Az Azure VM Image Builder áttekintése
A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépek Rugalmas méretezési ✔️ csoportok ✔️ Egységes méretezési csoportok
A szabványosított virtuálisgép-rendszerképek használatával a szervezet egyszerűbben migrálhat a felhőbe, és biztosíthatja az üzemelő példányok konzisztenciáját. A képek általában tartalmazzák az előre meghatározott biztonsági beállításokat, a konfigurációs beállításokat és a szükséges szoftvereket. A saját képalkotó folyamat beállításához időre, infrastruktúrára és sok más részletre van szükség. Az Azure-beli virtuálisgép-rendszerkép-készítővel csak olyan konfigurációt kell létrehoznia, amely leírja a rendszerképet, és elküldi azt a szolgáltatásnak, ahol a rendszerkép létrejön, majd elosztja azt.
A VM Image Builderrel migrálhatja a meglévő rendszerkép-testreszabási folyamatot az Azure-ba, miközben továbbra is használja a meglévő szkripteket, parancsokat és folyamatokat. Az alapvető alkalmazásokat integrálhatja egy virtuálisgép-rendszerképbe, így a virtuális gépek a rendszerképek létrehozása után számítási feladatokat is igénybe vehetnek. Akár konfigurációkat is hozzáadhat az Azure Virtual Desktop rendszerképeinek létrehozásához, virtuális merevlemezekként (VHD-kként) az Azure Stackben való használathoz vagy az exportálás megkönnyítéséhez.
A VM Image Builder lehetővé teszi, hogy Windows- vagy Linux-rendszerképeket kezdjen az Azure Marketplace-ről vagy meglévő egyéni rendszerképekként, majd adja hozzá saját testreszabásait. Azt is megadhatja, hogy az eredményül kapott rendszerképek hol legyenek üzemeltetve az Azure Compute Galleryben (korábban megosztott képgyűjtemény), felügyelt rendszerképként vagy virtuális merevlemezként.
Funkciók
Bár egyéni virtuálisgép-rendszerképeket kézzel vagy más eszközökkel is létrehozhat, a folyamat nehézkes és megbízhatatlan lehet. A HashiCorp Packerre épülő VM Image Builder egy felügyelt szolgáltatás előnyeit nyújtja.
Egyszerűség
A virtuálisgép-rendszerképek létrehozásának összetettségének csökkentése érdekében a VM Image Builder:
Eltávolítja a virtuálisgép-rendszerképek létrehozásához szükséges összetett eszközök, folyamatok és manuális lépések szükségességét. A VM Image Builder kivonatolja ezeket a részleteket, és elrejti az Azure-specifikus követelményeket, például a rendszerkép általánosításának szükségességét (Sysprep). És ez lehetővé teszi a fejlettebb felhasználók számára, hogy felülbírálják ezeket a követelményeket.
A meglévő rendszerkép-összeállítási folyamatokkal integrálható, így kattintásra is használható. Ehhez meghívhatja a VM Image Buildert a folyamatból, vagy használhat egy Azure VM Image Builder szolgáltatás DevOps-feladatot (előzetes verzió) is.
A testreszabási adatokat különböző forrásokból is lekérheti, így nem kell őket egyetlen helyről összegyűjteni.
Integrálható a Compute Galleryvel, amely létrehoz egy képkezelő rendszert, amellyel globálisan terjesztheti, replikálhatja, verziószámozza és méretezheti a rendszerképeket. Emellett a VHD-vel vagy egy vagy több felügyelt lemezképpel azonos eredményül kapott lemezképet terjesztheti anélkül, hogy újra kellene építenie őket az alapoktól.
Infrastruktúra mint kód
A VM Image Builder használatával nem kell kezelnie a hosszú távú infrastruktúrát (például a testreszabási adatokat tartalmazó tárfiókokat) vagy az átmeneti infrastruktúrát (például ideiglenes virtuális gépeket képek készítéséhez).
A VM Image Builder Azure-erőforrásokként tárolja a virtuálisgép-rendszerkép-összeállítási összetevőket. Ez a funkció eltávolítja az offline definíciók fenntartásának szükségességét, valamint a véletlen törlés vagy frissítések által okozott környezeti eltérések kockázatát.
