Creación de una máquina virtual mediante una base aprobada

En este artículo se describe cómo usar Azure en la creación de una máquina virtual (VM) que contenga un sistema operativo preconfigurado y aprobado. Si esto no es compatible con la solución, es posible crear y configurar una máquina virtual de manera local mediante un sistema operativo aprobado.

Nota:

Antes de comenzar este procedimiento, examine los requisitos técnicos de las ofertas de máquina virtual de Azure, incluidos los requisitos de disco duro virtual (VHD).

Selección de una imagen de base aprobada

Seleccione una de las siguientes imágenes de Windows o Linux como base.

Windows

• Windows Server
• SQL Server 2019, 2014, 2012
• Windows 11 Empresas (esta imagen base solo se aprueba para su uso con Microsoft Dev Box)

Linux

Azure ofrece una gama de distribuciones de Linux aprobadas. Para obtener una lista actual, vea Linux en distribuciones aprobadas por Azure.

Creación de la máquina virtual en Azure Portal

1. Inicie sesión en Azure Portal.
2. Seleccione Máquinas virtuales.
3. Seleccione + Crear y + Máquina virtual en el menú desplegable para abrir la pantalla Crear una máquina virtual.
4. Seleccione la imagen en la lista desplegable, o bien seleccione Ver todas las imágenes para buscar o examinar todas las imágenes de máquina virtual disponibles. También puede configurar la generación de máquina virtual de su imagen en función de la imagen que seleccione.
5. Seleccione el tamaño de la máquina virtual que va a implementar.
6. Proporcione los otros detalles necesarios para crear la máquina virtual.
7. Seleccione Revisar y crear para revisar sus selecciones. Cuando aparezca el mensaje Validación superada, seleccione Crear.

Azure comienza el aprovisionamiento de la máquina virtual especificada. Para seguir su progreso, seleccione la pestaña Máquinas virtuales en el menú de la izquierda. En cuanto se crea, el estado de la máquina virtual cambia a En ejecución.

Configuración de la máquina virtual

En esta sección se describe cómo ajustar el tamaño, actualizar y generalizar una máquina virtual de Azure. Estos pasos son necesarios para preparar la máquina virtual para su implementación en Azure Marketplace.

Conexión a la máquina virtual

Consulte la documentación siguiente para conectarse a la máquina virtual Windows o Linux.

Instalar las actualizaciones más recientes

Las imágenes base de las máquinas virtuales del sistema operativo deben contener las últimas actualizaciones hasta su fecha de publicación. Antes de realizar la publicación, asegúrese de que ha actualizado el sistema operativo y todos los servicios instalados con todas las revisiones de seguridad y mantenimiento más recientes.

• En Windows Server, ejecute el comando Buscar actualizaciones.
• En distribuciones Linux, las actualizaciones se suelen descargar e instalar mediante una herramienta de línea de comandos o una utilidad gráfica. Por ejemplo, Ubuntu Linux proporciona el comando apt-get y la herramienta Update Manager para actualizar el sistema operativo.

Realizar comprobaciones de seguridad adicionales

Mantenga un nivel de seguridad alto para las imágenes de la solución en Azure Marketplace. Para obtener una lista de comprobación de las configuraciones y procedimientos de seguridad, consulte Recomendaciones de seguridad para imágenes de Azure Marketplace.

Personalización de la imagen de máquina virtual

Ahora, instale el software necesario y realice cambios de configuración personalizados en la máquina virtual para que la solución funcione correctamente, incluidas las tareas programadas que deban ejecutarse después de la implementación. Tenga en cuenta lo siguiente al realizar los cambios personalizados:

• Si es una tarea de ejecución única programada, la tarea debe eliminarse a sí misma una vez que se realice correctamente.
• Las configuraciones no deben basarse en unidades distintas de C o D, ya que solo se garantiza la existencia continua de estas dos unidades (la unidad C es el disco del sistema operativo y la unidad D es el disco local temporal).
• Realice los cambios necesarios en la configuración técnica para la solución. Más adelante, marcará las configuraciones que realice en la máquina virtual en la sección Propiedades de la página Configuración técnica del Centro de partners. Esto mostrará a los clientes qué escenarios se admiten en función de los cambios de configuración que realice ahora. Seleccione entre las siguientes propiedades de configuración técnica durante la publicación:
  • Copias de seguridad admitidas
  • Redes aceleradas admitidas
  • Configuración de cloud-init admitida
  • Extensiones admitidas
  • Es una aplicación virtual de red
  • Escritorio remoto o SSH deshabilitado
  • Plantilla de ARM personalizada requerida

Para obtener más información sobre las personalizaciones de Linux, vea Características y extensiones de las máquinas virtuales para Linux.

