Netzwerkoptionen des Azure VM Image Builder
Gilt für: ✔️ Linux-VMs ✔️ Flexible Skalierungsgruppen
Mit Azure VM Image Builder stellen Sie den Dienst mit oder ohne vorhandenes virtuelles Netzwerk bereit. In den folgenden Abschnitten finden Sie weitere Informationen zu dieser Auswahl.
Bereitstellen ohne Angabe eines vorhandenen virtuellen Netzwerks
Wenn Sie kein vorhandenes virtuelles Netzwerk angeben, erstellt VM Image Builder eine, zusammen mit einem Subnetz, in der Stagingressourcengruppe. Der Dienst verwendet eine öffentliche IP-Ressource mit einer Netzwerksicherheitsgruppe, um eingehenden Datenverkehr einzuschränken. Die öffentliche IP ermöglicht den Kanal für Befehle während der Image-Erstellung. Nach Abschluss des Builds werden die virtuellen Computer (VM), öffentliche IP, Datenträger und virtuelles Netzwerk gelöscht. Um diese Option zu verwenden, geben Sie keine virtuellen Netzwerkeigenschaften an.
Bereitstellung mithilfe eines vorhandenen VNETs
Wenn Sie ein virtuelles Netzwerk und ein Subnetz angeben, stellt VM Image Builder die erstellte VM in dem von Ihnen gewählten virtuellen Netzwerk bereit. Sie können auf Ressourcen zugreifen, die in Ihrem virtuellen Netzwerk verfügbar sind. Sie können auch ein isoliertes virtuelles Netzwerk erstellen, das mit keinem anderen virtuellen Netzwerk verbunden ist. Wenn Sie ein virtuelles Netzwerk angeben, verwendet VM Image Builder keine öffentliche IP-Adresse. Die Kommunikation zwischen VM Image Builder und der erstellten virtuellen Maschine erfolgt über Azure Private Link.
Weitere Informationen finden Sie in einem der folgenden Beispiele:
- Verwenden von Azure VM Image Builder für Windows-VMs mit Zugriff auf ein vorhandenes virtuelles Azure Netzwerk
- Verwenden von Azure VM Image Builder für Linux-VMs mit Zugriff auf ein vorhandenes virtuelles Azure Netzwerk
Was ist Azure Private Link?
Azure Private Link stellt eine private Verbindung zwischen einem virtuellen Netzwerk und Azure-PaaS-Diensten (Platform-as-a-Service), oder zu kundeneigenen Diensten oder Diensten von Microsoft-Partnern her. Dadurch wird die Netzwerkarchitektur vereinfacht und die Verbindung zwischen Endpunkten in Azure wird geschützt, indem die Offenlegung von Daten im öffentlichen Internet verhindert wird. Weitere Informationen finden Sie in der Dokumentation zu Private Link.
Erforderliche Berechtigungen für ein vorhandenes virtuelles Netzwerk
VM Image Builder erfordert spezifische Berechtigungen für die Verwendung eines vorhandenen virtuelles Netzwerk. Weitere Informationen finden Sie unter Konfigurieren der Azure VM Image Builder-Berechtigungen mithilfe der Azure CLI oder Konfigurieren der Azure VM Image Builder-Berechtigungen mithilfe der PowerShell.
Was wird während einer Imageerstellung bereitgestellt?
Wenn Sie ein vorhandenes virtuelles Netzwerk verwenden, stellt VM Image Builder eine zusätzliche VM (eine Proxy-VM) und einen Lastenausgleich (Azure Load Balancer) bereit. Diese sind mit Private Link verbunden. Der Datenverkehr vom VM Image Builder-Dienst übergibt den privaten Link zum Lastenausgleich. Der Lastenausgleich kommuniziert mit der Proxy-VM über Port 60001 für Linux oder Port 60000 für Windows. Der Proxy leitet Befehle an die Build-VM weiter, indem er Port 22 für Linux oder Port 5986 für Windows verwendet.
Hinweis
Das virtuelle Netzwerk muss sich in derselben Region wie der VM Image Builder-Dienst befinden.
Wichtig
Der Azure VM Image Builder-Dienst ändert die WinRM-Verbindungskonfiguration in allen Windows-Builds so, dass HTTPS an Port 5986 anstelle des HTTP-Standardports 5985 verwendet wird. Diese Konfigurationsänderung kann sich auf Workflows auswirken, die von der WinRM-Kommunikation abhängig sind.
Gründe für die Bereitstellung einer Proxy-VM
Wenn eine VM ohne einer öffentlichen IP-Adresse sich hinter einem internen Lastenausgleich befindet, verfügt diese nicht über Internetzugriff. Der für das virtuelle Netzwerk verwendete Lastenausgleich ist intern. Die Proxy-VM ermöglicht den Internetzugang für die Build-VM während des Build-Prozesses. Sie können die zugehörigen Netzwerksicherheitsgruppen verwenden, um den Zugriff der Build-VM einzuschränken.
Die zusätzlich zur Build-VM bereitgestellte Proxy-VM-Größe ist Standard A1_v2. Der VM Image Builder-Dienst verwendet die Proxy-VM, um Befehle zwischen dem Dienst und der Build-VM zu senden. Sie können die Eigenschaften der Proxy-VM nicht ändern (diese Einschränkung gilt auch für die Größe und das Betriebssystem).
Bildvorlagenparameter zur Unterstützung des virtuellen Netzwerks
"vnetConfig": {
"subnetId": ""
},
Einstellung | Beschreibung |
---|---|
subnetId |
Ressourcen-ID eines bereits vorhandenen Subnetzes, in dem die Build-VM und die Validierungs-VM bereitgestellt werden. |
Private Link erfordert eine IP aus dem angegebenen virtuellen Netzwerk und Subnetz. Azure unterstützt Netzwerkrichtlinien für diese IP-Adressen derzeit nicht. Daher müssen Sie Netzwerkrichtlinien im Subnetz deaktivieren. Weitere Informationen finden Sie in der Dokumentation zu Private Link.
Prüfliste für die Verwendung Ihres virtuellen Netzwerks
- Erlauben Sie Azure Load Balancer die Kommunikation mit der Proxy-VM in einer Netzwerksicherheitsgruppe.
- Deaktivieren der Richtlinie für private Dienste im Subnetz.
- Erlauben Sie VM Image Builder, einen Lastenausgleich zu erstellen, und fügen Sie VMs zum virtuellen Netzwerk hinzu.
- Erlauben Sie VM Image Builder das Lesen und Schreiben von Quell-Images und das Erstellen von Images.
- Stellen Sie sicher, dass Sie ein virtuelles Netzwerk in derselben Region wie die VM Image Builder Dienstregion verwenden.