажок "Удаленный рабочий стол или SSH отключен" на странице "Техническая конфигурация" Центра партнеров. Он сообщает группе сертификации, что эта конфигурация выполняется по проектированию и выполняет правильные проверки на изображении без сбоя для ограниченного доступа.

флажок

Сбой загрузки

Ознакомьтесь со следующей таблицей, чтобы устранить проблемы, возникающие при скачивании образа виртуальной машины с URL-адресом URL-адреса url-адреса виртуальной машины.

Ошибка Причина Решение
Большой двоичный объект не найден Виртуальный жесткий диск может быть удален или перемещен из указанного расположения.
Использование большого двоичного объекта VHD используется другим внутренним процессом. Исходное хранилище BLOB-объектов виртуального жесткого диска изменяется во время публикации. Виртуальный жесткий диск не должен находиться в состоянии использования при скачивании его с URL-адресом SAS. Кроме того, не используйте или не изменяйте виртуальный жесткий диск при публикации.
Недопустимый URL-адрес SAS Связанный URL-адрес SAS для виртуального жесткого диска неверный. Получите правильный URL-адрес SAS.
Недопустимая подпись Связанный URL-адрес SAS для виртуального жесткого диска неверный. Получите правильный URL-адрес SAS.
Условный заголовок HTTP Недопустимый URL-адрес SAS. Получите правильный URL-адрес SAS.
Недопустимое имя виртуального жесткого диска Проверьте, существуют ли специальные символы, например знак процента % или кавычки ", в имени VHD. Переименуйте VHD-файл, удалив специальные символы.

Образы виртуальных машин должны содержать 1 МБ свободного места

Если вы публикуете образ в Azure (с разделом GPT GPT), мы настоятельно рекомендуем сохранить первые 2048 секторов (1 МБ) диска ОС пустым. Это требование заключается в том, чтобы Разрешить Azure добавлять важные метаданные в образ (например, метаданные для улучшения времени загрузки для клиентов, выставления счетов и других сведений). Это рекомендация, которая рекомендуется, если вы уже используете утвержденный базовый образ, а образ имеет допустимый тег выставления счетов. Однако если образ не имеет допустимого тега выставления счетов, публикация может завершиться ошибкой, если первый 1 МБ диска ОС не пуст.

Если вы создаете собственный образ, который не имеет допустимого тега выставления счетов, убедитесь, что первые 2048 секторов (1 МБ) диска ОС пусты. В противном случае публикация завершается ошибкой. Это требование применимо только к диску ОС (не к дискам данных). Если вы создаете образ из утвержденной базы, он уже имеет первый 1 МБ пустой. Следовательно, вам не нужно работать над ним отдельно.

Чтобы освободить первые 1 МБ на диске ОС, выполните действия, описанные в следующем разделе.

Как сохранить 1 МБ свободного места на пустом виртуальном жестком диске (2048 секторов, каждый сектор 512 байт)

Эти действия применяются только к Linux.

  1. Создайте любую виртуальную машину Linux, например Ubuntu, CentOS или другую. Заполните обязательные поля, а затем выберите Далее: диски.

    снимок экрана, на котором показана страница

  2. Создайте неуправляемый диск для виртуальной машины. Используйте значения по умолчанию или укажите любое значение полей, таких как размер диска ОС, тип диска ОСи тип шифрования .

    снимок экрана страницы дисков данных в потоке создания виртуальной машины.

  3. После создания виртуальной машины в области слева выберите диски.

    снимок экрана, показывающий, как выбрать диски для V M.

  4. Подключите VHD как диск данных к виртуальной машине для создания таблицы секционирования.

    1. Выберите Подключить существующие диски:

      снимок экрана: добавление диска данных в

      снимок экрана, показывающий, как выбрать диск данных для

    2. Найдите учетную запись хранения VHD.

    3. Выберите контейнер, а затем выберите виртуальный жесткий диск.

    4. Нажмите кнопку ОК.

      снимок экрана страницы присоединения неуправляемого диска.

      Виртуальный жесткий диск добавляется в качестве диска данных LUN 0.

