Was sind isolierte Imagebuilds für Azure Image Builder?

Isolierte Imagebuilds sind ein Feature von Azure Image Builder (AIB). Es stellt den Kernprozess der VM-Imageanpassung/-validierung von der gemeinsam genutzten Infrastruktur auf dedizierte ACI-Ressourcen (Azure Container Instances) in Ihrem Abonnement um und bietet Compute- und Netzwerkisolation.

Vorteile isolierter Imagebuilds

Isolierte Imagebuilds ermöglichen eine tiefgehende Verteidigung, indem sie den Netzwerkzugriff Ihrer Build-VM allein auf Ihr Abonnement beschränken. Isolierte Imagebuilds bieten außerdem mehr Transparenz, da Sie Ihnen die Überprüfung der Verarbeitung ermöglichen, die von Image Builder zur Anpassung/Validierung Ihres VM-Image durchgeführt wurde. Darüber hinaus erleichtern isolierte Imagebuilds die Betrachtung von Livebuildprotokollen. Speziell:

1. Computeisolation: Bei isolierten Imagebuilds findet der Großteil der Verarbeitung für die Imageerstellung nicht in den gemeinsam genutzten Plattformressourcen von AIB, sondern in Azure Container Instances-Ressourcen in Ihrem Abonnement statt. ACI bietet Hypervisorisolation für jede Containergruppe, um sicherzustellen, dass Container isoliert ausgeführt werden, ohne einen gemeinsamen Kernel zu verwenden.
2. Netzwerkisolation: Isolierte Imagebuilds entfernen sämtliche direkte WinRM/ssh-Netzwerkkommunikation zwischen Ihrer Build-VM und dem Image Builder-Dienst.
   • Wenn Sie eine Image Builder-Vorlage ohne Ihr eigenes virtuelles Netzwerk bereitstellen, wird zum Zeitpunkt der Image-Erstellung keine öffentliche IP-Adresse mehr in Ihrer Staging-Ressourcengruppe bereitgestellt.
   • Wenn Sie eine Image Builder-Vorlage mit einem bestehenden virtuellen Netzwerk in Ihrem Abonnement bereitstellen, wird kein auf Private Link basierender Kommunikationskanal mehr zwischen Ihrer Build-VM und den Back-End-Plattformressourcen von AIB eingerichtet. Stattdessen wird der Kommunikationskanal zwischen der Azure Container-Instanz und den Build VM-Ressourcen eingerichtet, die sich beide in der Staging-Ressourcengruppe Ihres Abonnements befinden.
3. Transparenz: AIB basiert auf HashiCorp Packer. Isolierte Imagebuilds führen Packer in der Azure-Containerinstanz in Ihrem Abonnement aus, sodass Sie die ACI-Ressource und deren Container überprüfen können. Ebenso können Sie alle Netzwerkressourcen sowie ihre Einstellungen und Zertifikate überprüfen, da sich die gesamte Netzwerkkommunikationspipeline in Ihrem Abonnement befindet.
4. Bessere Anzeige von Liveprotokollen: AIB schreibt Anpassungsprotokolle in ein Speicherkonto in der Stagingressourcengruppe in Ihrem Abonnement. Isolierte Imagebuilds bietet eine weitere Möglichkeit, dieselben Protokolle direkt im Azure-Portal zu verfolgen. Navigieren Sie dazu zum Container des Image Builders in der ACI-Ressource.

Abwärtskompatibilität

Dies ist eine Änderung auf Plattformebene und wirkt sich nicht auf die Schnittstellen von AIB aus. Ihre vorhandenen Bildvorlagen- und Triggerressourcen funktionieren also weiterhin, und die Art und Weise, wie Sie neue Ressourcen dieser Typen bereitstellen, ändert sich nicht. Entsprechend stehen Anpassungsprotokolle weiterhin im Speicherkonto zur Verfügung.

Möglicherweise werden einige neue Ressourcen vorübergehend in der Stagingressourcengruppe angezeigt (z. B. eine Azure-Containerinstanz, ein virtuelles Netzwerk, eine Netzwerksicherheitsgruppe und ein privater Endpunkt), während eine andere Ressource nicht mehr angezeigt wird (z. B. eine öffentliche IP-Adresse). Wie bereits erwähnt, existieren diese temporären Ressourcen nur während des Buildvorgangs und werden danach von Image Builder gelöscht.

Ihre Imagebuilds werden automatisch zu isolierten Imagebuilds migriert und Sie müssen nichts unternehmen, um dies zu aktivieren.

Hinweis

Diese Änderung wird derzeit von Image Builder für alle Standorte und Kunden eingeführt. Einige dieser Details (insbesondere bei der Bereitstellung neuer netzwerkbezogener Ressourcen) können sich ändern, da der Prozess basierend auf Diensttelemetrie und Feedback optimiert wird. Weitere Informationen finden Sie im Leitfaden zur Problembehandlung.

Wichtig

Stellen Sie sicher, dass Ihr Abonnement für Microsoft.ContainerInstance provider registriert ist:

• Azure-Befehlszeilenschnittstelle: az provider register -n Microsoft.ContainerInstance
• PowerShell: Register-AzResourceProvider -ProviderNamespace Microsoft.ContainerInstance

Stellen Sie nach der erfolgreichen Registrierung Ihres Abonnements sicher, dass es keine Azure-Richtlinien in Ihrem Abonnement gibt, die die Bereitstellung erforderlicher Ressourcen verweigern. Richtlinien, die nur eine eingeschränkte Gruppe von Ressourcentypen zulassen, die keine Azure-Containerinstanz enthalten, würden die Bereitstellung blockieren.

Stellen Sie sicher, dass Ihr Abonnement auch über ein ausreichendes Kontingent an Ressourcen verfügt, für die Bereitstellung von Azure-Containerinstanzressourcen erforderlich sind.

Wichtig

Image Builder muss möglicherweise temporäre netzwerkbezogene Ressourcen in der Stagingressourcengruppe in Ihrem Abonnement bereitstellen. Stellen Sie sicher, dass keine Azure-Richtlinien die Bereitstellung solcher Ressourcen (virtuelles Netzwerk mit Subnetzen, Netzwerksicherheitsgruppe, privater Endpunkt) in der Ressourcengruppe verweigern.

Wenn Sie Azure-Richtlinien haben, die DDoS-Schutzpläne auf ein neu erstelltes virtuelles Netzwerk anwenden, lockern Sie entweder die Richtlinie für die Ressourcengruppe, oder stellen Sie sicher, dass die verwaltete Vorlage über Berechtigungen zum Beitritt zum Plan verfügt.

Nächste Schritte

• Übersicht über Azure VM Image Builder
• Was ist Azure Container Instances?
• Einführung in die Azure-Sicherheit
• Beheben von Buildfehlern in der Problembehandlung für Azure VM Image Builder