Opzioni di rete di Generatore immagini vm di Azure

  • Articolo

Si applica a: ✔️ set di scalabilità flessibili di macchine virtuali ✔️ Linux

Con Azure VM Image Builder, si sceglie di distribuire il servizio con o senza una rete virtuale esistente. Le sezioni seguenti forniscono altri dettagli su questa scelta.

Distribuire senza specificare una rete virtuale esistente

Se non si specifica una rete virtuale esistente, Image Builder di macchine virtuali crea una, insieme a una subnet, nel gruppo di risorse di staging. Il servizio usa una risorsa IP pubblica con un gruppo di sicurezza di rete per limitare il traffico in ingresso. L'INDIRIZZO IP pubblico facilita il canale per i comandi durante la compilazione dell'immagine. Al termine della compilazione, la macchina virtuale (VM), l'IP pubblico, i dischi e la rete virtuale vengono eliminati. Per usare questa opzione, non specificare le proprietà di rete virtuale.

Distribuire usando una rete virtuale esistente

Se si specifica una rete virtuale e una subnet, Image Builder vm distribuisce la macchina virtuale di compilazione nella rete virtuale scelta. È possibile accedere alle risorse accessibili nella rete virtuale. È anche possibile creare una rete virtuale silo, non connessa a qualsiasi altra rete virtuale. Se si specifica una rete virtuale, Image Builder di macchine virtuali non usa un indirizzo IP pubblico. La comunicazione da Generatore immagini vm alla macchina virtuale di compilazione usa collegamento privato di Azure.

Per altre informazioni, vedere uno degli esempi seguenti:

collegamento privato di Azure offre connettività privata da una rete virtuale a una piattaforma di Azure come servizio (PaaS) o ai servizi partner Microsoft o di proprietà del cliente. Semplifica l'architettura di rete e protegge la connessione tra endpoint in Azure eliminando l'esposizione dei dati a Internet pubblica. Per altre informazioni, vedere la documentazione di collegamento privato.

Autorizzazioni necessarie per una rete virtuale esistente

Vm Image Builder richiede autorizzazioni specifiche per l'uso di una rete virtuale esistente. Per altre informazioni, vedere Configurare le autorizzazioni di Generatore immagini di macchine virtuali di Azure usando l'interfaccia della riga di comando di Azure o Configurare le autorizzazioni di Generatore immagini di macchine virtuali di Azure usando PowerShell.

Cosa viene distribuito durante una compilazione di immagini?

Se si usa una rete virtuale esistente, Image Builder vm distribuisce una macchina virtuale aggiuntiva (una macchina virtuale proxy) e un servizio di bilanciamento del carico (Azure Load Balancer). Questi sono connessi a collegamento privato. Il traffico dal servizio Generatore immagini vm passa attraverso il collegamento privato al servizio di bilanciamento del carico. Il servizio di bilanciamento del carico comunica alla macchina virtuale proxy usando la porta 60001 per Linux o la porta 60000 per Windows. Il proxy inoltra i comandi alla macchina virtuale di compilazione usando la porta 22 per Linux o la porta 5986 per Windows.

Nota

La rete virtuale deve trovarsi nella stessa area dell'area del servizio Generatore immagini vm.

Importante

Il servizio Azure VM Image Builder modifica la configurazione della connessione WinRM in tutte le build di Windows per usare HTTPS sulla porta 5986 anziché sulla porta HTTP predefinita su 5985. Questa modifica della configurazione può influire sui flussi di lavoro che si basano sulla comunicazione WinRM.

Perché distribuire una macchina virtuale proxy?

Quando una macchina virtuale senza un indirizzo IP pubblico è dietro un servizio di bilanciamento del carico interno, non dispone dell'accesso a Internet. Il servizio di bilanciamento del carico usato per la rete virtuale è interno. La macchina virtuale proxy consente l'accesso a Internet per la macchina virtuale di compilazione durante le compilazioni. È possibile usare i gruppi di sicurezza di rete associati per limitare l'accesso alla macchina virtuale di compilazione.

Le dimensioni della macchina virtuale proxy distribuite sono A1_v2 standard, oltre alla macchina virtuale di compilazione. Il servizio Generatore immagini macchina virtuale usa la macchina virtuale proxy per inviare comandi tra il servizio e la macchina virtuale di compilazione. Non è possibile modificare le proprietà della macchina virtuale proxy (questa restrizione include le dimensioni e il sistema operativo).

Parametri del modello di immagine per supportare la rete virtuale

"VirtualNetworkConfig": {
        "name": "",
        "subnetName": "",
        "resourceGroupName": ""
        },
Impostazione Descrizione
name (Facoltativo) Nome di una rete virtuale preesistente.
subnetName Nome della subnet all'interno della rete virtuale specificata. È necessario specificare questa impostazione se e solo se l'impostazione name è specificata.
resourceGroupName Nome del gruppo di risorse contenente la rete virtuale specificata. È necessario specificare questa impostazione se e solo se l'impostazione name è specificata.

collegamento privato richiede un INDIRIZZO IP dalla rete virtuale e dalla subnet specificati. Attualmente Azure non supporta i criteri di rete in questi indirizzi IP. Di conseguenza, è necessario disabilitare i criteri di rete nella subnet. Per altre informazioni, vedere la documentazione di collegamento privato.

Elenco di controllo per l'uso della rete virtuale

  1. Consenti Azure Load Balancer di comunicare con la macchina virtuale proxy in un gruppo di sicurezza di rete.
  2. Disabilitare i criteri del servizio privato nella subnet.
  3. Consentire a Generatore immagini vm di creare un servizio di bilanciamento del carico e aggiungere macchine virtuali alla rete virtuale.
  4. Consentire a Generatore immagini vm di leggere e scrivere immagini di origine e creare immagini.
  5. Assicurarsi di usare una rete virtuale nella stessa area dell'area del servizio Generatore immagini vm.

Passaggi successivi

Panoramica di Generatore immagini di macchine virtuali di Azure