Options de réseau d’Azure VM Image Builder
S’applique à : ✔️ Machines virtuelles Linux ✔️ Groupes identiques flexibles
Avec Azure VM Image Builder, vous choisissez de déployer le service avec ou sans réseau virtuel existant. Les sections suivantes décrivent plus en détail ce choix.
Déployer sans spécifier de réseau virtuel existant
Si vous ne spécifiez pas de réseau virtuel existant, VM Image Builder en crée un, ainsi qu’un sous-réseau, dans le groupe de ressources de préproduction. Le service utilise une ressource IP publique avec un groupe de sécurité réseau pour restreindre le trafic entrant. L’adresse IP publique facilite le canal pour les commandes pendant la génération de l’image. Une fois la génération terminée, la machine virtuelle, l’adresse IP publique, les disques et le réseau virtuel sont supprimés. Pour utiliser cette option, ne spécifiez aucune propriété de réseau virtuel.
Déployer à l’aide d’un réseau virtuel existant
Si vous spécifiez un réseau virtuel et un sous-réseau, VM Image Builder déploie la machine virtuelle de build sur le réseau virtuel que vous avez choisi. Vous pouvez accéder aux ressources accessibles sur votre réseau virtuel. Vous pouvez également créer un réseau virtuel en silo, qui n’est connecté à aucun autre réseau virtuel. Si vous spécifiez un réseau virtuel, VM Image Builder n’utilise pas d’adresse IP publique. La communication à partir de VM Image Builder avec la machine virtuelle de build utilise Azure Private Link.
Pour plus d’informations, consultez l’un des exemples suivants :
- Utiliser Azure VM Image Builder pour les machines virtuelles Windows autorisant l’accès à un réseau virtuel Azure existant
- Utiliser Azure VM Image Builder pour les machines virtuelles Linux autorisant l’accès à un réseau virtuel Azure existant
Qu’est-ce que Liaison privée Azure ?
Azure Private Link fournit une connectivité privée entre un réseau virtuel et la plateforme Azure en tant que service (PaaS) ou à un client ou à des services partenaires Microsoft. Il simplifie l’architecture réseau, et sécurise la connexion entre les points de terminaison dans Azure en éliminant l’exposition des données à l’internet public. Pour plus d'informations, consultez la documentation Liaison privée.
Autorisations requises pour un réseau virtuel existant
VM Image Builder requiert des autorisations spécifiques pour utiliser un réseau virtuel existant. Pour plus d’informations, consultez Configurer les autorisations Azure VM Image Builder en utilisant Azure CLI ou Configurer les autorisations Azure VM Image Builder en utilisant PowerShell.
Qu’est-ce qui est déployé pendant une génération d’image ?
Si vous utilisez un réseau virtuel existant, VM Image Builder déploie une machine virtuelle supplémentaire (une machine virtuelle proxy) et un équilibreur de charge (Azure Load Balancer). Ceux-ci sont connectés à Private Link. Le trafic depuis le service VM Image Builder vers l’équilibreur de charge emprunte la liaison privée. L’équilibreur de charge communique avec la machine virtuelle proxy à l’aide du port 60001 pour Linux ou le port 60000 pour Windows. Le proxy transfère les commandes à la machine virtuelle de build en utilisant le port 22 pour Linux ou le port 5986 pour Windows.
Notes
Le réseau virtuel doit être dans la même région que celle du service VM Image Builder.
Important
Le service Azure VM Image Builder modifie la configuration de connexion WinRM sur toutes les builds Windows pour utiliser HTTPS sur le port 5986 au lieu du port HTTP par défaut sur 5985. Cette modification de configuration peut avoir un impact sur les workflows qui s’appuient sur la communication WinRM.
Pourquoi déployer une machine virtuelle proxy ?
Quand une machine virtuelle sans adresse IP publique se trouve derrière un équilibreur de charge interne, elle n’a pas accès à Internet. L’équilibreur de charge utilisé pour le réseau virtuel est interne. La machine virtuelle proxy autorise l’accès à Internet pour la machine virtuelle de build pendant les builds. Vous pouvez utiliser les groupes de sécurité réseau associés pour limiter l’accès à la machine virtuelle de build.
La taille de la machine virtuelle proxy déployée est A1_v2 standard, en plus de la machine virtuelle de build. Le service VM Image Builder utilise la machine virtuelle proxy pour envoyer des commandes entre le service et la machine virtuelle de build. Vous ne pouvez changer les propriétés de la machine virtuelle proxy (cette restriction inclut la taille et le système d’exploitation).
Paramètres de modèle d’image pour prendre en charge le réseau virtuel
"vnetConfig": {
"subnetId": ""
},
Paramètre | Description |
---|---|
subnetId |
ID de ressource d’un sous-réseau préexistant sur lequel la machine virtuelle de build et la machine virtuelle de validation est déployée. |
Private Link nécessite une adresse IP du réseau virtuel et du sous-réseau spécifiés. Azure ne prend pas en charge les stratégies réseau sur ces adresses IP. Vous devez donc désactiver les stratégies réseau sur le sous-réseau. Pour plus d'informations, consultez la documentation Liaison privée.
Check-list pour l’utilisation de votre réseau virtuel
- Autorisez Azure Load Balancer à communiquer avec la machine virtuelle proxy dans un groupe de sécurité réseau.
- Désactivez la stratégie de service privé sur le sous-réseau.
- Autorisez VM Image Builder à créer un équilibreur de charge et à ajouter des machines virtuelles au réseau virtuel.
- Autorisez VM Image Builder à lire et à écrire des images sources et à créer des images.
- Vérifiez que vous utilisez un réseau virtuel dans la même région que celle du service VM Image Builder.