Sdílet prostřednictvím

Izolované sestavení imagí pro Azure VM Image Builder

  • Článek

Izolované sestavení imagí je funkce Azure VM Image Builderu (AIB). Přechází základní proces přizpůsobení a ověřování imagí virtuálního počítače z infrastruktury sdílené platformy na vyhrazené prostředky Azure Container Instances (ACI) ve vašem předplatném a poskytuje izolaci výpočetních prostředků a sítí.

Výhody sestavení izolovaných imagí

Izolované sestavení imagí umožňují hloubkovou ochranu omezením síťového přístupu k virtuálnímu počítači buildu jenom na vaše předplatné. Izolované sestavení imagí také poskytují větší transparentnost tím, že umožňují kontrolu zpracování provedeného AIB přizpůsobit nebo ověřit image virtuálního počítače. Izolované sestavení imagí navíc usnadňuje prohlížení protokolů živého sestavení. Konkrétně:

  1. Izolace výpočetních prostředků: Sestavení izolovaných imagí provádí v prostředcích ACI ve vašem předplatném velkou část zpracování vytváření imagí místo prostředků sdílené platformy AIB. ACI pro každou skupinu kontejnerů poskytuje izolaci hypervisoru a zajišťuje tak, že kontejnery běží izolovaně, bez sdílení jádra.

  2. Izolace sítě: Sestavení izolovaných imagí odeberou veškerou přímou komunikaci WinRM/ssh mezi sestavením virtuálního počítače a back-endovými komponentami služby AIB.

    • Pokud pro sestavení virtuálního počítače zřizujete šablonu AIB bez vlastní podsítě, prostředek veřejné IP adresy už není ve vaší přípravné skupině prostředků v době sestavení image zřízený.
    • Pokud zřizujete šablonu AIB s existující podsítí pro sestavení virtuálního počítače, komunikační kanál založený na službě Private Link už není nastavený mezi prostředky back-endové platformy sestavení a AIB. Místo toho je komunikační kanál nastavený mezi ACI a prostředky buildového virtuálního počítače – oba se nacházejí v přípravné skupině prostředků ve vašem předplatném.
    • Počínaje rozhraním API verze 2024-02-01 můžete kromě podsítě pro sestavení virtuálního počítače zadat druhou podsíť pro nasazení ACI. Pokud je tato hodnota zadaná, AIB nasadí ACI do této podsítě a není potřeba nastavit komunikační kanál založený na službě Private Link mezi ACI a virtuálním počítačem sestavení. Další informace o druhé podsíti najdete v této části.

  3. Transparentnost: AIB je postaven na HashiCorp Packer. Izolované sestavení imagí spouští Packer v ACI ve vašem předplatném, což vám umožní zkontrolovat prostředek ACI a jeho kontejnery. Podobně můžete mít v předplatném celý komunikační kanál sítě, abyste zkontrolovali všechny síťové prostředky, jejich nastavení a příspěvky.

  4. Lepší zobrazení živých protokolů: AIB zapíše protokoly přizpůsobení do účtu úložiště v přípravné skupině prostředků ve vašem předplatném. Izolované sestavení imagí nabízí jiný způsob, jak sledovat stejné protokoly přímo na webu Azure Portal, které je možné provést přechodem do kontejneru AIB v prostředku ACI.

Topologie sítí

Izolované sestavení imagí nasadí ACI i virtuální počítač sestavení v přípravné skupině prostředků ve vašem předplatném. Aby služba AIB přizpůsobila nebo ověřila vaši image, instance kontejnerů spuštěné v ACI musí mít síťovou cestu k virtuálnímu počítači sestavení. Na základě vlastních potřeb a zásad sítě můžete AIB nakonfigurovat tak, aby pro tento účel používala různé síťové topologie:

Nepřineste si vlastní podsíť virtuálního počítače buildu

  • Tuto topologii můžete vybrat tak, že nezadáte vnetConfig pole v šabloně obrázku nebo zadáte pole, ale bez subnetId a containerInstanceSubnetId podsítě.
  • V tomto případě AIB nasadí virtuální síť do přípravné skupiny prostředků spolu se dvěma podsítěmi a skupinami zabezpečení sítě (NSG). Jedna z podsítí se používá k nasazení ACI, zatímco druhá podsíť se používá k nasazení virtuálního počítače sestavení. Skupiny zabezpečení sítě jsou nastavené tak, aby umožňovaly komunikaci mezi dvěma podsítěmi.
  • AIB v tomto případě nenasazuje prostředek veřejné IP adresy ani komunikační kanál založený na privátním propojení.

