Přehled Azure VM Image Builderu
Platí pro: ✔️ Virtuální počítače s Windows s Linuxem ✔️ ✔️ – Flexibilní škálovací sady Uniform Scale Sets ✔️
Pomocí standardizovaných imagí virtuálních počítačů může vaše organizace snadněji migrovat do cloudu a zajistit konzistenci v nasazeních. Obrázky obvykle zahrnují předdefinované zabezpečení, nastavení konfigurace a veškerý nezbytný software. Nastavení vlastního kanálu image vyžaduje čas, infrastrukturu a mnoho dalších podrobností. V Azure VM Image Builderu potřebujete vytvořit jenom konfiguraci, která popisuje vaši image, a odeslat ji do služby, kde je image vytvořená a distribuovaná.
Pomocí nástroje VM Image Builder můžete migrovat stávající kanál přizpůsobení image do Azure, když budete dál používat existující skripty, příkazy a procesy. Základní aplikace můžete integrovat do image virtuálního počítače, aby vaše virtuální počítače mohly po vytvoření imagí provádět úlohy. Můžete dokonce přidat konfigurace pro vytváření imagí pro Azure Virtual Desktop, jako virtuální pevné disky (VHD) pro použití ve službě Azure Stack nebo pro snadné exportování.
VM Image Builder umožňuje začít s imagemi Windows nebo Linuxu z Azure Marketplace nebo jako existujícími vlastními imagemi a pak přidat vlastní vlastní nastavení. Můžete také určit, kde se mají výsledné image hostovat v Galerii výpočetních prostředků Azure (dříve Sdílená galerie imagí), jako spravované image nebo jako virtuální pevné disky.
Funkce
I když je možné vytvářet vlastní image virtuálních počítačů ručně nebo jinými nástroji, může být proces těžkopádný a nespolehlivý. VM Image Builder, který je založený na HashiCorp Packeru, poskytuje výhody spravované služby.
Jednoduchost
Pokud chcete snížit složitost vytváření imagí virtuálních počítačů, v Nástroji image virtuálního počítače:
Odebere potřebu použití složitých nástrojů, procesů a ručních kroků k vytvoření image virtuálního počítače. VM Image Builder abstrahuje všechny tyto podrobnosti a skryje požadavky specifické pro Azure, jako je potřeba zobecnit image (Sysprep). A poskytuje pokročilejším uživatelům možnost přepsat tyto požadavky.
Lze integrovat se stávajícími kanály buildu image pro prostředí klikni a pokračujte. K tomu můžete buď volat Image Builder virtuálního počítače z kanálu, nebo použít úlohu DevOps služby Azure VM Image Builder (Preview).
Může načíst data přizpůsobení z různých zdrojů, což eliminuje potřebu je shromažďovat všechny z jednoho místa.
Je možné integrovat se službou Compute Gallery, která vytvoří systém pro správu imagí, pomocí kterého se budou distribuovat, replikovat, verze a škálovat image globálně. Kromě toho můžete distribuovat stejnou výslednou image jako virtuální pevný disk nebo jednu nebo více spravovaných imagí, aniž byste je museli znovu sestavit úplně od začátku.
Infrastruktura jako kód
V nástroji VM Image Builder není potřeba spravovat dlouhodobou infrastrukturu (například účty úložiště, které obsahují data přizpůsobení) nebo přechodná infrastruktura (například dočasné virtuální počítače pro vytváření imagí).
Image Builder virtuálního počítače ukládá artefakty sestavení image virtuálního počítače jako prostředky Azure. Tato funkce eliminuje potřebu udržovat offline definice i riziko odchylek prostředí, které jsou způsobeny náhodnými odstraněními nebo aktualizacemi.
Zabezpečení
Pokud chcete zajistit zabezpečení imagí, VM Image Builder:
Umožňuje vytvářet základní image (tj. minimální zabezpečení a podnikové konfigurace) a umožnit dalším oddělením jejich další přizpůsobení. Tyto image můžete zabezpečit a dodržovat předpisy pomocí nástroje VM Image Builder k rychlému opětovnému sestavení zlaté image, která používá nejnovější opravenou verzi zdrojové image. VM Image Builder také usnadňuje vytváření imagí, které splňují standardní hodnoty zabezpečení Azure Windows. Další informace najdete v tématu VM Image Builder – šablona standardních hodnot Windows.