  5. Перезапустите виртуальную машину.

  6. После перезапуска виртуальной машины войдите на виртуальную машину с помощью Putty или другого клиента и выполните команду sudo -i, чтобы получить корневой доступ.

    снимок экрана командной строки клиента Putty с командой sudo -i.

  7. Создайте секцию на виртуальном жестком диске.

    1. Введите команду fdisk /dev/sdb.

    2. Чтобы просмотреть существующий список секций из виртуального жесткого диска, введите p.

    3. Введите d, чтобы удалить все существующие секции, доступные на виртуальном жестком диске. Этот шаг можно пропустить, если это не требуется.

      снимок экрана командной строки клиента Putty с командами для удаления существующих разделов.

    4. Введите n, чтобы создать новую секцию и выбрать p для (основной секции).

    5. Введите 2048 в качестве значения первого сектора. Вы можете оставить последний сектор в качестве значения по умолчанию.

      Важный

      Все существующие данные удаляются до 2048 секторов (каждый сектор 512 байт). Создайте резервную копию виртуального жесткого диска перед созданием новой секции.

      снимок экрана командной строки клиента Putty, показывающий команды и выходные данные для стертых данных.

    6. Введите w, чтобы подтвердить создание секции.

      снимок экрана командной строки клиента Putty с командами для создания секции.

    7. Вы можете проверить таблицу секций, выполнив команду n fdisk /dev/sdb и введя p. Раздел создается со значением смещения 2048.

      снимок экрана командной строки клиента Putty с командами для создания смещения 2048.

  8. Отключите виртуальный жесткий диск от виртуальной машины и удалите виртуальную машину.

Учетные данные по умолчанию

Никогда не отправлять учетные данные по умолчанию с помощью отправленного виртуального жесткого диска. Добавление учетных данных по умолчанию повышает уязвимость виртуального жесткого диска к угрозам безопасности. Вместо этого создайте собственные учетные данные при отправке виртуального жесткого диска.

DataDisk сопоставлен неправильно

Проблема с сопоставлением может возникать, когда запрос отправляется с несколькими дисками данных, которые не в последовательности. Например, порядковый номер для трех дисков данных должен быть 0, 1, 2. Любой другой порядок рассматривается как проблема сопоставления.

Повторно отправьте запрос с правильной последовательности дисков данных.

Неправильное сопоставление ОС

При создании образа может быть сопоставлена или назначена неправильная метка ОС. Например, при выборе Windows в качестве части имени ОС при создании образа диск ОС должен быть установлен только с Windows. То же требование применяется к Linux.

Виртуальная машина не обобщена

Если все образы, взятые из Azure Marketplace, необходимо повторно использовать виртуальный жесткий диск операционной системы.

  • Для Linuxследующий процесс обобщает виртуальную машину Linux и развертывает ее как отдельную виртуальную машину.

    В окне SSH введите следующую команду: sudo waagent -deprovision+user.

  • Для Windowsвы обобщаете образы Windows с помощью sysreptool.

    Дополнительные сведения о средстве sysreptool см. в обзореподготовки системы (Sysprep).

Ошибки DataDisk

Для решения ошибок, связанных с диском данных, используйте следующую таблицу:

Ошибка Причина Решение
DataDisk- InvalidUrl: Эта ошибка может возникать из-за недопустимого логического номера единицы (LUN) при отправке предложения. Убедитесь, что последовательность номеров LUN для диска данных находится в Центре партнеров.
DataDisk- NotFound: Эта ошибка может возникнуть, так как диск данных не расположен по указанному URL-адресу SAS. Убедитесь, что диск данных находится по указанному URL-адресу SAS.

Проблема с удаленным доступом

Эта ошибка возникает, если параметр протокола удаленного рабочего стола (RDP) не включен для образа Windows.

Прежде чем отправлять их, включите доступ по протоколу RDP для образов Windows.

Сбой журнала Bash

Эта ошибка возникает, если размер журнала Bash в отправленном изображении составляет более 1 килобайта (КБ). Размер ограничен 1 КБ, чтобы ограничить файл от хранения потенциально конфиденциальной информации.