Generalizar la imagen

Todas las imágenes de Azure Marketplace deben ser reutilizables de forma genérica. Para lograrlo, el VHD del sistema operativo debe estar generalizado, una operación que quita todos los controladores de software y los identificadores específicos de la instancia de una máquina virtual.

Para Windows

Los discos de sistema operativo Windows se generalizan con la herramienta sysprep. Si más adelante actualiza o vuelve a configurar el sistema operativo, debe ejecutar sysprep de nuevo.

Advertencia

Después de ejecutar sysprep, desactive la máquina virtual hasta que se implemente porque es posible que las actualizaciones se ejecuten automáticamente. Este apagado evita que las actualizaciones posteriores realicen cambios específicos de la instancia en el sistema operativo o los servicios instalados. Para más información sobre la ejecución de sysprep, consulte Generalización de una máquina virtual Windows.

Nota:

Si tiene Microsoft Defender for Cloud (Azure Defender) habilitado en la suscripción en la que va a crear la máquina virtual que se va a capturar y no quiere que ninguna máquina virtual creada a partir de esta imagen se inscriba en el portal de Defender para punto de conexión, asegúrese de deshabilitar Microsoft Defender for Cloud en la suscripción o para la propia máquina virtual. Si esto no está deshabilitado, cualquier máquina virtual creada a partir de esta imagen se inscribirá en el portal de Defender para punto de conexión aunque la máquina virtual se implemente en otro inquilino sin Microsoft Defender for Cloud.

Para Linux

1. Quite el agente Linux de Azure.

   1. Conexión a una máquina virtual Linux de Azure mediante un cliente SSH.
   2. En la ventana de SSH, escriba este comando: sudo waagent –deprovision+user.
   3. Escriba Y para continuar (puede agregar el parámetro -force al comando anterior para evitar el paso de confirmación).
   4. Una vez finalizado el comando, escriba Exit para cerrar el cliente de SSH.

2. Si Microsoft Defender para punto de conexión (MDE) está instalado en la imagen, desinstale MDE ejecutando los comandos siguientes en función del sistema operativo de la imagen:

   • RHEL, CentOS y Oracle: sudo yum remove mdatp

   • SLES y variantes: sudo zypper remove mdatp

   • Ubuntu y Debian: sudo apt-get purge mdatp

   • Marinero: sudo dnf remove mdatp

3. Detenga la máquina virtual.

   1. En Azure Portal, seleccione el grupo de recursos (RG) y anule la asignación de la máquina virtual.
   2. La máquina virtual ahora se ha generalizado y puede crear una nueva mediante este disco de máquina virtual.

Capture la imagen

Nota:

La suscripción de Azure que contiene Azure Compute Gallery debe estar en el mismo inquilino que la cuenta de publicador para poder publicar. Además, la cuenta de publicador debe tener al menos acceso de Colaborador a la suscripción que contiene Azure Compute Gallery.

Una vez que la máquina virtual esté lista, puede capturarla en Azure Compute Gallery (anteriormente conocida como Shared Image Gallery). Siga estos pasos para realizar la captura:

1. En Azure Portal, vaya a la página de la máquina virtual.
2. Seleccione Capturar.
3. En Compartir una imagen en la galería de procesos de Azure, seleccione Sí, compartirla en una galería como una versión de imagen.
4. En Estado del sistema operativo, seleccione Generalizado.
5. Seleccione una galería de imágenes de destino o la opción para Crear nuevo.
6. Seleccione una definición de imágenes de destino o la opción para Crear nuevo.
7. Proporcione un Número de versión para la imagen.
8. Seleccione Revisar y crear para revisar sus selecciones.
9. Una vez que pase la validación, seleccione Crear.

Proporcionar permiso al Centro de partners para la Galería de procesos de Azure

La publicación de imágenes de máquina virtual en Azure Marketplace desde azure Compute Gallery requiere que establezca permisos para que el Centro de partners pueda adquirir las imágenes hospedadas en la galería.

