خيارات الشبكات في Azure VM Image Builder

ينطبق على: ✔️ أجهزة Linux الظاهرية ✔️ مجموعات مقياس مرنة

يقوم Azure VM Image Builder (AIB) بنشر Azure Container Instance (ACI) في مجموعة موارد المراحل في اشتراكك. يجب أن يكون ACI مرتبطا بشبكة فرعية في شبكة افتراضية (VNet) لمنصة Azure. كود خدمة AIB الذي يعمل في ACI ينشر آلة بناء افتراضية (build VM) في مجموعة موارد المراحل لتخصيص صورتك، ويجب وضع جهاز البناء على شبكة فرعية منفصلة. لتخصيص والتحقق من صورتك، يجب أن يكون لدى ACI اتصال بالشبكة مع الجهاز الافتراضي المبنى. استنادا إلى متطلبات الشبكات وسياسات المنظمة، يمكنك تكوين AIB لاستخدام طوبولوجيات شبكة مختلفة. يمكنك اختيار إحضار الشبكتين الفرعيتين، أو شبكة فرعية واحدة، أو لا شيء. للحصول على التوصيات، راجع أفضل الممارسات لأداة Azure VM Image Builder.

طوبولوجيات الشبكة

لا تحضر شبكة Build VM الخاصة بك أو شبكة ACI الفرعية

• يمكنك اختيار هذه الطوبولوجيا دون تحديد الحقل vnetConfig في قالب الصورة أو بتحديد الحقل ولكن بدون subnetId حقول فرعية و containerInstanceSubnetId .
• إذا لم تحدد أي شبكات فرعية، يقوم AIB بنشر شبكة افتراضية لAzure (VNet) في مجموعة موارد المرحل مع شبكتين فرعيتين: واحدة لنسخة حاوية Azure وواحدة لجهاز البناء الافتراضي. كلتا الشبكتين الفرعيتين مرتبطتان بمجموعة أمن الشبكة (NSG) التي تتضمن قواعد افتراضية، مع السماح بالاتصال المباشر عبر خط الرؤية المطلوب للتخصيص. يتم نشر جهاز البناء الافتراضي أيضا مع مورد واجهة شبكة (وموارد أخرى غير مرتبطة مباشرة بالشبكات، مثل القرص المدار). بعد اكتمال البناء، يتم حذف جهاز البناء الافتراضي وموارد الشبكات.

أحضر شبكة بناء VM الخاصة بك وشبكة ACI الخاصة بك

• يمكنك اختيار هذه الطوبولوجيا عن طريق تحديد vnetConfig الحقل الذي يحتوي على الحقول الفرعية subnetId و(و containerInstanceSubnetId ) في قالب الصورة. هذا الخيار، بما في ذلك الحقل containerInstanceSubnetId الفرعي، متاح بدءا من إصدار API 2024-02-01. يمكنك أيضا تحديث القوالب الموجودة لاستخدام هذه الطوبولوجيا.
• في هذه الطوبولوجيا، يقوم AIB بنشر ال VM المبني على الشبكة الفرعية المحددة للبناء VM وACI إلى الشبكة الفرعية المحددة ACI. نظرا لأن الشبكات الفرعية متوفرة بالفعل، لا يقوم AIB بنشر شبكة افتراضية أو شبكات فرعية أو مجموعة أمن شبكة. تكون هذه الطوبولوجيا مفيدة عندما تمنع قيود أو سياسات الحصص نشر هذه الموارد. يمكن للجهاز الافتراضي للبناء الوصول إلى الموارد التي يمكن الوصول إليها من شبكتك الافتراضية، ويمكنك أيضا إنشاء شبكة افتراضية معزولة غير متصلة بأي شبكة افتراضية أخرى. يجب أن تفي شبكة ACI الفرعية بالمتطلبات المسبقة لبناء الصور المعزولة. للحصول على تفاصيل حول هذه الحقول، راجع مرجع القالب.
• هذه الطوبولوجيا هي الخيار الموصى به لمعظم السيناريوهات لأنها تمنحك تحكما كاملا على كلا الشبكتين الفرعيتين، وتبسط الإعداد وتكوين الشبكة، ويمكن أن تقلل من تكاليف النشر الإجمالية، وتساعد في مواءمة الشبكات مع متطلبات الأمان والحوكمة لمؤسستك.

أحضر شبكة VM الخاصة بك لكن ليس شبكة ACI الخاصة بك

• يمكنك اختيار هذه الطوبولوجيا عن طريق تحديد الحقل vnetConfig الفرعي subnetId مع حذف containerInstanceSubnetId الحقل الفرعي في قالب الصورة.
• في هذه الطوبولوجيا، ينشر AIB شبكة افتراضية مؤقتة في مجموعة موارد المراحل مع شبكتين فرعيتين، كل واحدة مرتبطة بمجموعة أمن الشبكة (NSG). تستضيف شبكة فرعية واحدة مؤشر ACI، والأخرى تستضيف مورد نقطة النهاية الخاص. يتم نشر جهاز البناء الافتراضي في الشبكة الفرعية التي حددتها. لتمكين التواصل بين شبكة ACI الفرعية وشبكة ال VM التي تبنيتها، تقوم AIB أيضا بنشر مسار اتصال قائم على الرابط الخاص في مجموعة موارد المرحلة، والذي يشمل نقطة نهاية خاصة، وخدمة الرابط الخاص، وموازن الأحمال Azure، وواجهات الشبكة، وآلة افتراضية بروكسي. تختلف الموارد والتكوينات الدقيقة قليلا حسب ما إذا كنت تقوم بتخصيص صورة ويندوز أو صورة لينكس.
• هذه الطوبولوجيا لا ينصح بها عموما في معظم السيناريوهات لأنها قد تزيد من تكاليف النشر، وتتطلب المزيد من الإعداد والتكوين التشغيلي، وإدخال مكونات إضافية تجعل خط الأنابيب من الطرف إلى الطرف أكثر حساسية للإخفاقات.