Umožňuje načíst artefakty vlastního nastavení, aniž byste je museli veřejně zpřístupnit. VM Image Builder může k načtení těchto prostředků použít spravovanou identitu Azure a pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete omezit oprávnění této identity tak úzce, jak je potřeba. Artefakty můžete udržovat v tajnosti a zabránit manipulaci neoprávněnými aktéry.
Bezpečně ukládá kopie artefaktů přizpůsobení, přechodných výpočetních prostředků a prostředků úložiště a jejich výsledných imagí v rámci vašeho předplatného, protože přístup řídí Azure RBAC. Tato úroveň zabezpečení, která platí také pro virtuální počítač sestavení, který se používá k vytvoření přizpůsobené image, pomáhá zabránit kopírování skriptů přizpůsobení a souborů do neznámého virtuálního počítače v neznámém předplatném. A můžete dosáhnout vysokého stupně oddělení od úloh jiných zákazníků pomocí nabídek izolovaných virtuálních počítačů pro virtuální počítač sestavení.
Umožňuje připojit VM Image Builder ke stávajícím virtuálním sítím, abyste mohli komunikovat se stávajícími konfiguračními servery, jako je DSC (server vyžádané vyžádání konfigurace stavu), Chef a Puppet, sdílené složky nebo jakékoli jiné směrovatelné servery a služby.
Je možné nakonfigurovat přiřazení identit přiřazených uživatelem k virtuálnímu počítači sestavení VM Image Builderu (to znamená virtuální počítač, který služba Image Builder virtuálního počítače vytvoří ve vašem předplatném a používá k sestavení a přizpůsobení image). Tyto identity pak můžete použít v době přizpůsobení pro přístup k prostředkům Azure, včetně tajných kódů, ve vašem předplatném. K těmto prostředkům není potřeba přiřazovat přímý přístup k Image Builderu virtuálního počítače.
Oblasti
Služba VM Image Builder je dostupná v následujících oblastech:
Poznámka:
Image můžete dál distribuovat mimo tyto oblasti.
- East US
- USA – východ 2
- Středozápad USA
- USA – západ
- Západní USA 2
- USA – západ 3
- Středojižní USA
- Severní Evropa
- West Europe
- Jihovýchodní Asie
- Austrálie – jihovýchod
- Austrálie – východ
- Spojené království – jih
- Spojené království – západ
- Brazílie – jih
- Střední Kanada
- Indie – střed
- USA – střed
- Francie – střed
- Německo – středozápad
- Japonsko – východ
- USA – středosever
- Norsko – východ
- Švýcarsko – sever
- Jio – západní Indie
- Spojené arabské emiráty – sever
- Východní Asie
- Jižní Korea – střed
- Jižní Afrika – sever
- Střední Katar
- USGov Arizona (Public Preview)
- USGov Virginia (Public Preview)
- Čína – sever 3 (veřejná verze Preview)
- Švédsko – střed
- Střední Polsko
- Itálie - sever
Pokud chcete získat přístup k veřejné verzi Preview Nástroje image virtuálního počítače Azure v oblastech Fairfax (USGov Arizona a USGov Virginia), musíte zaregistrovat funkci Microsoft.VirtualMachineImages/FairfaxPublicPreview . Uděláte to tak, že v PowerShellu nebo Azure CLI spustíte následující příkaz:
Register-AzProviderPreviewFeature -ProviderNamespace Microsoft.VirtualMachineImages -Name FairfaxPublicPreview
Pokud chcete získat přístup k veřejné verzi Preview Image Builderu virtuálního počítače Azure v oblasti Čína – sever 3, musíte zaregistrovat funkci Microsoft.VirtualMachineImages/MooncakePublicPreview . Uděláte to tak, že v PowerShellu nebo Azure CLI spustíte následující příkaz:
Register-AzProviderPreviewFeature -ProviderNamespace Microsoft.VirtualMachineImages -Name MooncakePublicPreview
Podpora operačního systému
Image Builder virtuálního počítače je navržený tak, aby fungoval se všemi imagemi základního operačního systému Azure Marketplace.
