Utiliser Azure VM Image Builder
VM Image Builder est un service Azure complètement managé qui est accessible aux fournisseurs de ressources Azure. Les fournisseurs de ressources le configurent en spécifiant une image source, une personnalisation à effectuer et l’emplacement où la nouvelle image doit être distribuée. Un flux de travail de haut niveau est illustré dans le diagramme :
Vous pouvez passer des configurations de modèle en utilisant Azure PowerShell, Azure CLI ou des modèles Azure Resource Manager. Vous pouvez également utiliser une tâche DevOps VM Image Builder. Quand vous envoyez la configuration au service, Azure crée une ressource de modèle d’image. Une fois la ressource de modèle d’image créée, un groupe de ressources intermédiaire est créé dans votre abonnement au format IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID). Le groupe de ressources intermédiaire contient des fichiers et des scripts qui sont référencés dans la personnalisation File, Shell et PowerShell de la propriété ScriptURI.
Pour exécuter le build, vous appelez Exécuter sur la ressource de modèle VM Image Builder. Le service déploie ensuite d’autres ressources pour le build, comme une machine virtuelle, un réseau, un disque et une carte réseau.
Si vous générez une image sans utiliser de réseau virtuel existant, VM Image Builder déploie également une adresse IP publique et un groupe de sécurité réseau. VM Image Builder se connecte à la machine virtuelle du build à l’aide du protocole Secure Shell (SSH) ou Windows Remote Management (WinRM).
Si vous sélectionnez un réseau virtuel existant, le service est déployé via Azure Private Link. Dans ce cas, une adresse IP publique n’est pas requise. Pour plus d’informations, consultez la vue d’ensemble des options de réseau d’Azure VM Image Builder.
Une fois la build terminée, toutes les ressources sont supprimées, à l’exception du groupe de ressources intermédiaire et du compte de stockage. Vous pouvez les supprimer en supprimant la ressource de modèle d’image ou vous pouvez les laisser en place pour réexécuter la build.
Pour obtenir des exemples, des guides pas à pas, des modèles de configuration et des solutions, accédez au dépôt GitHub de VM Image Builder.
Sécurité
Pour vous aider à sécuriser vos images, VM Image Builder :
- Vous permet de créer des images de référence (c’est-à-dire vos configurations minimales de sécurité et d’entreprise) et permet à d’autres services de les personnaliser davantage. Vous pouvez assurer la sécurité et la conformité de ces images en utilisant VM Image Builder pour regénérer rapidement une image finale (gold) qui utilise la dernière version corrigée d’une image source. VM Image Builder vous permet également de créer plus facilement des images qui respectent la base de référence de sécurité Azure Windows. Pour plus d’informations, consultez VM Image Builder - Modèle de référence Windows.
- Vous permet de récupérer (fetch) vos artefacts de personnalisation sans avoir à les rendre accessibles publiquement. VM Image Builder peut utiliser votre identité managée Azure pour récupérer ces ressources, et vous pouvez limiter les privilèges de cette identité aussi strictement que vous le souhaitez avec le contrôle d’accès en fonction du rôle Azure (Azure RBAC). Vous pouvez à la fois conserver vos artefacts secrets et empêcher la falsification par des acteurs non autorisés.
- Stocke de manière sécurisée des copies des artefacts de personnalisation, des ressources de calcul et de stockage transitoires ainsi que leurs images résultantes dans votre abonnement, car l’accès est contrôlé par Azure RBAC. Ce niveau de sécurité, qui s’applique également à la machine virtuelle de build utilisée pour créer l’image personnalisée, permet d’empêcher la copie de vos scripts et fichiers de personnalisation sur une machine virtuelle inconnue dans un abonnement inconnu. De plus, vous pouvez obtenir un niveau élevé de séparation des charges de travail des autres clients en utilisant des offres de machines virtuelles isolées pour la machine virtuelle de build.
- Vous permet de connecter VM Image Builder à vos réseaux virtuels existants afin de communiquer avec des serveurs de configuration existants tels que DSC (serveur Pull de configuration d’état souhaité), Chef et Puppet, des partages de fichiers ou tout autre serveur et service routable.
- Peut être configuré pour attribuer vos identités affectées par l’utilisateur à la machine virtuelle de build VM Image Builder (c’est-à-dire celle que le service VM Image Builder crée dans votre abonnement et utilise pour générer et personnaliser l’image). Vous pouvez ensuite utiliser ces identités au moment de la personnalisation pour accéder aux ressources Azure, y compris les secrets, de votre abonnement. Il n’est pas nécessaire d’affecter un accès direct à VM Image Builder à ces ressources.
Prise en charge du système d’exploitation
VM Image Builder est conçu pour fonctionner avec toutes les images du système d’exploitation Place de marché Azure de base.
Remarque
Prise en main de la création et de la validation d’images personnalisées dans le portail.
Prise en charge des machines virtuelles confidentielles et du lancement fiable
VM Image Builder offre une prise en charge étendue des images TrustedLaunchSupported et ConfidentialVMSupported, avec certaines contraintes. Voici la liste des contraintes :
| SecurityType | État de la prise en charge |
|---|---|
| TrustedLaunchSupported | Prise en charge en tant qu’image source pour les builds d’images |
| ConfidentialVMSupported | Prise en charge en tant qu’image source pour les builds d’images |
| TrustedLaunch | Non pris en charge en tant qu’image source |
| ConfidentialVM | Non pris en charge en tant qu’image source |
Remarque
Quand vous utilisez des images TrustedLaunchSupported, il est important que la source et la distribution soient toutes deux TrustedLaunchSupported pour que la prise en charge soit assurée. Si la source est normale et que la distribution est TrustedLaunchSupported, ou si la source est TrustedLaunchSupported et que la distribution est normale Gen2, la prise en charge n’est pas assurée.