Sdílet prostřednictvím

Osvědčené postupy pro Azure VM Image Builder

  • Článek

Platí pro: ✔️ Virtuální počítače s Windows s Linuxem ✔️ ✔️ – Flexibilní škálovací sady Uniform Scale Sets ✔️

Tento článek popisuje osvědčené postupy, které je potřeba dodržovat při používání Azure VM Image Builderu (AIB).

  • Pokud chcete zabránit náhodnému odstranění šablon obrázků, použijte zámky prostředků na úrovni prostředku šablony obrázku. Další informace najdete v tématu Ochrana prostředků Azure pomocí zámku.
  • Podle doporučení pro spolehlivost AIB se ujistěte, že jsou šablony imagí nastavené pro zotavení po havárii.
  • Nastavte triggery AIB pro automatické opětovné sestavení imagí a jejich aktualizaci.
  • Povolte optimalizaci spouštění virtuálních počítačů v AIB a vylepšete dobu vytváření virtuálních počítačů.
  • Zadejte vlastní podsítě buildového virtuálního počítače a ACI pro přesnější kontrolu nad nasazením síťových prostředků souvisejících s AIB ve vašem předplatném. Určení těchto podsítí také vede k rychlejším časům sestavení imagí. Další informace o zadání těchto možností najdete v referenčních informacích k šablonám.
  • Dodržujte zásadu nejnižších oprávnění pro vaše prostředky AIB.
    • Šablona obrázku: Objekt zabezpečení, který má přístup k šabloně image, může spouštět, odstraňovat nebo manipulovat s ní. Tento přístup zase umožňuje objektu zabezpečení změnit image vytvořené touto šablonou image.
    • Přípravná skupina prostředků: AIB používá pracovní skupinu prostředků ve vašem předplatném k přizpůsobení image virtuálního počítače. Tuto skupinu prostředků musíte považovat za citlivou a omezit přístup k této skupině prostředků pouze na požadované objekty zabezpečení. Vzhledem k tomu, že proces přizpůsobení image probíhá v této skupině prostředků, může objekt zabezpečení s přístupem ke skupině prostředků ohrozit proces vytváření imagí – například vložením malwaru do image. AIB také deleguje oprávnění přidružená k identitě šablony a sestavení identity virtuálního počítače na prostředky v této skupině prostředků. Proto je objekt zabezpečení s přístupem ke skupině prostředků schopný získat přístup k těmto identitám. AIB dále udržuje kopii artefaktů úpravce v této skupině prostředků. Proto je objekt zabezpečení s přístupem ke skupině prostředků schopen tyto kopie zkontrolovat.
    • Identita šablony: Objekt zabezpečení s přístupem k identitě šablony má přístup ke všem prostředkům, ke kterým má identita oprávnění. To zahrnuje artefakty úpravce (například skripty prostředí a PowerShellu), vaše distribuční cíle (například verzi image galerie výpočetních prostředků Azure) a vaši virtuální síť. Proto musíte této identitě poskytnout pouze minimální požadovaná oprávnění.
    • Vytvoření identity virtuálního počítače: Objekt zabezpečení s přístupem k identitě sestavení virtuálního počítače má přístup ke všem prostředkům, ke kterým má identita oprávnění. To zahrnuje všechny artefakty a virtuální síť, které můžete používat z virtuálního počítače sestavení pomocí této identity. Proto musíte této identitě poskytnout pouze minimální požadovaná oprávnění.
  • Pokud distribuujete do Galerie výpočetních prostředků Azure (ACG), postupujte také podle osvědčených postupů pro prostředky ACG.