Vytvoření virtuálního počítače pomocí schválené základny
Tento článek popisuje, jak pomocí Azure vytvořit virtuální počítač obsahující předem nakonfigurovaný schválený operační systém. Pokud to není kompatibilní s vaším řešením, je možné vytvořit a nakonfigurovat místní virtuální počítač pomocí schváleného operačního systému.
Poznámka:
Než začnete s tímto postupem, projděte si technické požadavky na nabídky virtuálních počítačů Azure, včetně požadavků na virtuální pevný disk (VHD).
Výběr schválené základní image
Jako základ vyberte jednu z následujících imagí windows nebo Linuxu.
Windows
- Windows Server
- SQL Server 2019, 2014, 2012
- Windows 11 Enterprise (tato základní image je schválená pouze pro použití s Microsoft Dev Boxem)
Linux
Azure nabízí celou řadu schválených linuxových distribucí. Aktuální seznam najdete v Linuxu v distribucích schválených v Azure.
Vytvoření virtuálního počítače na webu Azure Portal
- Přihlaste se k portálu Azure.
- Vyberte Virtuální počítače.
- V rozevírací nabídce vyberte + Vytvořit a + Virtuální počítač a otevřete obrazovku Vytvořit virtuální počítač .
- Vyberte image z rozevíracího seznamu nebo vyberte Zobrazit všechny image a vyhledejte nebo projděte všechny dostupné image virtuálních počítačů. V závislosti na vybrané imagi můžete také nakonfigurovat generování virtuálního počítače vaší image.
- Zvolte velikost nasazovaného virtuálního počítače.
- Zadejte další požadované podrobnosti k vytvoření virtuálního počítače.
- Výběrem možnosti Zkontrolovat a vytvořit zkontrolujte své volby. Jakmile se zobrazí zpráva o úspěšném ověření, vyberte Vytvořit.
Azure začne zřizovat zadaný virtuální počítač. Průběh můžete sledovat tak , že v nabídce vlevo vyberete kartu Virtuální počítače . Po vytvoření se stav virtuálního počítače změní na Spuštěno.
Nakonfigurování virtuálního počítače
Tato část popisuje velikost, aktualizaci a generalizaci virtuálního počítače Azure. Tyto kroky jsou nezbytné k přípravě vašeho virtuálního počítače na nasazení na Azure Marketplace.
Připojení k virtuálnímu počítači
Informace o připojení k virtuálnímu počítači s Windows nebo Linuxem najdete v následující dokumentaci.
Instalace nejnovějších aktualizací
Základní image virtuálních počítačů s operačním systémem musí obsahovat nejnovější aktualizace do data publikování. Před publikováním se ujistěte, že jste aktualizovali operační systém a všechny nainstalované služby s nejnovějšími opravami zabezpečení a údržby.
- Pro Windows Server spusťte příkaz Vyhledat aktualizace.
- V případě linuxových distribucí se aktualizace běžně stahují a instalují prostřednictvím nástroje příkazového řádku nebo grafického nástroje. Například Ubuntu Linux poskytuje příkaz apt-get a nástroj Update Manager pro aktualizaci operačního systému.
Provádění dalších kontrol zabezpečení
Udržujte vysokou úroveň zabezpečení imagí řešení na Azure Marketplace. Kontrolní seznam konfigurací a postupů zabezpečení najdete v tématu Doporučení zabezpečení pro image z Azure Marketplace.
Přizpůsobení image virtuálního počítače
Teď nainstalujte potřebný software a proveďte na virtuálním počítači všechny vlastní změny konfigurace, aby řešení fungovalo správně, včetně všech naplánovaných úloh, které je potřeba spustit po nasazení. Při prováděnívlastníchch
- Pokud se jedná o naplánovanou úlohu spouštěnou jednou, měla by se úloha po úspěšném dokončení odstranit.
- Konfigurace by neměly spoléhat na jiné jednotky než C nebo D, protože vždy existují pouze tyto dvě jednotky (jednotka C je disk operačního systému a jednotka D je dočasný místní disk).
- Proveďte všechny změny technické konfigurace potřebné pro vaše řešení. Později označíte konfigurace, které provedete na virtuálním počítači, v části Vlastnosti na stránce Technická konfigurace v Partnerském centru. Zobrazí se zákazníkům, které scénáře jsou podporované na základě změn konfigurace, které teď provedete. Během publikování vyberte následující vlastnosti technické konfigurace:
- Podporuje zálohování.
- Podporuje akcelerované síťové služby.
- Podporuje konfiguraci cloud-init.
