إنشاءات صور معزولة ل Azure VM Image Builder
تعد إصدارات الصور المعزولة ميزة من ميزات Azure VM Image Builder (AIB). وهو يقوم بنقل العملية الأساسية لتخصيص/التحقق من صحة صورة الجهاز الظاهري من البنية الأساسية للنظام الأساسي المشترك إلى موارد Azure Container Instances (ACI) المخصصة في اشتراكك، ما يوفر عزل الحوسبة والشبكة.
مزايا إنشاءات الصور المعزولة
تمكن إصدارات الصور المعزولة الدفاع في العمق عن طريق تقييد الوصول إلى الشبكة لجهازك الظاهري للبناء على اشتراكك فقط. كما توفر لك إصدارات الصور المعزولة المزيد من الشفافية من خلال السماح بفحص المعالجة التي يقوم بها AIB لتخصيص/التحقق من صحة صورة الجهاز الظاهري. علاوة على ذلك، تسهل Isolated Image Builds عرض سجلات البناء المباشر. على وجه التحديد:
عزل الحساب: تقوم "إصدارات الصور المعزولة" بتنفيذ جزء كبير من معالجة بناء الصور في موارد ACI في اشتراكك بدلا من موارد النظام الأساسي المشتركة ل AIB. يوفر ACI عزل hypervisor لكل مجموعة حاويات لضمان تشغيل الحاويات بشكل منفصل دون مشاركة نواة.
عزل الشبكة: تزيل إصدارات الصور المعزولة جميع اتصالات WinRM/ssh للشبكة المباشرة بين الجهاز الظاهري للبناء ومكونات الواجهة الخلفية لخدمة AIB.
- إذا كنت تقوم بتوفير قالب AIB بدون الشبكة الفرعية الخاصة بك لإنشاء الجهاز الظاهري، فلن يتم توفير مورد عنوان IP العام في مجموعة الموارد المرحلية في وقت إنشاء الصورة.
- إذا كنت تقوم بتوفير قالب AIB بشبكة فرعية موجودة لبناء الجهاز الظاهري، فلن تكون قناة الاتصال المستندة إلى Private Link أكثر إعدادا بين موارد النظام الأساسي الخلفي للبناء والواجهة الخلفية ل AIB. بدلا من ذلك، يتم إعداد قناة الاتصال بين ACI وموارد الجهاز الظاهري للبناء - وكلاهما موجود في مجموعة الموارد المرحلية في اشتراكك.
- بدءا من إصدار API 2024-02-01، يمكنك تحديد شبكة فرعية ثانية لنشر ACI بالإضافة إلى الشبكة الفرعية لإنشاء الجهاز الظاهري. إذا تم تحديده، يقوم AIB بنشر ACI على هذه الشبكة الفرعية وليس هناك حاجة ل AIB لإعداد قناة الاتصال المستندة إلى الارتباط الخاص بين ACI وبنية الجهاز الظاهري. لمزيد من المعلومات حول الشبكة الفرعية الثانية، راجع القسم هنا.
الشفافية: تم إنشاء AIB على HashiCorp Packer. تنفذ "إصدارات الصور المعزولة" Packer في ACI في اشتراكك، ما يسمح لك بفحص مورد ACI وحاوياته. وبالمثل، فإن وجود مسار اتصال الشبكة بأكمله في اشتراكك يسمح لك بفحص جميع موارد الشبكة وإعداداتها وبدلاتها.
عرض أفضل للسجلات المباشرة: يكتب AIB سجلات التخصيص إلى حساب تخزين في مجموعة الموارد المرحلية في اشتراكك. توفر إصدارات الصور المعزولة طريقة أخرى لاتباع نفس السجلات مباشرة في مدخل Microsoft Azure، والتي يمكن القيام بها عن طريق الانتقال إلى حاوية AIB في مورد ACI.
إشعار
للوصول إلى السجلات المباشرة أثناء إنشاء الصورة أو ملفات سجل التخصيص والتحقق من الصحة بعد اكتمال الإنشاء، يرجى الرجوع إلى دليل استكشاف الأخطاء وإصلاحها.
