Megosztás a következőn keresztül:

Izolált rendszerkép-buildek az Azure-beli virtuálisgép-rendszerkép-készítőhöz

  • Cikk

Az izolált rendszerkép-buildek az Azure VM Image Builder (AIB) egyik funkciója. Áttér a virtuálisgép-rendszerkép testreszabásának/érvényesítésének alapvető folyamatára a megosztott platform-infrastruktúráról az előfizetés dedikált Azure Container Instances (ACI) erőforrásaira, így számítási és hálózati elkülönítést biztosít.

Az izolált rendszerkép-buildek előnyei

Az izolált rendszerkép-buildek lehetővé teszik a részletes védelmet azáltal, hogy a buildelt virtuális gép hálózati hozzáférését csak az előfizetésére korlátozza. Az izolált rendszerkép-buildek nagyobb átláthatóságot is biztosítanak, ha lehetővé teszi az AIB által végzett feldolgozás ellenőrzését a virtuálisgép-rendszerkép testreszabásához/érvényesítéséhez. Az izolált rendszerkép-buildek emellett megkönnyítik az élő buildnaplók megtekintését. Ezek konkrétan a következők:

  1. Számításelkülönítés: Az izolált rendszerkép-buildek az AIB megosztott platformerőforrásai helyett az előfizetésben lévő ACI-erőforrásokban végzik a képkészítés feldolgozásának nagy részét. Az ACI minden tárolócsoport számára biztosítja a hipervizorok elszigetelését, így garantálva, hogy a tárolók elszigetelve fussanak, kernel megosztása nélkül.

  2. Hálózatelkülönítés: Az izolált rendszerkép-buildek eltávolítják az összes közvetlen hálózati WinRM/ssh-kommunikációt a buildelési virtuális gép és az AIB szolgáltatás háttérösszetevői között.

    • Ha saját alhálózat nélkül épít ki egy AIB-sablont a virtuális gép buildeléséhez, akkor a rendszerkép összeállításakor nem épít ki nyilvános IP-címerőforrást az átmeneti erőforráscsoportban.
    • Ha egy meglévő alhálózattal rendelkező AIB-sablont épít ki a virtuális gép létrehozásához, akkor a Private Link-alapú kommunikációs csatorna nincs többé beállítva a buildelési virtuális gép és az AIB háttérplatform-erőforrásai között. Ehelyett a kommunikációs csatorna az ACI és a buildelési virtuálisgép-erőforrások között van beállítva – mindkettő az előfizetés átmeneti erőforráscsoportjában található.
    • Az API 2024-02-01-es verziójától kezdődően megadhat egy második alhálózatot az ACI üzembe helyezéséhez a virtuális gép buildeléséhez használt alhálózat mellett. Ha meg van adva, az AIB üzembe helyezi az ACI-t ezen az alhálózaton, és nincs szükség arra, hogy az AIB beállítsa a Private Link alapú kommunikációs csatornát az ACI és a buildelési virtuális gép között. A második alhálózatról további információt itt talál.

  3. Átláthatóság: Az AIB a HashiCorp Packerre épül. Az izolált rendszerkép-buildek végrehajtják a Packert az előfizetésében lévő ACI-ben, amely lehetővé teszi az ACI-erőforrás és tárolóinak vizsgálatát. Hasonlóképpen, a teljes hálózati kommunikációs folyamat az előfizetésben lehetővé teszi az összes hálózati erőforrás, azok beállításainak és kibocsátási egységeinek vizsgálatát.

  4. Élő naplók jobb megtekintése: Az AIB testreszabási naplókat ír egy tárfiókba az előfizetés átmeneti erőforráscsoportjában. Az izolált rendszerkép-buildek más módon is követhetik ugyanazokat a naplókat közvetlenül az Azure Portalon, ami az AIB tárolójába való navigálással végezhető el az ACI-erőforrásban.

Hálózati topológiák

Az izolált rendszerkép-buildek üzembe helyezik az ACI-t és a build virtuális gépet az előfizetés átmeneti erőforráscsoportjában. Ahhoz, hogy az AIB testre szabhassa/érvényesíthesse a rendszerképet, az ACI-ben futó tárolópéldányoknak hálózati elérési útjuk van a buildelési virtuális géphez. Az egyéni hálózati igények és szabályzatok alapján konfigurálhatja az AIB-t, hogy különböző hálózati topológiákat használjon erre a célra:

Ne hozzon létre saját buildelési virtuálisgép-alhálózatot

  • Ezt a topológiát úgy választhatja ki, hogy nem adja meg a mezőt a vnetConfig Képsablonban, vagy megadhatja a mezőt, de nem és containerInstanceSubnetId almezők nélkülsubnetId.
  • Ebben az esetben az AIB üzembe helyez egy virtuális hálózatot az átmeneti erőforráscsoportban, két alhálózattal és hálózati biztonsági csoportokkal (NSG-kkel) együtt. Az egyik alhálózat az ACI üzembe helyezésére, a másik alhálózat pedig a buildelési virtuális gép üzembe helyezésére szolgál. Az NSG-k úgy vannak beállítva, hogy lehetővé tegyék a két alhálózat közötti kommunikációt.
  • Az AIB ebben az esetben nem helyez üzembe nyilvános IP-erőforrást vagy privát kapcsolaton alapuló kommunikációs folyamatot.

