Možnosti sítě Azure VM Image Builderu

Platí pro: ✔️ Flexibilní škálovací sady virtuálních počítačů s ✔️ Linuxem

Pomocí Azure VM Image Builderu se rozhodnete nasadit službu s existující virtuální sítí nebo bez. Další podrobnosti o této volbě najdete v následujících částech.

Nasazení bez zadání existující virtuální sítě

Pokud nezadáte existující virtuální síť, vytvoří nástroj VM Image Builder v pracovní skupině prostředků společně s podsítí. Služba k omezení příchozího provozu používá prostředek veřejné IP adresy se skupinou zabezpečení sítě. Veřejná IP adresa usnadňuje kanál pro příkazy během sestavování image. Po dokončení sestavení se odstraní virtuální počítač, veřejná IP adresa, disky a virtuální síť. Pokud chcete tuto možnost použít, nezadávejte žádné vlastnosti virtuální sítě.

Nasazení pomocí existující virtuální sítě

Pokud zadáte virtuální síť a podsíť, nástroj VM Image Builder nasadí virtuální počítač sestavení do vámi zvolené virtuální sítě. Máte přístup k prostředkům, které jsou přístupné ve vaší virtuální síti. Můžete také vytvořit silovou virtuální síť, která není připojená k žádné jiné virtuální síti. Pokud zadáte virtuální síť, nástroj VM Image Builder nepoužije veřejnou IP adresu. Komunikace z VM Image Builderu do virtuálního počítače sestavení používá Azure Private Link.

Další informace najdete v jednom z následujících příkladů:

Azure Private Link poskytuje privátní připojení z virtuální sítě k platformě Azure jako služba (PaaS) nebo ke službám vlastněným zákazníkem nebo partnerským službám Microsoftu. Zjednodušuje architekturu sítě a zabezpečuje připojení mezi koncovými body v Azure tím, že eliminuje vystavení dat veřejnému internetu. Další informace najdete v dokumentaci k Private Link.

Požadovaná oprávnění pro existující virtuální síť

Nástroj VM Image Builder vyžaduje pro použití existující virtuální sítě specifická oprávnění. Další informace najdete v tématu Konfigurace oprávnění Azure VM Image Builderu pomocí Azure CLI nebo Konfigurace oprávnění Azure VM Image Builderu pomocí PowerShellu.

Co se nasadí během sestavování image?

Pokud používáte existující virtuální síť, nástroj VM Image Builder nasadí další virtuální počítač (virtuální počítač proxy) a nástroj pro vyrovnávání zatížení (Azure Load Balancer). Ty jsou připojené k Private Link. Provoz ze služby VM Image Builder prochází přes privátní propojení do nástroje pro vyrovnávání zatížení. Nástroj pro vyrovnávání zatížení komunikuje s proxy virtuálním počítačem pomocí portu 60001 pro Linux nebo portu 60000 pro Windows. Proxy přesměruje příkazy do virtuálního počítače sestavení pomocí portu 22 pro Linux nebo portu 5986 pro Windows.

Poznámka

Virtuální síť musí být ve stejné oblasti jako oblast služby VM Image Builder.

Důležité

Služba Azure VM Image Builder upraví konfiguraci připojení WinRM ve všech buildech Windows tak, aby používala https na portu 5986 místo výchozího portu HTTP na 5985. Tato změna konfigurace může mít vliv na pracovní postupy, které závisí na komunikaci WinRM.

Proč nasazovat proxy virtuální počítač?

Pokud se virtuální počítač bez veřejné IP adresy nachází za interním nástrojem pro vyrovnávání zatížení, nemá přístup k internetu. Nástroj pro vyrovnávání zatížení použitý pro virtuální síť je interní. Proxy virtuální počítač umožňuje přístup k internetu pro virtuální počítač sestavení během sestavování. K omezení přístupu k virtuálním počítačům sestavení můžete použít přidružené skupiny zabezpečení sítě.

Velikost virtuálního počítače nasazeného proxy serveru je kromě virtuálního počítače sestavení A1_v2 Standard. Služba VM Image Builder používá proxy virtuální počítač k odesílání příkazů mezi službou a sestavením virtuálního počítače. Vlastnosti virtuálního počítače proxy serveru nemůžete změnit (toto omezení zahrnuje velikost a operační systém).

Parametry šablony image pro podporu virtuální sítě

"VirtualNetworkConfig": {
        "name": "",
        "subnetName": "",
        "resourceGroupName": ""
        },
Nastavení Popis
name (Volitelné) Název existující virtuální sítě.
subnetName Název podsítě v zadané virtuální síti. Toto nastavení je nutné zadat pouze v případě, name že je zadané.
resourceGroupName Název skupiny prostředků obsahující zadanou virtuální síť. Toto nastavení je nutné zadat pouze v případě, name že je zadané.

Private Link vyžaduje IP adresu ze zadané virtuální sítě a podsítě. Azure v současné době nepodporuje zásady sítě na těchto IP adresách. Proto musíte zásady sítě v podsíti zakázat. Další informace najdete v dokumentaci k Private Link.

Kontrolní seznam pro používání virtuální sítě

  1. Povolte Azure Load Balancer komunikaci s virtuálním počítačem proxy ve skupině zabezpečení sítě.
  2. Zakažte zásady privátní služby v podsíti.
  3. Povolte nástroji VM Image Builder vytvořit nástroj pro vyrovnávání zatížení a přidat virtuální počítače do virtuální sítě.
  4. Povolte nástroji VM Image Builder číst a zapisovat zdrojové image a vytvářet image.
  5. Ujistěte se, že používáte virtuální síť ve stejné oblasti jako oblast služby VM Image Builder.

Další kroky

Přehled Azure VM Image Builderu