Använda Azure VM Image Builder
Vm Image Builder är en fullständigt hanterad Azure-tjänst som är tillgänglig för Azure-resursprovidrar. Resursprovidrar konfigurerar den genom att ange en källbild, en anpassning som ska utföras och var den nya avbildningen ska distribueras. Ett arbetsflöde på hög nivå illustreras i diagrammet:
Du kan skicka mallkonfigurationer med hjälp av Azure PowerShell, Azure CLI eller Azure Resource Manager-mallar eller med hjälp av en DevOps-uppgift för vm Image Builder. När du skickar konfigurationen till tjänsten skapar Azure en resurs för avbildningsmallar. När resursen för avbildningsmallen skapas skapas en mellanlagringsresursgrupp i din prenumeration i formatet IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID). Mellanlagringsresursgruppen innehåller filer och skript som refereras till i anpassningen File, Shell och PowerShell i egenskapen ScriptURI.
Om du vill köra bygget anropar du Kör på mallresursen För den virtuella datorn Image Builder. Tjänsten distribuerar sedan andra resurser för bygget, till exempel en virtuell dator, ett nätverk, en disk och ett nätverkskort.
Om du skapar en avbildning utan att använda ett befintligt virtuellt nätverk distribuerar VM Image Builder även en offentlig IP- och nätverkssäkerhetsgrupp. Vm Image Builder ansluter till den virtuella datorn med hjälp av Secure Shell (SSH) eller WinRM-protokollet (Windows Remote Management).
Om du väljer ett befintligt virtuellt nätverk distribueras tjänsten via Azure Private Link och en offentlig IP-adress krävs inte. Mer information finns i Översikt över vm Image Builder-nätverk.
När bygget är klart tas alla resurser bort, förutom mellanlagringsresursgruppen och lagringskontot. Du kan ta bort dem genom att ta bort resursen för avbildningsmallen, eller så kan du låta dem köra bygget igen.
Om du vill ha flera exempel, steg-för-steg-guider, konfigurationsmallar och lösningar går du till GitHub-lagringsplatsen för vm Image Builder.
Säkerhet
För att skydda dina avbildningar, VM Image Builder:
- Gör att du kan skapa baslinjebilder (dvs. dina minsta säkerhets- och företagskonfigurationer) och gör att andra avdelningar kan anpassa dem ytterligare. Du kan hjälpa till att skydda och följa dessa avbildningar med hjälp av VM Image Builder för att snabbt återskapa en gyllene avbildning som använder den senaste korrigerade versionen av en källavbildning. Vm Image Builder gör det också enklare för dig att skapa avbildningar som uppfyller Säkerhetsbaslinjen för Azure Windows. Mer information finns i Mall för VM Image Builder – Windows-baslinje.
- Gör att du kan hämta dina anpassningsartefakter utan att behöva göra dem offentligt tillgängliga. Vm Image Builder kan använda din Azure Managed Identity för att hämta dessa resurser, och du kan begränsa behörigheterna för den här identiteten så nära som krävs med hjälp av rollbaserad åtkomstkontroll i Azure (Azure RBAC). Du kan både hålla artefakterna hemliga och förhindra manipulering av obehöriga aktörer.
- Lagrar kopior av anpassningsartefakter, tillfälliga beräknings- och lagringsresurser och deras resulterande bilder i din prenumeration på ett säkert sätt, eftersom åtkomsten styrs av Azure RBAC. Den här säkerhetsnivån, som även gäller för den virtuella byggdatorn som används för att skapa den anpassade avbildningen, förhindrar att dina anpassningsskript och filer kopieras till en okänd virtuell dator i en okänd prenumeration. Och du kan uppnå en hög grad av separation från andra kunders arbetsbelastningar med hjälp av isolerade VM-erbjudanden för den virtuella byggdatorn.
- Gör att du kan ansluta VM Image Builder till dina befintliga virtuella nätverk så att du kan kommunicera med befintliga konfigurationsservrar, till exempel DSC (önskad tillståndskonfigurations pull-server), Chef och Puppet, filresurser eller andra routbara servrar och tjänster.
- Kan konfigureras för att tilldela dina användartilldelade identiteter till den virtuella datorn Image Builder build VM (d.v.s. den virtuella dator som vm Image Builder-tjänsten skapar i din prenumeration och använder för att skapa och anpassa avbildningen). Du kan sedan använda dessa identiteter vid anpassningstillfället för att få åtkomst till Azure-resurser, inklusive hemligheter, i din prenumeration. Det finns inget behov av att tilldela direktåtkomst till den virtuella datorn Image Builder till dessa resurser.w
Stöd för operativsystem
Vm Image Builder är utformad för att fungera med alla Azure Marketplace-basoperativsystemavbildningar.
Kommentar
Kom igång med att skapa och validera anpassade avbildningar i portalen.
Konfidentiellt stöd för virtuell dator och betrodd start
Image Builder för virtuella datorer har utökat stöd för TrustedLaunchSupported- och ConfidentialVMSupported-avbildningar, med vissa begränsningar. Nedan visas listan över begränsningar:
| SecurityType | Supportstatus |
|---|---|
| TrustedLaunchSupported | Stöd som källbild för avbildningsversioner |
| ConfidentialVMSupported | Stöd som källbild för avbildningsversioner |
| TrustedLaunch | Stöds inte som en källbild |
| ConfidentialVM | Stöds inte som en källbild |
Kommentar
När du använder TrustedLaunchSupported-avbildningar är det viktigt att källan och distributionen måste vara TrustedLaunchSupported för att den ska kunna stödjas. Om källan är normal och distributionen är TrustedLaunchSupported, eller om källan är TrustedLaunchSupported och distributionen är normal Gen2, stöds den inte.