Hozzon létre egy saját build virtuálisgép-alhálózatot, de ne hozzon saját ACI-alhálózatot

  • Ezt a topológiát úgy választhatja ki, hogy a mezőt az vnetConfig subnetId almezővel együtt adja meg, az almezőt azonban nem a containerInstanceSubnetId Képsablonban.
  • Ebben az esetben az AIB ideiglenes virtuális hálózatot helyez üzembe az átmeneti erőforráscsoportban, két alhálózattal és hálózati biztonsági csoportokkal (NSG-kkel) együtt. Az egyik alhálózat az ACI üzembe helyezésére, a másik alhálózat pedig a privát végpont erőforrásának üzembe helyezésére szolgál. A build virtuális gép a megadott alhálózaton van üzembe helyezve. Az átmeneti erőforráscsoportban egy privát végpontból, privát kapcsolati szolgáltatásból, Azure Load Balancerből és proxy virtuális gépből álló privát kapcsolatalapú kommunikációs folyamat is üzembe van helyezve, hogy megkönnyítse az ACI-alhálózat és a buildelési virtuális gép alhálózata közötti kommunikációt.

Saját buildelési virtuálisgép-alhálózat létrehozása és saját ACI-alhálózat használata

  • Ezt a topológiát úgy választhatja ki, hogy megadja a vnetConfig mezőt a subnetId képsablon & containerInstanceSubnetId almezőivel együtt. Ez a lehetőség (és az almező containerInstanceSubnetId) az API 2024-02-01-es verziójától kezdve érhető el. A meglévő sablonokat is frissítheti a topológia használatához.
  • Ebben az esetben az AIB üzembe helyezi a build virtuális gépet a megadott buildelési virtuálisgép-alhálózaton, az ACI-t pedig a megadott ACI-alhálózaton.
  • Az AIB nem telepíti a hálózati erőforrásokat az átmeneti erőforráscsoportban, beleértve a nyilvános IP-címet, a virtuális hálózatot, az alhálózatokat, a hálózati biztonsági csoportokat, a privát végpontot, a private link szolgáltatást, az Azure Load Balancert és a proxy virtuális gépet. Ez a topológia akkor használható, ha kvótakorlátozások vagy szabályzatok tiltják ezeknek az erőforrásoknak az üzembe helyezését.
  • Az ACI-alhálózatnak meg kell felelnie bizonyos feltételeknek, hogy lehetővé tegye az izolált rendszerkép-buildekkel való használatát.

Ezekről a mezőkről a sablonhivatkozásban talál részleteket. A hálózatkezelési lehetőségekről itt olvashat részletesen.

Visszamenőleges kompatibilitás

Az izolált rendszerkép-buildek egy platformszintű változás, és nem érintik az AIB felületeit. Így a meglévő képsablon és triggererőforrások továbbra is működnek, és nincs változás az ilyen típusú új erőforrások üzembe helyezésében. Új sablonokat kell létrehoznia, vagy frissítenie kell a meglévő sablonokat, ha a hálózati topológiát szeretné használni , amely lehetővé teszi a saját ACI-alhálózat létrehozását.

A rendszer automatikusan áttelepíti a rendszerkép-buildeket az izolált rendszerkép-buildekbe, és nem kell semmilyen műveletet elvégeznie a bejelentkezéshez. Emellett a testreszabási naplók továbbra is elérhetők a tárfiókban.

A rendszerképsablonban megadott hálózati topológiától függően előfordulhat, hogy néhány új erőforrás ideiglenesen megjelenik az átmeneti erőforráscsoportban (például ACI, Virtuális hálózat, Hálózati biztonsági csoport és Privát végpont), míg néhány más erőforrás már nem jelenik meg (például nyilvános IP-cím). Mint korábban, ezek az ideiglenes erőforrások csak a buildelés során léteznek, és az AIB ezt követően törli őket.

Fontos

Győződjön meg arról, hogy az előfizetés regisztrálva van:Microsoft.ContainerInstance provider

  • Azure CLI: az provider register -n Microsoft.ContainerInstance
  • PowerShell: Register-AzResourceProvider -ProviderNamespace Microsoft.ContainerInstance

Az előfizetés sikeres regisztrálása után győződjön meg arról, hogy az előfizetésében nincsenek olyan Azure-szabályzatok, amelyek megtagadják az ACI-újrakonfigurálását. Az ACI-t nem tartalmazó korlátozott erőforrástípusokat engedélyező szabályzatok az izolált rendszerkép-buildek sikertelenségéhez vezetnek.

Győződjön meg arról, hogy az előfizetése rendelkezik az ACI-erőforrások üzembe helyezéséhez szükséges erőforráskvótával is.

Fontos

A rendszerképsablonban megadott hálózati topológiától függően előfordulhat, hogy az AIB-nek ideiglenes hálózatkezeléssel kapcsolatos erőforrásokat kell üzembe helyeznie az előfizetés átmeneti erőforráscsoportjában. Győződjön meg arról, hogy egyetlen Azure-szabályzat sem tagadja meg az ilyen erőforrások telepítését (virtuális hálózat alhálózatokkal, hálózati biztonsági csoport, privát végpont) az erőforráscsoportban.

Ha az Azure-szabályzatok DDoS-védelmi csomagokat alkalmaznak bármely újonnan létrehozott virtuális hálózatra, lazítsa ki az erőforráscsoport szabályzatát, vagy győződjön meg arról, hogy a felügyelt sablon identitása rendelkezik engedéllyel a csomaghoz való csatlakozáshoz. Másik lehetőségként használhatja azt a hálózati topológiát, amely nem igényel új virtuális hálózat AIB általi üzembe helyezését.

Fontos

Győződjön meg arról, hogy az AIB használata során minden ajánlott eljárást követ.

Feljegyzés

Az AIB folyamatban van a változás minden helyre és ügyfélre történő bevezetése során. Ezen részletek némelyike (különösen az új hálózatkezeléshez kapcsolódó erőforrások üzembe helyezése körül) változhat, mivel a folyamat a szolgáltatás telemetriai adatai és visszajelzései alapján finomhangolva van. Az esetleges hibákért tekintse meg a hibaelhárítási útmutatót.

Következő lépések