Poznámka:
K březnu 2023 teď můžete na portálu použít službu Azure Image Builder. Začněte se sestavováním a ověřováním vlastních imagí na portálu.
Podpora důvěrných virtuálních počítačů a důvěryhodných spuštění
VM Image Builder má rozšířenou podporu pro image TrustedLaunchSupported a ConfidentialVMSupported s určitými omezeními. Níže je seznam omezení:
| Typ zabezpečení | Stav podpory |
|---|---|
| TrustedLaunchSupported | Podpora jako zdrojové image pro sestavení imagí |
| ConfidentialVMSupported | Podpora jako zdrojové image pro sestavení imagí |
| TrustedLaunch | Nepodporuje se jako zdrojová image. |
| Důvěrné virtuální počítače | Nepodporuje se jako zdrojová image. |
Poznámka:
Při použití imagí TrustedLaunchSupported je důležité, aby byl zdroj a distribuce podporovány. Pokud je zdroj normální a distribuce je TrustedLaunchSupported, nebo pokud je zdroj TrustedLaunchSupported a distribuce je normální Gen2, není podporována.
Jak to funguje
VM Image Builder je plně spravovaná služba Azure, která je přístupná poskytovatelům prostředků Azure. Poskytovatelé prostředků ji nakonfigurují zadáním zdrojové image, vlastního nastavení, které se má provést a kde se má nová image distribuovat. Pracovní postup vysoké úrovně je znázorněný v následujícím diagramu:
Konfigurace šablon můžete předat pomocí Azure PowerShellu, Azure CLI nebo šablon Azure Resource Manageru nebo pomocí úlohy DevOps VM Image Builderu. Když odešlete konfiguraci do služby, Azure vytvoří prostředek šablony image. Po vytvoření prostředku šablony obrázku se ve vašem předplatném vytvoří přípravná skupina prostředků v následujícím formátu: IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID) Přípravná skupina prostředků obsahuje soubory a skripty, na které se odkazuje v nastavení File, Shell a PowerShell ve vlastnosti ScriptURI.
Sestavení spustíte tak, že vyvoláte Run prostředek šablony Image Builderu virtuálního počítače. Služba pak nasadí další prostředky pro sestavení, jako je virtuální počítač, síť, disk a síťový adaptér.
Pokud vytvoříte image bez použití existující virtuální sítě, nástroj Image Builder virtuálního počítače nasadí také veřejnou IP adresu a skupinu zabezpečení sítě a připojí se k virtuálnímu počítači sestavení pomocí protokolu Secure Shell (SSH) nebo Windows Remote Management (WinRM).
Pokud vyberete existující virtuální síť, služba se nasadí přes Azure Private Link a nevyžaduje se veřejná IP adresa. Další informace najdete v tématu Přehled sítí VM Image Builderu.
Po dokončení sestavení se odstraní všechny prostředky s výjimkou přípravné skupiny prostředků a účtu úložiště. Můžete je odebrat odstraněním prostředku šablony image nebo je nechat na místě, aby se sestavení spustilo znovu.
V několika příkladech najdete podrobné příručky, šablony konfigurace a řešení, které najdete v úložišti GitHub v Nástroji image virtuálního počítače.
Přesun podpory
Prostředek šablony obrázku je neměnný a obsahuje odkazy na prostředky a pracovní skupinu prostředků. Tento typ prostředku proto nepodporuje přesun.
Pokud chcete přesunout prostředek šablony image, ujistěte se, že máte kopii konfigurační šablony, nebo pokud nemáte kopii, extrahujte z prostředku existující konfiguraci. Potom vytvořte nový prostředek šablony image v nové skupině prostředků s novým názvem a odstraňte předchozí prostředek šablony obrázku.