Чтобы удалить журнал Bash, выполните следующие действия.

  1. Разверните виртуальную машину и выберите параметр команды запуска на портале Azure.

    снимок экрана портала Azure с параметром

  2. Выберите первый вариант RunShellScript, а затем выполните команду: cat /dev/null > ~/.bash_history && history -c.

    снимок экрана страницы

  3. После успешного выполнения команды перезапустите виртуальную машину.

  4. Обобщите виртуальную машину, выполните образ VHD и остановите виртуальную машину.

  5. Повторно отправьте обобщенное изображение.

Проверки виртуальных сетевых устройств

Во время сертификации образов Marketplace предложение виртуальной машины, которое является сетевым виртуальным устройством (NVA), проверяется с помощью тестов, которые являются универсальными для любого предложения виртуальной машины, и тестовые случаи NVA, перечисленные в следующей таблице. Цель этих конкретных проверок NVA заключается в том, чтобы проверить, насколько хорошо образЫ NVA оркестрируется с стеком SDN.

Тестовый случай Действия по выполнению тестового случая Решение
Доступ к виртуальному жесткому диску Убедитесь, что указан правильный URL-адрес SAS для виртуального жесткого диска. Разрешения задаются для разрешения доступа, а образ NVA обобщенным. Проверьте образ NVA и указанный URL-адрес.
Развертывание NVA Разверните виртуальную машину с помощью NVA с одной сетевой картой. Убедитесь, что развертывание завершено в течение 20 минут. Если развертывание не завершено в течение 20 минут, проверьте образ NVA.
Перезагрузка NVA Разверните виртуальную машину с помощью NVA с одной сетевой картой. Затем перейдите на виртуальную машину на портале Azure и в разделе Поддержка и устранение неполадок в левой области выберите Повторное развертывание и повторное применение и повторное развертывание виртуальной машины. После завершения повторного развертывания убедитесь, что состояние виртуальной машины выполнение, а порт сетевого адаптера 22 доступен с помощью команды Netcat. Если виртуальная машина не возникает после перезагрузки, может возникнуть проблема с образом NVA.

Если тест Netcat завершается ошибкой, это может быть связано с тем, что сетевой адаптер не удалось приступить после перезагрузки, даже если виртуальная машина запущена. Подождите несколько минут и повторите попытку. Если после 20 минут он по-прежнему завершается ошибкой, может возникнуть проблема с образом NVA
Повторное развертывание NVA Разверните виртуальную машину с помощью NVA с одной сетевой картой. Затем повторно разверните виртуальную машину. Убедитесь, что состояние виртуальной машины выполнение, а сетевой порт 22 доступен с помощью команды Netcat. Если повторное развертывание не завершится в течение 15 минут, может возникнуть проблема с образом NVA.

Если тест Netcat завершается ошибкой, это может быть связано с тем, что сетевой адаптер не удалось приступить после перезагрузки, даже если виртуальная машина запущена. Подождите несколько минут и повторите попытку. Если после 20 минут он по-прежнему завершается ошибкой, может возникнуть проблема с образом NVA
Высокий уровень доступности Разверните виртуальную машину с помощью NVA с одной сетевой картой. Не следует присоединять общедоступный IP-адрес к сетевому адаптеру или при присоединении общедоступного IP-адреса номер SKU должен быть стандартным, а метод выделения IP-адресов должен быть статическим. В той же виртуальной сети настройте внутреннюю подсистему балансировки нагрузки Azure с помощью следующей конфигурации.
— Подсистема балансировки нагрузки с помощью SKU уровня "Стандартный"
— интерфейсный IP-адрес с использованием метода выделения частных IP-адресов в качестве динамического
— пробы работоспособности с помощью TCP, порта 22 с интервалом повтора в 15 секунд
— Правило балансировки нагрузки с протоколом как все и включите значение False с плавающим IP-адресом.
— серверный пул, указывающий на виртуальную машину NVA.