- Podporuje rozšíření.
- Je síťové virtuální zařízení
- Vzdálená plocha nebo SSH je zakázaná
- Vyžaduje vlastní šablonu ARM.
Další informace o přizpůsobení Linuxu najdete v tématu Rozšíření a funkce virtuálních počítačů pro Linux.
Zobecnění image
Všechny image na Azure Marketplace musí být opakovaně použitelné obecným způsobem. Aby toho bylo dosaženo, musí být Zobecněn virtuální pevný disk operačního systému, což je operace, která z virtuálního počítače odebere všechny identifikátory a softwarové ovladače specifické pro instanci.
Pro Windows
Disky s operačním systémem Windows jsou generalizovány nástrojem sysprep . Pokud později aktualizujete nebo znovu nakonfigurujete operační systém, musíte znovu spustit nástroj sysprep.
Upozorňující
Po spuštění nástroje Sysprep vypněte virtuální počítač, dokud se nenasadí, protože aktualizace se můžou spouštět automaticky. Toto vypnutí zabrání následným aktualizacím v provádění změn specifických pro instanci operačního systému nebo nainstalovaných služeb. Další informace o spuštění nástroje Sysprep naleznete v tématu Generalizace virtuálního počítače s Windows.
Poznámka:
Pokud máte v předplatném, ve kterém vytváříte virtuální počítač, který se má zachytit, povolený Microsoft Defender for Cloud (Azure Defender) a nechcete, aby se na portálu Defender for Endpoint zaregistroval žádný virtuální počítač vytvořený z této image, zajistěte, abyste v předplatném nebo samotném virtuálním počítači zakázali Microsoft Defender for Cloud. Pokud tato možnost není zakázaná, všechny virtuální počítače vytvořené z této image se zaregistrují na portálu Defender for Endpoint, i když je virtuální počítač nasazený do jiného tenanta bez Microsoft Defenderu pro cloud.
Pro Linux
Odeberte agenta Azure s Linuxem.
- Připojte se k virtuálnímu počítači s Linuxem pomocí klienta SSH.
- V okně SSH zadejte tento příkaz:
sudo waagent –deprovision+user
. - Pokračujte zadáním Y (můžete přidat parametr -force do předchozího příkazu, abyste se vyhnuli kroku potvrzení).
- Po dokončení příkazu zadejte Exit a zavřete klienta SSH.
Pokud je na vaší imagi nainstalovaný Microsoft Defender for Endpoint (MDE), odinstalujte MDE spuštěním následujících příkazů v závislosti na operačním systému image:
RHEL, CentOS a Oracle:
sudo yum remove mdatp
SLES a varianty:
sudo zypper remove mdatp
Ubuntu a Debian:
sudo apt-get purge mdatp
Námořník:
sudo dnf remove mdatp
Zastavte virtuální počítač.
- Na webu Azure Portal vyberte skupinu prostředků (RG) a zrušte přidělení virtuálního počítače.
- Váš virtuální počítač se teď zobecní a pomocí tohoto disku virtuálního počítače můžete vytvořit nový virtuální počítač.
Zachycení obrázku
Poznámka:
Předplatné Azure obsahující galerii výpočetních prostředků Azure musí být k publikování ve stejném tenantovi jako účet vydavatele. Účet vydavatele musí mít také alespoň přístup přispěvatele k předplatnému, které obsahuje Galerii výpočetních prostředků Azure.
Jakmile je virtuální počítač připravený, můžete ho zachytit v Galerii výpočetních prostředků Azure (dříve označované jako Sdílená galerie imagí). K zachycení postupujte podle následujících kroků:
- Na webu Azure Portal přejděte na stránku virtuálního počítače.
- Vyberte Zachytit.
- V části Sdílet image do Galerie výpočetních prostředků Azure vyberte Ano, nasdílejte ji do galerie jako verzi image.
- V části Stav operačního systému vyberte Generalized (Generalized).
- Vyberte galerii cílových imagí nebo Vytvořte novou.
- Vyberte definici cílové image nebo vytvořte novou.
- Zadejte číslo verze image.
- Výběrem možnosti Zkontrolovat a vytvořit zkontrolujte své volby.
- Po úspěšném ověření vyberte Vytvořit.
Poskytnutí partnerského centra s oprávněním k galerii azure Compute
Publikování imagí virtuálních počítačů na Azure Marketplace z Galerie výpočetních prostředků Azure vyžaduje, abyste nastavili oprávnění, aby Partnerské centrum mohl získat image hostované v galerii.