Biztonság
A rendszerképek biztonságának megőrzése érdekében a VM Image Builder:
Lehetővé teszi alapkonfigurációs rendszerképek létrehozását (vagyis a minimális biztonsági és vállalati konfigurációkat), és lehetővé teszi, hogy más részlegek is testre szabják őket. A rendszerképek biztonságának és megfelelő állapotának megőrzéséhez a VM Image Builder használatával gyorsan újraépíthet egy aranylemezképet, amely a forrásrendszerkép legújabb javított verzióját használja. A VM Image Builder megkönnyíti az Azure Windows biztonsági alapkonfigurációjának megfelelő rendszerképek készítését is. További információ: VM Image Builder – Windows alapkonfigurációs sablon.
Lehetővé teszi a testreszabási összetevők lekérését anélkül, hogy nyilvánosan elérhetővé kellene tenni őket. A VM Image Builder az Azure Managed Identity használatával lekérheti ezeket az erőforrásokat, és az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával a szükséges módon korlátozhatja az identitás jogosultságait. Az összetevőket titokban tarthatja, és illetéktelen szereplők illetéktelen beavatkozását is megakadályozhatja.
Biztonságosan tárolja a testreszabási összetevők, az átmeneti számítási és tárolási erőforrások, valamint az ezekből származó rendszerképek másolatait az előfizetésen belül, mivel a hozzáférést az Azure RBAC szabályozza. Ez a biztonsági szint, amely a testre szabott rendszerkép létrehozásához használt build virtuális gépre is vonatkozik, megakadályozza, hogy a testreszabási szkriptek és fájlok ismeretlen virtuális gépre másolódnak egy ismeretlen előfizetésben. A buildelési virtuális gép elkülönített virtuálisgép-ajánlatainak használatával pedig magas fokú elkülönítést érhet el más ügyfelek számítási feladataitól.
Lehetővé teszi a virtuálisgép-rendszerkép-készítő csatlakoztatását a meglévő virtuális hálózatokhoz, így kommunikálhat a meglévő konfigurációs kiszolgálókkal, például a DSC-vel (a kívánt állapotkonfigurációs lekéréses kiszolgálóval), a Cheftel és a Puppetel, a fájlmegosztásokkal vagy bármely más irányítható kiszolgálóval és szolgáltatással.
Konfigurálható úgy, hogy a felhasználó által hozzárendelt identitásokat a VM Image Builder buildelési virtuális géphez rendelje (azaz azt a virtuális gépet, amelyet a VM Image Builder szolgáltatás létrehoz az előfizetésben, és a rendszerkép összeállítására és testreszabására szolgál). Ezután ezeket az identitásokat testreszabáskor használhatja az Azure-erőforrások, köztük a titkos kódok elérésére az előfizetésben. A virtuálisgép-rendszerkép-készítőnek nem kell közvetlen hozzáférést rendelnie ezekhez az erőforrásokhoz.
Régiók
A VM Image Builder szolgáltatás a következő régiókban érhető el:
Feljegyzés
Továbbra is terjeszthet képeket ezeken a régiókon kívül.
- USA keleti régiója
- USA 2. keleti régiója
- USA nyugati középső régiója
- USA nyugati régiója
- USA 2. nyugati régiója
- USA 3. nyugati régiója
- USA déli középső régiója
- Észak-Európa
- Nyugat-Európa
- Délkelet-Ázsia
- Délkelet-Ausztrália
- Kelet-Ausztrália
- Az Egyesült Királyság déli régiója
- Az Egyesült Királyság nyugati régiója
- Dél-Brazília
- Közép-Kanada
- Közép-India
- Az USA középső régiója
- Közép-Franciaország
- Középnyugat-Németország
- Kelet-Japán
- USA északi középső régiója
- Kelet-Norvégia
- Észak-Svájc
- Jio Nyugat-India
- Egyesült Arab Emírségek északi régiója
- Kelet-Ázsia
- Dél-Korea középső régiója
- Dél-Afrika északi régiója
- Közép-Katar
- USGov Arizona (nyilvános előzetes verzió)
- USGov Virginia (nyilvános előzetes verzió)
- China North 3 (nyilvános előzetes verzió)
- Közép-Svédország
- Közép-Lengyelország
- Észak-Olaszország
- Izrael középső régiója
Az Azure VM Image Builder nyilvános előzetes verziójának a Fairfax-régiókban (USGov Arizona és USGov Virginia) való eléréséhez regisztrálnia kell a Microsoft.VirtualMachineImages/FairfaxPublicPreview funkciót. Ehhez futtassa a következő parancsot a PowerShellben vagy az Azure CLI-ben:
Register-AzProviderPreviewFeature -ProviderNamespace Microsoft.VirtualMachineImages -Name FairfaxPublicPreview
Az Azure VM Image Builder nyilvános előzetes verziójának a China North 3 régióban való eléréséhez regisztrálnia kell a Microsoft.VirtualMachineImages/MooncakePublicPreview funkciót. Ehhez futtassa a következő parancsot a PowerShellben vagy az Azure CLI-ben:
Register-AzProviderPreviewFeature -ProviderNamespace Microsoft.VirtualMachineImages -Name MooncakePublicPreview
Operációs rendszer támogatása
A VM Image Builder úgy lett kialakítva, hogy az Azure Marketplace összes alap operációsrendszer-lemezképével működjön együtt.