После готовности программы установки убедитесь, что виртуальная машина NVA доступен в подсистеме балансировки нагрузки с помощью команды Netcat.		 Если NVA недоступен для подсистемы балансировки нагрузки, проверьте настройку виртуальной машины, подсистемы балансировки нагрузки и портов высокой доступности. Если все точно, может возникнуть проблема с изображением NVA.
Пиринг виртуальной сети Разверните виртуальную машину VM1 с помощью образа NVA с одним сетевым адаптером в виртуальной сети VNET1. В другой виртуальной сети VNET2 разверните виртуальную машину виртуальной машины 2 с помощью любого образа Linux, например ubuntu, с одним сетевым адаптером и параметрами виртуальной машины в качестве метода динамического выделения IP-адресов и базового номера SKU. Создание пиринга виртуальной сети между VNET1 и VNET2 и трафиком к удаленной виртуальной сети настроен как разрешить (по умолчанию)

После готовности программы установки убедитесь, что из VM2 можно получить частный IP-адрес сетевого адаптера на виртуальной машине NVA VM1 с помощью команды Netcat.		 Если виртуальная машина NVA1 недоступна из VM2, убедитесь, что пиринг виртуальной сети настроен правильно и повторите попытку. Если он по-прежнему не работает, может возникнуть проблема с изображением NVA.
Ускорение сети (AN) Разверните виртуальную машину с NVA и 1 сетевым адаптером с поддержкой AN. Вы можете включить AN в сетевом адаптере при создании виртуальной машины или в свойствах сетевого адаптера после создания виртуальной машины. Убедитесь, что виртуальная машина запущена и запущена. Если развертывание завершается сбоем, убедитесь, что образ NVA поддерживает ускоренную сеть.
Базовый сетевой адаптер с несколькими сетевыми картами Разверните виртуальную машину с помощью NVA с 3 сетевыми адаптерами с помощью метода динамического выделения IP-адресов и базового номера SKU. Получите частный IP-адрес и MAC-адрес для всех сетевых адаптеров (см. просмотр сетевых интерфейсов инструкций). Затем повторно разверните виртуальную машину и убедитесь, что частный IP-адрес и MAC-адрес для всех сетевых адаптеров остаются неизменными, как и перед повторной развертыванием. Если частный IP-адрес и MAC-адрес для всех сетевых адаптеров изменяются после повторного развертывания, может возникнуть проблема с образом NVA.
Нарушение сети Разверните виртуальную машину с помощью NVA с одной сетевой картой. Затем создайте и примените группу безопасности сети (NSG), чтобы заблокировать весь трафик к виртуальной машине NVA. Затем убедитесь, что состояние виртуальной машины выполнение. Если после применения NSG виртуальная машина исчезнет, может возникнуть проблема с образом NVA.

Дополнительные сведения или вопросы см. в случае поддержки Azure.

Обзор Netcat:

Netcat — это команда, способная установить подключение TCP или UDP между двумя компьютерами, то есть она может записывать и считывать через открытый порт. Во время проверки NVA мы выполняем команду Netcat из виртуальной машины, которая находится в той же виртуальной сети, что и виртуальная машина NVA, чтобы проверить, доступен ли TCP-порт 22. Синтаксис команды nc <destination_ip_address> <destination_port>, где

  • destination_ip_address — это частный IP-адрес, назначенный сетевому адаптеру виртуальной машины.
  • destination_port номер порта в NVA. Мы используем 22 в тестовых случаях NVA.

Например, nc 192.168.1.1 22

Запрос исключения на образы виртуальных машин для выбора тестов

Издатели могут запрашивать исключения для нескольких тестов, выполненных во время сертификации виртуальных машин. Исключения предоставляются в редких случаях, когда издатель предоставляет доказательства для поддержки запроса. Команда сертификации в любое время оставляет за собой право запретить или утвердить исключения.

В этом разделе описываются общие сценарии, в которых издатели запрашивают исключение и как запрашивать его.

Сценарии исключения

Издатели обычно запрашивают исключения в следующих случаях:

  • исключение для одного или нескольких тестовых случаев. Обратитесь в службу поддержки центра партнеров , чтобы запросить исключения для тестовых случаев.