تخطيطات الشبكة
تقوم "إصدارات الصور المعزولة" بنشر ACI وبنية الجهاز الظاهري في كل من مجموعة الموارد المرحلية في اشتراكك. لكي يقوم AIB بتخصيص/التحقق من صحة صورتك، تحتاج مثيلات الحاوية التي تعمل في ACI إلى أن يكون لها مسار شبكة إلى الجهاز الظاهري للبناء. استنادا إلى احتياجات الشبكة المخصصة والنهج الخاصة بك، يمكنك تكوين AIB لاستخدام تخطيطات شبكة مختلفة لهذا الغرض:
لا تحضر الشبكة الفرعية الخاصة بك الخاصة ب Build VM
- يمكنك تحديد هذا المخطط عن طريق عدم تحديد
vnetConfig
الحقل في قالب الصورة أو عن طريق تحديد الحقل ولكن بدونsubnetId
والحقولcontainerInstanceSubnetId
الفرعية. - في هذه الحالة، ينشر AIB شبكة ظاهرية في مجموعة الموارد المرحلية جنبا إلى جنب مع شبكتين فرعيتين ومجموعات أمان الشبكة (NSGs). يتم استخدام إحدى الشبكات الفرعية لنشر ACI، بينما يتم استخدام الشبكة الفرعية الأخرى لنشر Build VM. تم إعداد مجموعات أمان الشبكة للسماح بالاتصال بين الشبكتين الفرعيتين.
- لا يقوم AIB بنشر مورد IP عام أو مسار اتصال مستند إلى ارتباط خاص في هذه الحالة.
جلب الشبكة الفرعية الخاصة بك بناء VM ولكن لا تجلب الشبكة الفرعية ACI الخاصة بك
- يمكنك تحديد هذا المخطط عن طريق تحديد
vnetConfig
الحقل معsubnetId
الحقل الفرعي، ولكن ليسcontainerInstanceSubnetId
الحقل الفرعي في قالب الصورة. - في هذه الحالة، ينشر AIB شبكة ظاهرية مؤقتة في مجموعة الموارد المرحلية جنبا إلى جنب مع شبكتين فرعيتين ومجموعات أمان الشبكة (NSGs). يتم استخدام إحدى الشبكات الفرعية لنشر ACI، بينما يتم استخدام الشبكة الفرعية الأخرى لنشر مورد نقطة النهاية الخاصة. يتم نشر الجهاز الظاهري للبناء في الشبكة الفرعية المحددة. يتم أيضا نشر مسار اتصال يستند إلى ارتباط خاص يتكون من نقطة نهاية خاصة وخدمة Private Link وAzure Load Balancer والجهاز الظاهري الوكيل في مجموعة الموارد المرحلية لتسهيل الاتصال بين الشبكة الفرعية ACI والشبكة الفرعية للجهاز الظاهري للبناء.
إحضار الشبكة الفرعية الخاصة بك بناء VM وجلب الشبكة الفرعية ACI الخاصة بك
- يمكنك تحديد هذا المخطط عن طريق تحديد
vnetConfig
الحقل جنبا إلى جنب معsubnetId
containerInstanceSubnetId
الحقول الفرعية في قالب الصورة. يتوفر هذا الخيار (والمخزنcontainerInstanceSubnetId
الفرعي ) بدءا من إصدار API 2024-02-01. يمكنك أيضا تحديث القوالب الموجودة لاستخدام هذا المخطط. - في هذه الحالة، ينشر AIB بناء VM إلى الشبكة الفرعية للجهاز الظاهري للبناء المحدد و ACI إلى شبكة ACI الفرعية المحددة.
- لا يقوم AIB بنشر أي من موارد الشبكات في مجموعة الموارد المرحلية بما في ذلك IP العام والشبكة الظاهرية والشبكات الفرعية ومجموعات أمان الشبكة ونقطة النهاية الخاصة وخدمة الارتباط الخاص وموازن تحميل Azure والجهاز الظاهري الوكيل. يمكن استخدام هذا المخطط إذا كانت لديك قيود على الحصة النسبية أو نهج لا تسمح بنشر هذه الموارد.