Přineste si vlastní podsíť virtuálního počítače buildu, ale nepřineste vlastní podsíť ACI

  • Tuto topologii můžete vybrat zadáním vnetConfig pole spolu s subnetId dílčím polem, ale nikoli containerInstanceSubnetId pod polem v šabloně obrázku.
  • V tomto případě AIB nasadí dočasnou virtuální síť do přípravné skupiny prostředků spolu se dvěma podsítěmi a skupinami zabezpečení sítě (NSG). Jedna z podsítí se používá k nasazení ACI, zatímco druhá podsíť se používá k nasazení prostředku privátního koncového bodu. Virtuální počítač sestavení se nasadí do zadané podsítě. Komunikační kanál založený na privátním propojení, který se skládá z privátního koncového bodu, služby Private Link, služby Azure Load Balanceru a virtuálního počítače proxy serveru, se také nasadí do přípravné skupiny prostředků, aby se usnadnila komunikace mezi podsítí ACI a podsítím virtuálního počítače sestavení.

Používání vlastní podsítě virtuálního počítače buildu a používání vlastní podsítě ACI

  • Tuto topologii můžete vybrat zadáním vnetConfig pole spolu s subnetIdcontainerInstanceSubnetId podpolemi v šabloně obrázku. Tato možnost (a dílčí pole containerInstanceSubnetId) je dostupná od verze rozhraní API 2024-02-02-01. Můžete také aktualizovat existující šablony tak, aby používaly tuto topologii.
  • V takovém případě AIB nasadí virtuální počítač sestavení do zadané podsítě virtuálního počítače sestavení a ACI do zadané podsítě ACI.
  • AIB nenasazuje žádné síťové prostředky v přípravné skupině prostředků, včetně veřejné IP adresy, virtuální sítě, podsítí, skupin zabezpečení sítě, privátního koncového bodu, služby Private Link, Nástroje pro vyrovnávání zatížení Azure a virtuálního počítače proxy serveru. Tuto topologii můžete použít, pokud máte omezení kvót nebo zásady, které nepovolují nasazení těchto prostředků.
  • Podsíť ACI musí splňovat určité podmínky, aby mohla používat se sestaveními izolovaných imagí.

Podrobnosti o těchto polích můžete zobrazit v odkazu na šablonu. Zde jsou podrobně popsány možnosti sítě.

Zpětná kompatibilita

Izolované sestavení imagí je změna na úrovni platformy a nemá vliv na rozhraní AIB. Vaše stávající prostředky šablony imagí a triggeru tedy nadále fungují a způsob, jakým nasazujete nové prostředky těchto typů, se nijak nemění. Pokud chcete použít síťovou topologii, která umožňuje používání vlastní podsítě ACI, musíte vytvořit nové šablony nebo aktualizovat existující šablony.

Sestavení imagí se automaticky migrují do buildů izolovaných imagí a k vyjádření výslovného souhlasu není nutné provádět žádnou akci. Protokoly přizpůsobení jsou také nadále dostupné v účtu úložiště.

V závislosti na síťové topologii zadané v šabloně image se může dočasně objevit několik nových prostředků v přípravné skupině prostředků (například ACI, Virtuální síť, Skupina zabezpečení sítě a privátní koncový bod), zatímco některé další prostředky se už nezobrazují (například veřejná IP adresa). Stejně jako dříve tyto dočasné prostředky existují pouze během sestavení a AIB je následně odstraní.

Důležité

Ujistěte se, že je vaše předplatné zaregistrované pro Microsoft.ContainerInstance provider:

  • Azure CLI: az provider register -n Microsoft.ContainerInstance
  • PowerShell: Register-AzResourceProvider -ProviderNamespace Microsoft.ContainerInstance

Po úspěšné registraci předplatného se ujistěte, že ve vašem předplatném nejsou žádné zásady Azure, které zakazují nasazení prostředků ACI. Zásady, které umožňují pouze omezenou sadu typů prostředků, které neobsahují ACI, způsobí selhání sestavení izolovaných imagí.

Ujistěte se, že vaše předplatné má také dostatečnou kvótu prostředků potřebných pro nasazení prostředků ACI.

Důležité

V závislosti na síťové topologii zadané v šabloně image může AIB potřebovat nasadit dočasné síťové prostředky související s přípravnou skupinou prostředků ve vašem předplatném. Ujistěte se, že žádné zásady Azure nezamítnou nasazení těchto prostředků (virtuální síť s podsítěmi, skupinou zabezpečení sítě, privátním koncovým bodem) ve skupině prostředků.

Pokud máte zásady Azure, které uplatňují plány ochrany před útoky DDoS na libovolnou nově vytvořenou virtuální síť, uvolněte zásady pro skupinu prostředků nebo se ujistěte, že spravovaná identita šablony má oprávnění k připojení k plánu. Alternativně můžete použít topologii sítě, která nevyžaduje nasazení nové virtuální sítě pomocí AIB.

Důležité

Při používání AIB se ujistěte, že dodržujete všechny osvědčené postupy .

Poznámka:

AIB právě zavádí tuto změnu pro všechna umístění a zákazníky. Některé z těchto podrobností (zejména v souvislosti s nasazením nových prostředků souvisejících se sítěmi) se můžou změnit, protože je proces vyladěný na základě telemetrie služeb a zpětné vazby. Případné chyby najdete v průvodci odstraňováním potíží.

Další kroky