Использование построителя образов виртуальных машин Azure
Конструктор образов виртуальных машин — это полностью управляемая служба Azure, доступная поставщикам ресурсов Azure. Поставщики ресурсов настраивают ее, указывая исходный образ, настройку, которую нужно выполнить, и место распределения нового образа. На схеме показан высокоуровневый рабочий процесс:
Конфигурации шаблонов можно передать с помощью Azure PowerShell, Azure CLI или шаблонов Azure Resource Manager или с использованием задачи DevOps Конструктора образов виртуальных машин. При отправке конфигурации в службу Azure создает ресурс шаблона образа. При создании ресурса шаблона изображения в подписке создается промежуточная группа ресурсов в формате IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID). Промежуточная группа ресурсов содержит файлы и сценарии, на которые ссылается настройка файла, оболочки и PowerShell в свойстве ScriptURI.
Чтобы запустить сборку, необходимо вызвать запуск в ресурсе шаблона построителя образов виртуальных машин. Затем служба развертывает другие ресурсы для сборки, например виртуальную машину, сеть, диск и сетевой адаптер.
Если вы создаете образ без использования существующей виртуальной сети, построитель образов виртуальных машин также развертывает общедоступную IP-адрес и группу безопасности сети. Построитель образов виртуальных машин подключается к виртуальной машине сборки с помощью протокола Secure Shell (SSH) или удаленного управления Windows (WinRM).
Если выбрать существующую виртуальную сеть, служба развертывается через Приватный канал Azure, а общедоступный IP-адрес не требуется. Дополнительные сведения см. в статье Обзор возможностей сети Конструктора образов виртуальных машин.
По завершении сборки удаляются все ресурсы, за исключением промежуточной группы ресурсов и учетной записи хранения. Их можно удалить вместе с ресурсом шаблона образа или оставить, чтобы можно было снова запустить сборку.
В репозитории GitHub для Конструктора образов виртуальных машин вы найдете несколько примеров, пошаговые руководства, шаблоны конфигурации и решения.
Безопасность
Чтобы обеспечить безопасность образов, Конструктор образов виртуальных машин выполняет следующие задачи:
- Позволяет создавать базовые образы (т. е. минимальные конфигурации безопасности и корпоративные конфигурации) и позволяет другим отделам дополнительно настраивать их. Конструктор образов виртуальных машин помогает поддерживать безопасность и соответствие этих образов. Решение позволяет быстро перестроить эталонный образ, который использует последнюю исправленную версию исходного образа. Кроме того, Конструктор образов виртуальных машин упрощает создание образов, соответствующих базовому плану безопасности Windows Azure. Дополнительные сведения см. в статье Конструктор образов виртуальных машин: базовый шаблон Windows.
- Позволяет получать артефакты настройки, не делая их общедоступными. Получить эти ресурсы Конструктор образов виртуальных машин может с помощью управляемого удостоверения Azure. Управление доступом на основе ролей Azure (Azure RBAC) позволяет ограничить привилегии этого удостоверения с требуемой степенью строгости. Вы можете сохранить секрет артефактов и предотвратить незаконное изменение несанкционированными субъектами.
- Обеспечивает надежное хранение копий артефактов настройки, временных вычислительных ресурсов и ресурсов хранилища, а также полученных в результате образов в подписке, так как доступом управляет Azure RBAC. Этот уровень безопасности, который также применяется к виртуальной машине сборки, которая используется для создания настроенного образа, помогает предотвратить копирование скриптов и файлов настроек на неизвестную виртуальную машину в неизвестной подписке. Кроме того, вы можете обеспечить для виртуальной машины сборки высокий уровень отмежевания от рабочих нагрузок других клиентов с помощью предложений изолированных виртуальных машин.
- Позволяет подключить Конструктор образов виртуальных машин к существующим виртуальным сетям, чтобы можно было взаимодействовать с существующими серверами конфигурации, такими как DSC (опрашиваемый сервер Desired State Configuration), Chef и Puppet, общие папки или любые другие маршрутизируемые серверы и службы.
- Можно настроить таким образом, чтобы ваши назначаемые пользователем удостоверения назначались виртуальной машине сборки Конструктора образов виртуальных машин (то есть виртуальной машине, которую служба "Конструктор образов виртуальных машин" создает в вашей подписке и использует для создания и настройки образа). Затем эти удостоверения можно использовать во время настройки для доступа к ресурсам Azure, включая секреты, в вашей подписке. Нет необходимости назначать построителю образов виртуальных машин прямой доступ к этим ресурсам.w
Поддержка ОС
Построитель образов виртуальных машин предназначен для работы со всеми базовыми образами операционной системы Azure Marketplace.
Примечание.
Приступая к созданию и проверке пользовательских образов на портале.
Конфиденциальная виртуальная машина и поддержка доверенного запуска
Построитель образов виртуальных машин имеет расширенную поддержку для образов TrustedLaunchSupported и ConfidentialVMSupported с определенными ограничениями. Ниже приведен список ограничений:
| SecurityType | Состояние поддержки |
|---|---|
| TrustedLaunchSupported | Поддержка в качестве исходного образа для сборок образов |
| ConfidentialVMSupported | Поддержка в качестве исходного образа для сборок образов |
| TrustedLaunch | Не поддерживается как исходный образ |
| ConfidentialVM | Не поддерживается как исходный образ |
Примечание.
При использовании образов с поддержкой TrustedLaunchSupported важно, чтобы исходный и распространяемый источник должны быть поддерживаемыми TrustedLaunchSupported. Если источник является нормальным, и распределение является доверенным ЛончSupported, или если источник является довереннымLaunchSupported, а распределение нормально 2-го поколения, оно не поддерживается.