- يجب أن تفي الشبكة الفرعية ACI بشروط معينة للسماح باستخدامها مع Isolated Image Builds.
يمكنك الاطلاع على تفاصيل حول هذه الحقول في مرجع القالب. تتم مناقشة خيارات الشبكات بالتفصيل هنا.
التوافق مع الإصدارات السابقة
تعد إصدارات الصور المعزولة تغييرا على مستوى النظام الأساسي ولا يؤثر على واجهات AIB. لذلك، يستمر قالب الصورة الحالي وموارد المشغل في العمل ولا يوجد أي تغيير في الطريقة التي تنشر بها موارد جديدة من هذه الأنواع. تحتاج إلى إنشاء قوالب جديدة أو تحديث القوالب الموجودة إذا كنت تريد استخدام مخطط الشبكة مما يسمح بإحضار شبكة ACI الفرعية الخاصة بك.
يتم ترحيل إصدارات الصور تلقائيا إلى Isolated Image Builds ولا تحتاج إلى اتخاذ أي إجراء للاشتراك. أيضا، تستمر سجلات التخصيص في أن تكون متوفرة في حساب التخزين.
اعتمادا على مخطط الشبكة المحدد في قالب الصورة، قد تلاحظ ظهور بعض الموارد الجديدة مؤقتا في مجموعة الموارد المرحلية (على سبيل المثال، ACI والشبكة الظاهرية ومجموعة أمان الشبكة ونقطة النهاية الخاصة) بينما لم تعد بعض الموارد الأخرى تظهر (على سبيل المثال، عنوان IP العام). كما كان الحال سابقا، توجد هذه الموارد المؤقتة فقط أثناء الإنشاء ويحذفها AIB بعد ذلك.
هام
تأكد من تسجيل اشتراكك في Microsoft.ContainerInstance provider
:
- واجهة سطر الأوامر Azure CLI:
az provider register -n Microsoft.ContainerInstance
- PowerShell:
Register-AzResourceProvider -ProviderNamespace Microsoft.ContainerInstance
بعد تسجيل اشتراكك بنجاح، تأكد من عدم وجود نهج Azure في اشتراكك ترفض نشر موارد ACI. قد تتسبب النهج التي تسمح فقط بمجموعة مقيدة من أنواع الموارد التي لا تتضمن ACI في فشل إنشاءات الصور المعزولة.
تأكد من أن اشتراكك يحتوي أيضا على حصة نسبية كافية من الموارد المطلوبة لنشر موارد ACI.
هام
اعتمادا على تخطيط الشبكة المحدد في قالب الصورة، قد يحتاج AIB إلى نشر الموارد المؤقتة المتعلقة بالشبكات في مجموعة الموارد المرحلية في اشتراكك. تأكد من عدم رفض نهج Azure نشر مثل هذه الموارد (الشبكة الظاهرية مع الشبكات الفرعية، مجموعة أمان الشبكة، نقطة النهاية الخاصة) في مجموعة الموارد.
إذا كان لديك نهج Azure تطبق خطط حماية DDoS على أي شبكة ظاهرية تم إنشاؤها حديثا، فإما تخفيف النهج لمجموعة الموارد أو التأكد من أن الهوية المدارة للقالب لديها أذونات للانضمام إلى الخطة. بدلا من ذلك، يمكنك استخدام مخطط الشبكة الذي لا يتطلب نشر شبكة ظاهرية جديدة بواسطة AIB.
هام
تأكد من اتباع جميع أفضل الممارسات أثناء استخدام AIB.
إشعار
يقوم بنك AIB حاليا بنشر هذا التغيير على جميع المواقع والعملاء. قد تتغير بعض هذه التفاصيل (خاصة حول نشر الموارد الجديدة ذات الصلة بالشبكات) حيث يتم ضبط العملية بناء على بيانات تتبع الاستخدام للخدمة والملاحظات. للحصول على أي أخطاء، يرجى الرجوع إلى دليل استكشاف الأخطاء وإصلاحها.