Importante

Microsoft está realizando la transición del proceso para adquirir imágenes de la Galería de procesos a un proceso más seguro. Para continuar actualizando las ofertas de máquina virtual, asegúrese de que se concede acceso a las siguientes aplicaciones de Microsoft siguiendo estos pasos. Estos pasos se deben realizar una vez para cada galería de procesos que se usa para publicar en Azure Marketplace.

Requisitos previos

Para conceder permiso al Centro de partners, debe asegurarse de que se cumplen los siguientes requisitos previos:

1. La galería de Azure Compute debe estar en el mismo inquilino de Microsoft Entra que esté vinculado a la cuenta del Centro de partners.
2. Debe ser propietario de la suscripción donde está presente la Galería de proceso.

Sugerencia

Se recomienda usar una galería de proceso dedicada para los fines de publicación en el Centro de partners y que solo conceda permiso a esta galería dedicada. No es necesario conceder permisos en el nivel de suscripción.

Paso 1: Aprovisionar las entidades de servicio

En primer lugar, debe aprovisionar entidades de servicio en la suscripción de Azure, que se realiza registrando el proveedor de recursos (RP) del Centro de partners de Microsoft. Una entidad de servicio es una identidad que, a continuación, se usará para proporcionar al Centro de partners acceso a la Galería de procesos para adquirir las imágenes. Este paso no concede acceso.

PowerShell

# Connect to your Azure account
Connect-AzAccount

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
Set-AzContext -Subscription <SubscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
Register-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

# Ensure the Resource Principal is registered successfully.
Get-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

CLI de Azure

# Connect to your Azure account
Az login

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
az account set --subscription <subscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
az provider register --namespace

# Ensure the Resource Principal is registered successfully.
az provider show --namespace Microsoft.PartnerCenterIngestion

Paso 2: Conceder acceso al Centro de partners a la Galería de procesos de Azure

Una vez aprovisionadas las entidades de servicio, se deben conceder permisos explícitos para leer imágenes de una galería de proceso específica. El Centro de partners está en proceso de transición a un proceso más seguro para adquirir las imágenes. Durante esta transición, le pedimos que conceda temporalmente acceso a dos aplicaciones de Microsoft para que pueda seguir actualizando las ofertas de máquina virtual.

PowerShell

# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
Get-AzGallery -ResourceGroupName <resource-group> -GalleryName <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
Get-AzADServicePrincipal -SearchString "Microsoft Partner Center Resource Provider"

# Create a role assignment to the first Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id1> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
Get-AzADServicePrincipal -SearchString "Compute Image Registry"

# Create a role assignment to the second Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id2> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

Azure CLI

# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
az sig show --resource-group <resource-group> --gallery-name <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
az ad sp list --display-name "Microsoft Partner Center Resource Provider" --query '[].id'

# Create a role assignment to the first Microsoft application.
az role assignment create --assignee-object-id <sp-id1> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
az ad sp list --display-name "Compute Image Registry" --query '[].id'

# Create a role assignment to the second Microsoft application.
az role assignment create --assignee-object-id <sp-id2> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

Azure Portal

1. Lo gin to Azure Portal (Lo gin to Azure Portal)

2. Vaya a la instancia de Azure Compute Gallery que contiene la imagen de máquina virtual.

3. Vaya a la pestaña Access control (Control de acceso ) en azure Compute Gallery.

4. Seleccione Agregar>Agregar asignación de roles.

5. Seleccione el rol Lector de imágenes de la Galería de proceso y haga clic en Siguiente.

6. Seleccione esta opción para asignar acceso a usuario, grupo o entidad de servicio.

7. Haga clic en + Seleccionar miembros y busque y seleccione las entidades de servicio "Proveedor de recursos del Centro de partners de Microsoft" y "Compute Image Registry" (Registro de imágenes de proceso). Haga clic en Next.

8. Haga clic en Revisar y asignar.

Contenido relacionado

• Paso siguiente recomendado: pruebe la imagen de máquina virtual para asegurarse de que cumple los requisitos de publicación de Azure Marketplace. Esto es opcional.
• Si no quiere probar la imagen de la máquina virtual, inicie sesión en el Centro de partners para publicarla.
• Si tiene dificultades para crear un disco duro virtual basado en Azure, consulte las preguntas frecuentes que pueden surgir al crear una máquina virtual en Azure Marketplace.