Oprávnění
Když zaregistrujete službu VM Image Builder, udělujete službě oprávnění k vytváření, správě a odstraňování pracovní skupiny prostředků, která má předponu IT_*. A máte práva k jeho přidání do všech prostředků, které jsou potřeba pro sestavení image. K tomu dochází, protože po úspěšné registraci se ve vašem předplatném zpřístupní hlavní název instančního objektu VM Image Builderu.
Pokud chcete službě VM Image Builder povolit distribuci imagí do spravovaných imagí nebo do galerie výpočetních prostředků, musíte vytvořit identitu přiřazenou uživatelem Azure, která má oprávnění ke čtení a zápisu imagí. Pokud přistupujete ke službě Azure Storage, budete potřebovat oprávnění ke čtení privátních a veřejných kontejnerů.
V rozhraní API verze 2021-10-01 a novějších podporuje Image Builder virtuálních počítačů přidání identit přiřazených uživatelem Azure do buildového virtuálního počítače, abyste umožnili scénáře, ve kterých potřebujete ověřit služby, jako je Azure Key Vault ve vašem předplatném.
Další informace o oprávněních najdete v tématu
- Konfigurace oprávnění Tvůrce imagí virtuálního počítače pomocí PowerShellu
- Konfigurace oprávnění VM Image Builderu pomocí Azure CLI
- Vytvoření šablony Image Builderu virtuálního počítače
Náklady
Při vytváření, sestavování a ukládání imagí pomocí Nástroje image virtuálního počítače se vám budou účtují určité náklady na výpočetní prostředky, sítě a úložiště. Tyto náklady se podobají nákladům, které se vám účtují při ručním vytváření vlastních imagí. Vaše prostředky se účtují podle tarifů Azure.
Poznámka:
Služba Azure Image Builder v současné době nepodporuje Zvýhodněné hybridní využití Azure pro Windows Server.
Během procesu vytváření image se soubory stáhnou a uloží ve IT_<DestinationResourceGroup>_<TemplateName> skupině prostředků, což způsobuje malé náklady na úložiště. Pokud tyto soubory nechcete zachovat, odstraňte šablonu obrázku po vytvoření image.
Image Builder virtuálních počítačů vytvoří virtuální počítač s použitím výchozí velikosti Standard_D1_v2 virtuálních počítačů pro image Gen1 a Standard_D2ds_v4 pro image Gen2 spolu s úložištěm a sítěmi, které jsou pro virtuální počítač potřeba. Tyto prostředky trvají po dobu trvání procesu sestavení a jsou odstraněny po dokončení vytváření image VM Image Builderu.
Image Builder virtuálního počítače distribuuje image do vybraných oblastí, což může způsobovat poplatky za výchozí přenos dat sítě.
Generování Technologie Hyper-V
Image Builder virtuálních počítačů v současné době podporuje vytváření imagí Hyper-V Gen1 a Gen2 ve výpočetní galerii a jako spravované image nebo virtuální pevné disky. Mějte na paměti, že distribuovaná image je vždy ve stejné generaci jako poskytnutá image.
V případě imagí Gen2 se ujistěte, že používáte správnou skladovou položku. Například skladová položka pro image Ubuntu Serveru 18.04 Gen2 by byla 18_04-lts-gen2. Skladová položka pro image Ubuntu Serveru 18.04 Gen1 by byla 18.04 lts.
Tady je postup, jak najít skladové položky založené na vydavateli image:
# Find all Gen2 SKUs published by Microsoft Windows Desktop
az vm image list --publisher MicrosoftWindowsDesktop --sku g2 --output table --all
# Find all Gen2 SKUs published by Canonical
az vm image list --publisher Canonical --sku gen2 --output table --all
Další informace o imagích virtuálních počítačů Azure, které podporují Gen2, najdete v tématu Image virtuálních počítačů Gen2 na Azure Marketplace.
Další kroky
Pokud si chcete vyzkoušet Image Builder virtuálního počítače, přečtěte si články o vytváření imagí Linuxu nebo Windows .