Feljegyzés
2023 márciusától már használhatja az Azure Image Builder szolgáltatást a portálon belül. Ismerkedés az egyéni rendszerképek portálon belüli létrehozásával és érvényesítésével.
Bizalmas virtuális gép és megbízható indítás támogatása
A VM Image Builder bizonyos korlátozások mellett kiterjesztette a TrustedLaunchSupported és a ConfidentialVMSupported rendszerképek támogatását. Az alábbiakban a korlátozások listája látható:
SecurityType | Támogatási állapot |
---|---|
TrustedLaunchSupported | Támogatás forrásképként a kép buildjeihez |
ConfidentialVMSupported | Támogatás forrásképként a kép buildjeihez |
TrustedLaunch | Nem támogatott forrásképként |
ConfidentialVM | Nem támogatott forrásképként |
Feljegyzés
A TrustedLaunchSupported rendszerképek használatakor fontos, hogy a forrásnak és az terjesztésnek egyaránt TrustedLaunchSupported típusúnak kell lennie ahhoz, hogy támogatott legyen. Ha a forrás normál, és az elosztás megbízhatóLaunchSupported, vagy ha a forrás TrustedLaunchSupported, és az elosztás normál Gen2, akkor az nem támogatott.
Hogyan működik?
A VM Image Builder egy teljes mértékben felügyelt Azure-szolgáltatás, amely elérhető az Azure-erőforrás-szolgáltatók számára. Az erőforrás-szolgáltatók úgy konfigurálják, hogy megadnak egy forráslemezképet, egy végrehajtandó testreszabást, és azt, hogy hol kell terjeszteni az új lemezképet. A magas szintű munkafolyamatokat az alábbi diagram szemlélteti:
Sablonkonfigurációkat az Azure PowerShell, az Azure CLI vagy az Azure Resource Manager-sablonok használatával, vagy egy VM Image Builder DevOps-feladattal adhat át. Amikor elküldi a konfigurációt a szolgáltatásnak, az Azure létrehoz egy képsablon-erőforrást. A rendszerképsablon-erőforrás létrehozásakor egy átmeneti erőforráscsoport jön létre az előfizetésben a következő formátumban: IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID)
. Az átmeneti erőforráscsoport fájlokat és szkripteket tartalmaz, amelyekre a ScriptURI tulajdonság Fájl, Shell és PowerShell testreszabása hivatkozik.
A build futtatásához meghívja Run
a VM Image Builder sablonerőforrást. A szolgáltatás ezután további erőforrásokat helyez üzembe a buildhez, például virtuális gépet, hálózatot, lemezt és hálózati adaptert.
Ha meglévő virtuális hálózat használata nélkül hoz létre lemezképet, a VM Image Builder egy nyilvános IP- és hálózati biztonsági csoportot is üzembe helyez, és Secure Shell (SSH) vagy Windows Remote Management (WinRM) protokoll használatával csatlakozik a buildelési virtuális géphez.
Ha egy meglévő virtuális hálózatot választ ki, a szolgáltatás az Azure Private Linken keresztül lesz üzembe helyezve, és nincs szükség nyilvános IP-címre. További információ: VM Image Builder hálózatkezelés áttekintése.
Amikor a build befejeződik, az összes erőforrás törlődik, kivéve az átmeneti erőforráscsoportot és a tárfiókot. A rendszerképsablon-erőforrás törlésével eltávolíthatja őket, vagy a helyén hagyhatja őket a build ismételt futtatásához.
Több példa, részletes útmutatók, konfigurációs sablonok és megoldások, lépjen a VM Image Builder GitHub-adattárba.
Támogatás áthelyezése
A képsablon erőforrása nem módosítható, és az erőforrásokra és az átmeneti erőforráscsoportra mutató hivatkozásokat tartalmaz. Ezért ez az erőforrástípus nem támogatja az áthelyezést.
Ha át szeretné helyezni a képsablon erőforrását, győződjön meg arról, hogy rendelkezik a konfigurációs sablon másolatával, vagy ha nincs másolata, bontsa ki a meglévő konfigurációt az erőforrásból. Ezután hozzon létre egy új képsablon-erőforrást az új erőforráscsoportban egy új névvel, és törölje az előző képsablon-erőforrást.
