Partekatu honen bidez:


Opciones de red de Azure VM Image Builder

Se aplica a: ✔️ máquinas virtuales Linux ✔️ conjuntos de escalado flexibles

Con Azure VM Image Builder, puede implementar el servicio con o sin una red virtual existente. En las siguientes secciones, se proporcionan más detalles de esta elección.

Implementación sin especificar una red virtual existente

Si no especifica una red virtual existente, VM Image Builder creará una, junto con una subred, en el grupo de recursos de almacenamiento provisional. El servicio usa un recurso de IP pública con un grupo de seguridad de red para restringir el tráfico entrante. La dirección IP pública facilita el canal para los comandos durante la creación de la imagen. Una vez completada la compilación, se eliminan la máquina virtual (VM), la dirección IP pública, los discos y la red virtual. Para usar esta opción, no especifique ninguna propiedad de red virtual.

Implementación mediante una red virtual existente

Si especifica una red virtual y una subred, VM Image Builder implementa la máquina virtual de compilación en la red virtual elegida. Puede acceder a los recursos que son accesibles en la red virtual. También puede crear una red virtual aislada, que no esté conectada a ninguna otra red virtual. Si especifica una red virtual, VM Image Builder no usa una dirección IP pública. La comunicación desde VM Image Builder a la máquina virtual de creación usa la tecnología Azure Private Link.

Para más información, consulte uno de estos ejemplos:

Azure Private Link proporciona conectividad privada desde una red virtual a la plataforma como servicio (PaaS) de Azure, propiedad del cliente o servicios de partners de Microsoft. Simplifica la arquitectura de red y protege la conexión entre los puntos de conexión de Azure mediante la eliminación de la exposición de los datos a la red pública de Internet. Para obtener más información, consulte la documentación de Private Link.

Permisos necesarios para una red virtual existente

VM Image Builder requiere permisos específicos para usar una red virtual existente. Para más información, consulte Configuración de los permisos del Azure VM Image Builder mediante la CLI de Azure o Configuración de los permisos del servicio Azure VM Image Builder mediante PowerShell.

¿Qué se implementa durante una creación de imagen?

Si usa una red virtual existente, VM Image Builder implementa una máquina virtual adicional (una máquina virtual proxy) y un equilibrador de carga (Azure Load Balancer). Están conectados a Private Link. El tráfico del servicio VM Image Builder pasa por el vínculo privado al equilibrador de carga. El equilibrador de carga se comunica con la máquina virtual de proxy mediante el puerto 60001 para Linux o el puerto 60000 para Windows. El proxy reenvía comandos a la máquina virtual de creación mediante el puerto 22 para Linux o 5986 para Windows.

Nota

La red virtual debe estar en la misma región que la región de servicio Azure Image Builder.

Importante

El servicio Azure VM Image Builder modifica la configuración de conexión WinRM en todas las compilaciones de Windows para usar HTTPS en el puerto 5986 en lugar del puerto HTTP predeterminado en 5985. Este cambio de configuración puede afectar a los flujos de trabajo que dependen de la comunicación de WinRM.

¿Por qué implementar una máquina virtual de proxy?

Cuando una máquina virtual sin una dirección IP pública está detrás de un equilibrador de carga interno, no tiene acceso a Internet. El equilibrador de carga usado para la red virtual es interno. La máquina virtual de proxy permite el acceso a Internet para la máquina virtual de creación durante las creaciones. Los grupos de seguridad de red asociados se pueden usar para restringir el acceso a la máquina virtual de creación.

El tamaño de la máquina virtual de proxy implementado es A1_v2 estándar además de la máquina virtual de creación. El servicio VM Image Builder usa la máquina virtual de proxy para enviar comandos entre el servicio y la máquina virtual de creación. No se pueden cambiar las propiedades de la máquina virtual de proxy (esta restricción incluye el tamaño y el sistema operativo).

Parámetros de plantilla de imagen para admitir la red virtual

"vnetConfig": {
        "subnetId": ""
        },
Configuración Descripción
subnetId Identificador de recurso de una subred preexistente en la que se implementa la máquina virtual de compilación y la máquina virtual de validación.

Private Link requiere una dirección IP de la red virtual y la subred especificadas. Actualmente, Azure no admite directivas de red en estas direcciones IP. Por lo tanto, debe deshabilitar las directivas de red en la subred. Para obtener más información, consulte la documentación de Private Link.

Lista de comprobación para usar la red virtual

  1. Permitir a Azure Load Balancer comunicarse con la máquina virtual de proxy en un grupo de seguridad de red.
  2. Deshabilitar la directiva de servicio privada en la subred.
  3. Permitir que VM Image Builder cree un equilibrador de carga y agregue máquinas virtuales a la red virtual.
  4. Permitir que Azure Image Builder lea y escriba imágenes de origen y cree imágenes.
  5. Asegúrese de que usa una red virtual en la misma región que la región de servicio de VM Image Builder.

Pasos siguientes

Introducción a Azure VM Image Builder