Důležité
Microsoft přechází na proces získávání imagí z galerie výpočetních prostředků na bezpečnější proces. Pokud chcete pokračovat v aktualizaci nabídek virtuálních počítačů, pomocí následujícího postupu se ujistěte, že následující aplikace Microsoftu mají udělený přístup. Tyto kroky je nutné provést jednou pro každou galerii výpočetních prostředků použitou k publikování na Azure Marketplace.
Požadavky
Pokud chcete partnerskému centru udělit oprávnění, musíte zajistit splnění následujících požadavků:
- Vaše galerie služby Azure Compute musí být ve stejném tenantovi Microsoft Entra, který je propojený s vaším účtem v Partnerském centru.
- Musíte být vlastníkem předplatného, ve kterém se nachází galerie výpočetních prostředků.
Tip
Doporučujeme použít vyhrazenou výpočetní galerii pro účely publikování do Partnerského centra a udělit oprávnění pouze této vyhrazené galerii. Oprávnění na úrovni předplatného nemusíte udělovat.
Krok 1: Zřízení instančních objektů
Nejprve musíte zřídit instanční objekty ve vašem předplatném Azure, které se provádí registrací poskytovatele prostředků Partnerského centra Microsoftu. Instanční objekt je identita, která se pak použije k poskytování partnerského centra s přístupem k vaší výpočetní galerii pro získání imagí. Tento krok neuděluje přístup.
PowerShell
# Connect to your Azure account
Connect-AzAccount
# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
Set-AzContext -Subscription <SubscriptionId>
# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant.
Register-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion
# Ensure the Resource Principal is registered successfully.
Get-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion
Azure CLI
# Connect to your Azure account
Az login
# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
az account set --subscription <subscriptionId>
# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant.
az provider register --namespace
# Ensure the Resource Principal is registered successfully.
az provider show --namespace Microsoft.PartnerCenterIngestion
Krok 2: Udělení přístupu k Partnerskému centru ke službě Azure Compute Gallery
Po zřízení instančních objektů musí být udělena explicitní oprávnění ke čtení imagí z konkrétní výpočetní galerie. Partnerské centrum probíhá v procesu přechodu na bezpečnější proces pro získání imagí. Během tohoto přechodu vás požádáme, abyste dočasně udělili přístup ke dvěma aplikacím Microsoftu, abyste mohli pokračovat v aktualizaci nabídek virtuálních počítačů.
PowerShell
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
Get-AzGallery -ResourceGroupName <resource-group> -GalleryName <gallery-name>
# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
Get-AzADServicePrincipal -SearchString "Microsoft Partner Center Resource Provider"
# Create a role assignment to the first Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id1> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>
# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
Get-AzADServicePrincipal -SearchString "Compute Image Registry"
# Create a role assignment to the second Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id2> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>
Azure CLI
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
az sig show --resource-group <resource-group> --gallery-name <gallery-name>
# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
az ad sp list --display-name "Microsoft Partner Center Resource Provider" --query '[].id'
# Create a role assignment to the first Microsoft application.
az role assignment create --assignee-object-id <sp-id1> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>
# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
az ad sp list --display-name "Compute Image Registry" --query '[].id'
# Create a role assignment to the second Microsoft application.
az role assignment create --assignee-object-id <sp-id2> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>
portál Azure
Lo gin na webu Azure Portal
Přejděte do galerie výpočetních prostředků Azure, která obsahuje image virtuálního počítače.
V Galerii výpočetních prostředků Azure přejděte na kartu Řízení přístupu.
Vyberte Přidat>Přidat přiřazení role.
Vyberte čtenář imagí výpočetní galerie rolí a klikněte na Další.
Vyberte, pokud chcete přiřadit přístup k uživateli, skupině nebo instančnímu objektu.
Klikněte na + Vybrat členy a vyhledejte a vyberte instanční objekty "Poskytovatel prostředků Partnerského centra Microsoftu" a "Registr výpočetních imagí". Klikněte na tlačítko Další.
Klikněte na Zkontrolovat a přiřadit.
Související obsah
- Doporučený další krok: Otestujte image virtuálního počítače, abyste měli jistotu, že splňuje požadavky na publikování na Azure Marketplace. Tato položka je nepovinná.
- Pokud image virtuálního počítače nechcete otestovat, přihlaste se do Partnerského centra a publikujte image.
- Pokud jste narazili na potíže s vytvořením nového virtuálního pevného disku založeného na Azure, přečtěte si nejčastější dotazy k virtuálním počítačům pro Azure Marketplace.