  • заблокированные виртуальные машины/ нет корневого доступа. Несколько издателей имеют сценарии, в которых виртуальные машины должны быть заблокированы, так как у них есть программное обеспечение, например брандмауэры, установленные на виртуальной машине. В этом случае скачайте сертифицированного средства тестирования и отправьте отчет в поддержке Центра партнеров.

  • пользовательские шаблоны. Некоторые издатели публикуют образы виртуальных машин, требующие пользовательского шаблона Azure Resource Manager (ARM) для развертывания виртуальных машин. В этом случае отправьте настраиваемые шаблоны в службу поддержки Центра партнеров , которые будут использоваться командой сертификации для проверки.

Сведения, предоставляемые для сценариев исключений

Обратитесь в службу поддержки центра партнеров , чтобы запросить исключение для одного из сценариев и включить следующие сведения:

  • идентификатор издателя. Введите идентификатор издателя портала Partner Central.

  • идентификатор предложения или имя. Введите идентификатор или имя предложения.

  • SKU/Plan ID. Введите идентификатор плана предложения виртуальной машины или номер SKU.

  • версии. Введите версию предложения виртуальной машины, требующую исключения.

  • тип исключения. Выберите тесты, заблокированную виртуальную машину или пользовательские шаблоны.

  • причина запроса. Включите причину запроса на исключение, а также любую информацию об исключениях тестов.

  • временной шкалы. Введите дату окончания исключения.

  • вложения. Присоединены важные документы о доказательствах:

    • Для заблокированных виртуальных машин подключите тестовый отчет.
    • Для пользовательских шаблонов укажите пользовательский шаблон ARM в виде вложения.

    Если не удается включить эти вложения, ваш запрос отклоняется.

Устранение уязвимости или эксплойт в предложении виртуальной машины

В этом разделе описывается, как предоставить новый образ виртуальной машины при обнаружении уязвимости или эксплойт с одним из образов виртуальной машины. Она применяется только к предложениям виртуальной машины Azure, опубликованным в Azure Marketplace.

Заметка

Вы не можете удалить последний образ виртуальной машины из плана или остановить продажу последнего плана для предложения.

Выполните одно из следующих действий:

Предоставление образа фиксированной виртуальной машины

Чтобы предоставить фиксированный образ виртуальной машины для замены образа виртуальной машины с уязвимостью или эксплойтом:

  1. Предоставьте новый образ виртуальной машины для решения уязвимости безопасности или эксплойтов.
  2. Удалите образ виртуальной машины с уязвимостью безопасности или эксплойтом.
  3. Повторно опубликуйте предложение.

Предоставление нового образа виртуальной машины для решения уязвимости безопасности или эксплойтов

Чтобы выполнить эти действия, подготовьте технические ресурсы для образа виртуальной машины, который вы хотите добавить. Дополнительные сведения см. в статье Создание виртуальной машины с помощью утвержденной базовой или создание виртуальной машины с помощью собственного образа и создание URI SAS для образа виртуальной машины.

  1. Войдите в Центр партнеров.

  2. На домашней странице выберите плитку Marketplace.

  3. В столбце псевдоним предложения выберите предложение.

  4. Перейдите на вкладку обзора плана и выберите соответствующий план.

  5. На вкладке Technical configuration в разделеобразов виртуальных машин выберите + Добавитьобраз виртуальной машины.

    Заметка

    Вы можете добавить только один образ виртуальной машины в один план одновременно. Чтобы добавить несколько образов виртуальных машин, опубликуйте первый перед добавлением следующего образа виртуальной машины.

  6. В отображаемых полях укажите новую версию диска и образ виртуальной машины.

  7. Выберите Сохранить черновик.

Затем удалите образ виртуальной машины с уязвимостью безопасности.