Engedélyek
Amikor regisztrál a virtuálisgép-rendszerkép-készítő szolgáltatásra, a szolgáltatásnak engedélyt ad egy előkészítési erőforráscsoport létrehozására, kezelésére és törlésére, amely előtaggal IT_*
rendelkezik. Emellett a rendszerkép összeállításához szükséges erőforrásokat is hozzáadhatja a rendszerképhez. Ez azért történik, mert a virtuálisgép-rendszerkép-készítő szolgáltatásnév elérhetővé válik az előfizetésben a sikeres regisztráció után.
Ahhoz, hogy a VM Image Builder lemezképeket terjesszen a felügyelt képekre vagy a számítási gyűjteményre, létre kell hoznia egy, a képek olvasására és írására vonatkozó engedélyekkel rendelkező Azure-felhasználó által hozzárendelt identitást. Ha hozzáfér az Azure Storage-hoz, engedélyre lesz szüksége a privát és nyilvános tárolók olvasásához.
Az API 2021-10-01-es és újabb verzióiban a VM Image Builder támogatja az Azure felhasználó által hozzárendelt identitások hozzáadását a buildelési virtuális géphez, hogy olyan forgatókönyveket engedélyezhessen, ahol olyan szolgáltatásokkal kell hitelesítenie, mint az Azure Key Vault az előfizetésében.
Az engedélyekkel kapcsolatos további információkért lásd:
- A VM Image Builder engedélyeinek konfigurálása a PowerShell használatával
- A VM Image Builder engedélyeinek konfigurálása az Azure CLI használatával
- VM Image Builder-sablon létrehozása
Költségek
A VM Image Builder használatával képek létrehozása, létrehozása és tárolása során számítási, hálózati és tárolási költségekkel kell számolnia. Ezek a költségek hasonlóak az egyéni rendszerképek manuális létrehozásakor felmerülő költségekhez. Az erőforrásokat az Azure-díjak alapján számítjuk fel.
Feljegyzés
Az Azure Image Builder szolgáltatás jelenleg nem támogatja a Windows Serverhez készült Azure Hybrid Benefit szolgáltatást.
A képlétrehozási folyamat során a rendszer letölti és tárolja a fájlokat az IT_<DestinationResourceGroup>_<TemplateName>
erőforráscsoportban, ami kis tárolási költséggel jár. Ha nem szeretné megtartani ezeket a fájlokat, törölje a képsablont a rendszerkép létrehozása után.
A VM Image Builder a Gen1-rendszerképek alapértelmezett Standard_D1_v2 virtuálisgép-méretének és a Gen2-lemezképek Standard_D2ds_v4, valamint a virtuális géphez szükséges tárhely és hálózatkezelés használatával hoz létre egy virtuális gépet. Ezek az erőforrások a létrehozási folyamat időtartamára tartanak, és a rendszer a rendszerkép létrehozása után törlődik.
A VM Image Builder elosztja a rendszerképet a kiválasztott régiók között, ami hálózati kimenő díjakat vonhat maga után.
Hyper-V-generáció
A VM Image Builder jelenleg támogatja a Hyper-V Gen1 és Gen2 rendszerképek létrehozását egy számítási gyűjteményben, valamint felügyelt rendszerképként vagy VHD-ként. Ne feledje, hogy az elosztott rendszerkép mindig ugyanabban a generációban található, mint a megadott kép.
Gen2-rendszerképek esetén győződjön meg arról, hogy a megfelelő termékváltozatot használja. Az Ubuntu Server 18.04 Gen2 rendszerkép termékváltozata például 18_04-lts-gen2. Az Ubuntu Server 18.04 Gen1 rendszerkép termékváltozata 18.04-lts.
A rendszerkép-közzétevőn alapuló termékváltozatok az alábbiak:
# Find all Gen2 SKUs published by Microsoft Windows Desktop
az vm image list --publisher MicrosoftWindowsDesktop --sku g2 --output table --all
# Find all Gen2 SKUs published by Canonical
az vm image list --publisher Canonical --sku gen2 --output table --all
A Gen2-t támogató Azure-beli virtuálisgép-rendszerképekről további információt a Gen2 virtuálisgép-rendszerképek az Azure Marketplace-en című témakörben talál.
Következő lépések
A VM Image Builder kipróbálásához tekintse meg a Linux- vagy Windows-rendszerképek készítéséről szóló cikkeket.