Azure VM Image Builder のネットワーク オプション
適用対象: ✔️ Linux VM ✔️ フレキシブルなスケール セット
Azure VM Image Builder では、既存の仮想ネットワークの有無に関係なく、サービスのデプロイを選択します。 以下のセクションでは、この選択について詳しく説明します。
既存の仮想ネットワークを指定せずにデプロイする
既存の仮想ネットワークを指定しない場合、VM Image Builder は、ステージング リソース グループにサブネットと共に仮想ネットワークを 1 つ作成します。 このサービスでは、ネットワーク セキュリティ グループを持つパブリック IP リソースを使用して、受信トラフィックを制限します。 パブリック IP は、イメージのビルド中にコマンドのチャネルを支援します。 ビルドが完了すると、仮想マシン (VM)、パブリック IP、ディスク、および仮想ネットワークが削除されます。 このオプションを使用するには、仮想ネットワークのプロパティを指定しないでください。
既存の VNET を使用してデプロイする
仮想ネットワークとサブネットを指定した場合は、VM Image Builder によって、選択した仮想ネットワークにビルド VM がデプロイされます。 仮想ネットワーク上でアクセス可能なリソースにアクセスできます。 また、他の仮想ネットワークに接続されていない、サイロ化された仮想ネットワークの作成もできます。 仮想ネットワークを指定した場合、VM Image Builder はパブリック IP アドレスを使用しません。 VM Image Builder から Build 仮想マシンへの通信は、 Azure Private Link を使用します。
詳細については、次のいずれかの例を参照してください。
- Windows VM の Azure VM Image Builder を使用して、既存の Azure 仮想ネットワークへのアクセスを許可する
- Linux VM の Azure VM Image Builder を使用して、既存の Azure 仮想ネットワークへのアクセスを許可する
Azure Private Link とは
Azure Private Link は、仮想ネットワークから Azure のサービスとしてのプラットフォーム (PaaS)、または顧客所有、または Microsoft パートナー サービスにプライベート接続を提供します。 ネットワーク アーキテクチャを簡素化し、パブリック インターネットへのデータの公開をなくすことで Azure のエンドポイント間の接続をセキュリティで保護します。 詳細については、「Private Link のドキュメント」をご覧ください。
既存の仮想ネットワークに必要なアクセス許可
VM Image Builder には、既存の仮想ネットワークを使用するための特定のアクセス許可が必要です。 詳細については、「Azure CLI を使用して Azure VM Image Builder のアクセス許可を構成する」または「PowerShell を使用して Azure VM Image Builder のアクセス許可を構成する」をご覧ください。
イメージのビルド時のデプロイ対象
既存の仮想ネットワークを使用する場合、VM Image Builder は追加の VM (プロキシ VM) とロード バランサー (Azure Load Balancer) をデプロイします。 これらは Private Link に接続されます。 VM Image Builder サービスからのトラフィックは、ロード バランサーへのプライベート リンクを経由します。 ロード バランサーは、ポート 60001 (Linux の場合) または ポート 60000 (Windows の場合) を使用してプロキシ VM と通信します。 プロキシは、ポート 22 (Linux の場合) またはポート 5986 (Windows の場合) を使用してビルド VM にコマンドを転送します。
注意
仮想ネットワークは、VM Image Builder サービス リージョンと同じリージョンである必要があります。
重要
Azure VM Image Builder サービスは、既定の HTTP ポート 5985 ではなく、ポート 5986 で HTTPS を使用するように、すべての Windows ビルドの WinRM 接続構成を変更します。 この構成の変更は、WinRM 通信に依存するワークフローに影響を与える可能性があります。
プロキシ VM をデプロイする理由は?
パブリック IP のない VM が内部ロード バランサーの内側にある場合、その VM はインターネットにアクセスできません。 仮想ネットワークに使用されるロード バランサーは内部ロード バランサーです。 プロキシ VM では、ビルド時にビルド VM のインターネット アクセスを許可します。 関連付けられているネットワーク セキュリティ グループを使用すると、ビルド VM のアクセスを制限できます。
デプロイされたプロキシ VM のサイズは、Standard A1_v2 にビルド VM を加えたものになります。 VM Image Builder サービスは、プロキシ VM を使用して、サービスとビルド VM の間にコマンドを送信します。 プロキシ VM のプロパティを変更することはできません (この制限にはサイズとオペレーティング システムが含まれます)。
仮想ネットワークをサポートするイメージ テンプレート パラメーター
"vnetConfig": {
"subnetId": ""
},
設定 | 説明 |
---|---|
subnetId |
ビルド VM と検証 VM がデプロイされている既存のサブネットのリソース ID。 |
Private Link には、指定された仮想ネットワークとサブネットからの IP が必要です。 現在、Azure では、これらの IP 上でのネットワーク ポリシーをサポートしていません。 そのため、サブネットのネットワーク ポリシーを無効にする必要があります。 詳細については、「Private Link のドキュメント」をご覧ください。
仮想ネットワークを使用するためのチェックリスト
- Azure Load Balancer がネットワーク セキュリティ グループ内のプロキシ VM と通信できるようにします。
- サブネットでプライベート サービス ポリシーを無効にします。
- VM Image Builder でロード バランサーを作成し、仮想ネットワークに VM を追加できるようにします。
- VM Image Builder にソース イメージの読み取りと書き込みや、イメージの作成を許可します。
- VM Image Builder サービス リージョンと同じリージョンで仮想ネットワークを使用していることを確認します。