Параметры сети Конструктора образов виртуальных машин Azure
Область применения: ✔️ Виртуальные машины Linux ✔️ Гибкие масштабируемые наборы
С помощью Конструктора образов виртуальных машин Azure вы можете выбрать развертывание службы с существующей виртуальной сетью или без нее. В следующих разделах содержится более подробная информация об этой возможности.
Развертывание без указания существующей виртуальной сети
Если вы не укажете существующую виртуальную сеть, Конструктор образов виртуальных машин создаст ее вместе с подсетью в промежуточной группе ресурсов. Служба использует общедоступный IP-ресурс с группой безопасности сети для ограничения входящего трафика. Общедоступный IP-адрес обеспечивает канал для команд во время сборки образа. После завершения сборки виртуальная машина, общедоступный IP-адрес, диски и виртуальная сеть удаляются. Чтобы использовать эту возможность, не указывайте свойства виртуальной сети.
Развертывание с использованием существующей виртуальной сети
Если вы укажете виртуальную сеть и подсеть, Конструктор образов виртуальных машин развернет виртуальную машину сборки в выбранной виртуальной сети. Вы можете обращаться к ресурсам, доступным в виртуальной сети. Вы также можете создать изолированную виртуальную сеть, не подключенную к любой другой виртуальной сети. Если указать виртуальную сеть, Конструктор образов виртуальных машин не будет использовать общедоступный IP-адрес. Обмен данными между Конструктором образов виртуальных машин и виртуальной машиной сборки происходит с помощью Приватного канала Azure.
Дополнительные сведения см. в одной из следующих статей:
- Использование Конструктора образов виртуальных машин Azure для создания виртуальных машин Windows с доступом к существующей виртуальной сети Azure
- Использование Конструктора образов виртуальных машин Azure для создания виртуальных машин Linux с доступом к существующей виртуальной сети Azure
Что собой представляет Приватный канал Azure?
Приватный канал Azure обеспечивает возможность частного подключения между виртуальной сетью и Azure PaaS (платформа как услуга), а также клиентскими службами или службами партнеров корпорации Майкрософт. Это упрощает сетевую архитектуру и защищает подключение между конечными точками в Azure, устраняя проблему с незащищенностью данных в общедоступном Интернете. Дополнительные сведения см. в документации по Приватному каналу.
Необходимые разрешения для существующей виртуальной сети
Конструктору образов виртуальных машин требуются определенные разрешения для использования существующей виртуальной сети. Дополнительные сведения см. в статьях Настройка разрешений Конструктора образов виртуальных машин Azure с помощью Azure CLI и Настройка разрешений Конструктора образов виртуальных машин Azure с помощью PowerShell.
Какие ресурсы развертываются во время сборки образа?
Если вы используете существующую виртуальную сеть, Конструктор образов виртуальных машин развернет дополнительную виртуальную машину (виртуальную машину прокси-сервера) и подсистему балансировки нагрузки (Azure Load Balancer). Они будут подключены к Приватному каналу. Трафик из службы Конструктора образов виртуальных машин проходит через приватный канал к подсистеме балансировки нагрузки. Подсистема балансировки нагрузки взаимодействует с виртуальной машиной прокси-сервера, используя порт 60001 для Linux и порт 60000 для Windows. Прокси-сервер передает команды на виртуальную машину сборки с помощью порта 22 для Linux и 5986 для Windows.
Примечание.
Виртуальная сеть должна находиться в том же регионе, что и Конструктор образов виртуальных машин.
Внимание
Служба построителя образов виртуальных машин Azure изменяет конфигурацию подключения WinRM во всех сборках Windows для использования HTTPS через порт 5986 вместо HTTP-порта по умолчанию на 5985. Это изменение конфигурации может повлиять на рабочие процессы, использующие связь WinRM.
Зачем развертывать виртуальную машину прокси-сервера?
Если виртуальная машина без общедоступного IP-адреса находится за внутренней подсистемой балансировки нагрузки, у нее не будет доступа к Интернету. Подсистема балансировки нагрузки, используемая для виртуальной сети, является внутренней. Виртуальная машина прокси-сервера разрешает виртуальной машине сборки доступ к Интернету во время сборок. Вы можете использовать связанные группы безопасности сети, чтобы ограничить доступ к виртуальной машине сборки.
Размер развернутой виртуальной машины прокси-сервера — Standard A1_v2 в дополнение к виртуальной машине сборки. Служба Конструктора образов виртуальных машин использует виртуальную машину прокси-сервера для отправки команд между службой и виртуальной машиной сборки. Вы не можете изменить свойства виртуальной машины прокси-сервера (это ограничение включает размер и операционную систему).
Параметры шаблона образа для включения поддержки виртуальной сети
"vnetConfig": {
"subnetId": ""
},
| Параметр | Description |
|---|---|
subnetId |
Идентификатор ресурса предварительно существующей подсети, в которой развернута виртуальная машина сборки и виртуальная машина проверки. |
Приватному каналу требуется IP-адрес из указанной виртуальной сети и подсети. Сейчас Azure не поддерживает политики сети для этих IP-адресов. Поэтому вы должны отключить политики сети в подсети. Дополнительные сведения см. в документации по Приватному каналу.
Контрольный список для использования виртуальной сети
- Разрешите Azure Load Balancer обмениваться данными с виртуальной машиной прокси-сервера в группе безопасности сети.
- Отключите политику частной службы в подсети.
- Разрешите Конструктору образов виртуальных машин создать подсистему балансировки нагрузки и добавьте виртуальные машины в виртуальную сеть.
- Предоставьте Конструктору образов виртуальных машин разрешения на чтение и запись образов источника, а также создание образов.
- Убедитесь, что вы используете виртуальную сеть в регионе службы Конструктора образов виртуальных машин.
Следующие шаги
Общие сведения о Конструкторе образов виртуальных машин Azure