للحصول على أمثلة على هذه الطوبولوجيا، راجع المقالات التالية:

• استخدم Azure VM Image Builder لأجهزة ويندوز الافتراضية للسماح بالوصول إلى شبكة افتراضية موجودة في Azure
• استخدم Azure VM Image Builder لأجهزة Linux الافتراضية للسماح بالوصول إلى شبكة Azure الافتراضية الحالية

ما هي Azure Private Link ؟

يوفر Azure Private Link اتصالا خاصا من شبكة افتراضية إلى منصة Azure كخدمة (PaaS)، أو إلى خدمات المملوكة للعملاء أو شركاء مايكروسوفت. يبسط بنية الشبكة ويؤمن الاتصال بين نقاط نهايات Azure من خلال القضاء على تعرض البيانات إلى الإنترنت العام. يتطلب الرابط الخاص عنوان IP من الشبكة الافتراضية المحددة والشبكة الفرعية. Azure حاليا لا يدعم سياسات الشبكة على عناوين IP هذه، لذا يجب عليك تعطيل سياسات الشبكة الفرعية. لمزيد من المعلومات، راجع وثائق الرابط الخاص.

لماذا يتم نشر جهاز افتراضي بروكسي؟

عندما يكون جهاز افتراضي بدون عنوان IP عام خلف موازن تحميل داخلي، فإنه لا يملك وصولا للإنترنت. موازن التحميل المستخدم للشبكة الافتراضية هو داخلي. تسمح آلة الوكيل الافتراضية بالوصول إلى الإنترنت لجهاز البناء أثناء البناء، ويستخدم AIB جهاز الوكيل لإرسال الأوامر بين الخدمة وجهاز البناء. يمكنك استخدام مجموعات أمان الشبكة المرتبطة لتقييد الوصول إلى الآلات الافتراضية في البناء. تمر حركة المرور من ACI عبر الرابط الخاص إلى موازن الأحمال. يتواصل موازن التحميل مع الآلة الافتراضية الوكيل على المنفذ 60001 للينكس، أو المنفذ 60000 لويندوز. يقوم الوكيل بإعادة توجيه الأوامر إلى جهاز البناء على المنفذ 22 لنظام لينكس، أو المنفذ 5986 لويندوز. افتراضيا، حجم الوكيل الافتراضي المنشور هو A1_v2 القياسي، لكن يمكنك تغيير الحجم. للمزيد من التفاصيل، راجع مرجع القالب.

قائمة التحقق لاستخدام شبكتك الافتراضية

1. السماح ل Azure Load Balancer بالتواصل مع جهاز الوكيل الافتراضي في مجموعة أمن الشبكة.
   • Azure CLI example
   • مثال على PowerShell
2. قم بتعطيل سياسة الخدمة الخاصة على الشبكة الفرعية.
   • Azure CLI example
   • مثال على PowerShell
3. السماح لأداة VM Image Builder بإنشاء موازن حمل، وإضافة أجهزة افتراضية إلى الشبكة الافتراضية.
   • Azure CLI example
   • مثال على PowerShell
4. السماح لأداة بناء الصور الافتراضية بقراءة وكتابة صور المصدر، وإنشاء الصور.
   • Azure CLI example
   • مثال على PowerShell
5. تأكد من أنك تستخدم شبكة افتراضية في نفس المنطقة التي تستخدم فيها منطقة خدمة بناء الصور الافتراضية.

اعتبارات إضافية

الأذونات المطلوبة لشبكة افتراضية موجودة

يتطلب منشئ الصور الافتراضية أذونات محددة لاستخدام شبكة افتراضية موجودة. لمزيد من المعلومات، راجع تكوين صلاحيات Azure VM Image Builder باستخدام Azure CLI أو تكوين صلاحيات Azure VM Image Builder باستخدام PowerShell.

ملحوظة

يجب أن تكون الشبكة الافتراضية في نفس منطقة خدمة VM Image Builder.

مهم

تقوم خدمة Azure VM Image Builder بتعديل تكوين اتصال WinRM في جميع إصدارات ويندوز لاستخدام HTTPS على المنفذ 5986 بدلا من منفذ HTTP الافتراضي في 5985. يمكن أن يؤثر هذا التغيير في التكوين على سير العمل الذي يعتمد على التواصل مع WinRM.

نموذج الاتصال

لا يقوم AIB بنشر عنوان IP عام للاتصال المباشر، ومكون خدمة AIB الذي يعمل في اشتراك المنصة لا يمتلك اتصالا بالشبكة ب ACI أو بجهاز البناء الافتراضي. فقط مكون AIB الذي يعمل في ACI لديه اتصال بجهاز البناء الافتراضي لإجراء التخصيص.

تركيبات الشبكات الفرعية المدعومة

يمكنك تكوين كلا الشبكتين الفرعيتين (subnetId و containerInstanceSubnetId) أو فقط شبكة البناء الافتراضية (subnetId). لا يدعم تكوين يحدد فقط شبكة ACI الفرعية (containerInstanceSubnetId) الفرعية.

الخطوات التالية

نظرة عامة على Azure VM Image Builder