Удаление образа виртуальной машины с помощью уязвимости безопасности или эксплойтов

  1. Войдите в Центр партнеров.
  2. На домашней странице выберите плитку Marketplace.
  3. В столбце псевдоним предложения выберите предложение.
  4. Перейдите на вкладку обзора плана и выберите соответствующий план.
  5. На вкладке Техническая конфигурация в разделе образов виртуальных машинрядом с образом виртуальной машины, который требуется удалить, выберите Удалить образ виртуальной машины.
  6. В диалоговом окне выберите "Продолжить".
  7. Выберите Сохранить черновик.

Затем повторно опубликуйте предложение.

Повторно опубликуйте предложение

  1. Выберите Проверить и опубликовать.
  2. Если вам нужно предоставить любую информацию группе сертификации, добавьте ее в поле Заметки о сертификации.
  3. Выберите опубликовать.

Чтобы завершить процесс публикации, ознакомьтесь с обзором и публикацией предложений.

Устранение уязвимости, связанной с TLS в предложении виртуальной машины

В этом разделе описывается, как предоставить новый образ виртуальной машины при обнаружении связанной с TLS уязвимости одним из образов виртуальной машины. Она применяется только к предложениям виртуальной машины Azure, опубликованным в Azure Marketplace.

Действия по исправлению

Чтобы устранить эти уязвимости, выполните следующие действия.

Отключите использование протоколов TLS 1.0 и 1.1 и убедитесь, что образ виртуальной машины поддерживает TLS версии 1.2 или более поздней. Это можно сделать, задав соответствующие разделы реестра или параметры конфигурации на образе виртуальной машины.

Для Linux выполните следующие команды для ручного тестирования и убедитесь, что эти версии отключены:

  • для TLS 1.0:

    openssl s_client -connect ip:port -tls1

  • для TLS 1.1:

    openssl s_client -connect ip:port -tls1_1

Для Windows см. официальную документацию по параметрам реестра TLS для обновления разделов реестра. Используйте следующие команды PowerShell для настройки параметров TLS:

Путь Имя Ценность
HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client "Включено" 0
HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server "Включено" 0
HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client "Включено" 0
HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server "Включено" 0
HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client "Включено" 1
HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server "Включено" 1

Включение более высоких версий (необязательно)

Если вы хотите включить более высокие версии (например, TLS 1.3), повторите предыдущие шаги с соответствующими путями и значениями для этих версий.

Образы виртуальных машин с ограниченным доступом или требуют пользовательских шаблонов

Заблокированное (или) отключенное предложение SSH

Образы, опубликованные с отключенными SSH (для Linux) или отключенными RDP (для Windows), обрабатываются как заблокированные виртуальные машины. Существуют специальные бизнес-сценарии, из-за которых издатели разрешают доступ только к ограниченному доступу ни к нескольким пользователям.

Во время проверок проверки заблокированные виртуальные машины могут не разрешать выполнение определенных команд сертификации.

Пользовательские шаблоны

Как правило, все образы, опубликованные в рамках одной виртуальной машины, соответствуют стандартному шаблону ARM для развертывания. Однако существуют сценарии, в которых издателю может потребоваться настройка при развертывании виртуальных машин (например, для настройки нескольких сетевых адаптеров).

В зависимости от следующих сценариев (nonexhaustive), издатели используют пользовательские шаблоны для развертывания виртуальной машины:

  • Для виртуальной машины требуются дополнительные подсети сети.
  • Дополнительные метаданные для вставки в шаблон ARM.
  • Команды, необходимые для выполнения шаблона ARM.

Расширения виртуальной машины

Расширения виртуальной машины Azure — это небольшие приложения, которые предоставляют задачи конфигурации и автоматизации после развертывания на виртуальных машинах Azure. Например, если для виртуальной машины требуется установка программного обеспечения, защита от вирусов или запуск скрипта внутри нее, можно использовать расширение виртуальной машины.

Для проверки расширений виртуальной машины Linux требуется следующее:

Дополнительные сведения см. в разделе расширения виртуальной машины.

Проверка целостности изображения

Если вы создаете образ и создаете диск из образа для проверки целостности образа, первые 1 МБ зарезервированы для оптимизированной производительности, а последние 512 байт зарезервированы для нижнего колонтитула VHD. Поэтому игнорируйте их при проверке целостности изображения.

Связанное содержимое