Dela via

Metodtips för Azure VM Image Builder

  • Artikel

Gäller för: ✔️ Virtuella Linux-datorer ✔️ med virtuella Windows-datorer ✔️ – flexibla skalningsuppsättningar ✔️ Enhetliga skalningsuppsättningar

I den här artikeln beskrivs metodtips som ska följas när du använder Azure VM Image Builder (AIB).

  • Om du vill förhindra att bildmallar tas bort av misstag använder du resurslås på resursnivå för avbildningsmallar. Mer information finns i Skydda dina Azure-resurser med ett lås.
  • Kontrollera att dina avbildningsmallar har konfigurerats för haveriberedskap genom att följa rekommendationen om tillförlitlighet för AIB.
  • Konfigurera AIB-utlösare för att automatiskt återskapa dina avbildningar och hålla dem uppdaterade.
  • Aktivera optimering av vm-start i AIB för att förbättra skapandetiden för dina virtuella datorer.
  • Ange din egen virtuella build-dator och ACI-undernät för en striktare kontroll över distributionen av nätverksrelaterade resurser av AIB i din prenumeration. Att ange dessa undernät leder också till snabbare avbildningsversionstider. Mer information om hur du anger dessa alternativ finns i mallreferensen .
  • Följ principen om lägsta behörighet för dina AIB-resurser.
    • Bildmall: Ett huvudnamn som har åtkomst till avbildningsmallen kan köra, ta bort eller manipulera det. Med den här åtkomsten kan huvudkontot i sin tur ändra avbildningarna som skapas av avbildningsmallen.
    • Mellanlagringsresursgrupp: AIB använder en mellanlagringsresursgrupp i din prenumeration för att anpassa vm-avbildningen. Du måste betrakta den här resursgruppen som känslig och begränsa åtkomsten till den här resursgruppen endast till nödvändiga huvudkonton. Eftersom processen med att anpassa avbildningen sker i den här resursgruppen kan ett huvudnamn med åtkomst till resursgruppen kompromettera bildskapandeprocessen, till exempel genom att mata in skadlig kod i bilden. AIB delegerar också behörigheter som är associerade med mallidentiteten och Skapa vm-identitet till resurser i den här resursgruppen. Därför kan ett huvudnamn med åtkomst till resursgruppen få åtkomst till dessa identiteter. Dessutom underhåller AIB en kopia av dina anpassningsartefakter i den här resursgruppen. Därför kan ett huvudnamn med åtkomst till resursgruppen inspektera dessa kopior.
    • Mallidentitet: Ett huvudnamn med åtkomst till din mallidentitet kan komma åt alla resurser som identiteten har behörighet för. Detta inkluderar dina anpassningsartefakter (till exempel shell- och PowerShell-skript), dina distributionsmål (till exempel en Azure Compute Gallery-avbildningsversion) och ditt virtuella nätverk. Därför måste du endast ange den lägsta behörighet som krävs för den här identiteten.
    • Skapa identitet för virtuell dator: Ett huvudnamn med åtkomst till din virtuella build-identitet kan komma åt alla resurser som identiteten har behörighet för. Detta omfattar alla artefakter och virtuella nätverk som du kanske använder från den virtuella build-datorn med hjälp av den här identiteten. Därför måste du endast ange den lägsta behörighet som krävs för den här identiteten.
  • Om du distribuerar till Azure Compute Gallery (ACG) följer du även metodtipsen för ACG-resurser.