Azure VM Image Builder 네트워킹 옵션

적용 대상: ✔️ Linux VM ✔️ 유연한 확장 집합

Azure VM Image Builder를 사용하면 기존 가상 네트워크를 사용하거나 사용하지 않고 서비스를 배포하도록 선택합니다. 다음 섹션에서는 이러한 선택에 대한 자세한 정보를 제공합니다.

기존 가상 네트워크를 지정하지 않고 배포

기존 가상 네트워크를 지정하지 않으면 VM Image Builder는 스테이징 리소스 그룹에 서브넷과 함께 가상 네트워크를 만듭니다. 이 서비스는 네트워크 보안 그룹과 함께 공용 IP 리소스를 사용하여 인바운드 트래픽을 제한합니다. 공용 IP를 통해 이미지 빌드 중에 명령의 채널을 쉽게 사용할 수 있습니다. 빌드가 완료되면 VM(가상 머신), 공용 IP, 디스크 및 가상 네트워크가 삭제됩니다. 이 옵션을 사용하려면 가상 네트워크 속성을 지정하지 마세요.

기존 VNET을 사용하여 배포

가상 네트워크 및 서브넷을 지정하면 VM Image Builder는 선택한 가상 네트워크에 빌드 VM을 배포합니다. 가상 네트워크에서 액세스 가능한 리소스에 액세스할 수 있습니다. 다른 가상 네트워크에 연결되지 않은 사일로 가상 네트워크를 만들 수도 있습니다. 가상 네트워크를 지정하는 경우 VM Image Builder는 공용 IP 주소를 사용하지 않습니다. VM Image Builder에서 빌드 가상 머신에 대한 통신에는 Azure Private Link 기술이 사용됩니다.

자세한 내용은 다음 예제 중 하나를 참조하세요.

• 기존 Azure 가상 네트워크에 액세스를 허용하는 Windows VM용 Azure Image Builder 사용
• 기존 Azure 가상 네트워크에 액세스를 허용하는 Linux VM용 Azure Image Builder 사용

Azure Private Link란?

Azure Private Link는 가상 네트워크에서 Azure PaaS(Platform as a Service), 고객 소유 또는 Microsoft 파트너 서비스에 대한 프라이빗 연결을 제공합니다. 이를 통해 네트워크 구조를 간소화하고 공용 인터넷에 대한 데이터 노출을 방지하여 Azure에서 엔드포인트 간의 연결을 보호할 수 있습니다. 자세한 내용은 Private Link 설명서를 참조하세요.

기존 가상 네트워크에 필요한 권한

VM Image Builder가 기존 가상 네트워크를 사용하려면 특정 권한이 필요합니다. 자세한 내용은 Azure CLI를 사용하여 Azure VM Image Builder 권한 구성 또는 PowerShell을 사용하여 Azure VM Image Builder 권한 구성을 참조하세요.

이미지 빌드 중에 배포되는 것은 무엇인가요?

기존 가상 네트워크를 사용하는 경우 VM Image Builder가 추가 VM(프록시 VM) 및 부하 분산 장치(Azure Load Balancer)를 배포합니다. 이러한 항목은 Private Link에 연결됩니다. VM Image Builder 서비스의 트래픽은 프라이빗 링크를 통해 부하 분산 장치로 이동합니다. 부하 분산 장치는 Linux의 경우 포트 60001, Windows의 경우 포트 60000을 사용하여 프록시 VM과 통신합니다. 프록시는 Linux의 경우 포트 22 또는 Windows의 경우 포트 5986을 사용하여 빌드 VM에 명령을 전달합니다.

참고 항목

가상 네트워크는 VM Image Builder 서비스 지역과 동일한 지역에 있어야 합니다.

Important

Azure VM Image Builder 서비스는 5985의 기본 HTTP 포트 대신 포트 5986에서 HTTPS를 사용하도록 모든 Windows 빌드에서 WinRM 연결 구성을 수정합니다. 이 구성 변경은 WinRM 통신에 의존하는 워크플로에 영향을 미칠 수 있습니다.

프록시 VM을 배포하는 이유는?

공용 IP가 없는 VM은 내부 부하 분산 장치 뒤에 있는 경우 인터넷에 액세스할 수 없습니다. 가상 네트워크에 사용되는 부하 분산 장치는 내부 부하 분산 장치입니다. 프록시 VM은 빌드 중에 빌드 VM의 인터넷 액세스를 허용합니다. 연결된 네트워크 보안 그룹을 사용하여 빌드 VM 액세스를 제한할 수 있습니다.

배포된 프록시 VM 크기는 빌드 VM 외에도 표준 A1_v2입니다. VM Image Builder 서비스는 프록시 VM을 사용하여 이 서비스와 빌드 VM 간에 명령을 보냅니다. 프록시 VM 속성은 변경할 수 없습니다(이 제한에는 크기 및 운영 체제가 포함됨).

가상 네트워크를 지원하는 이미지 템플릿 매개 변수

"VirtualNetworkConfig": {
        "name": "",
        "subnetName": "",
        "resourceGroupName": ""
        },

설정	설명
name	(선택 사항) 기존 가상 네트워크의 이름입니다.
subnetName	지정된 가상 네트워크 내에 있는 서브넷의 이름입니다. name 설정이 지정된 경우에만 이 설정을 지정해야 합니다.
resourceGroupName	지정된 가상 네트워크를 포함하는 리소스 그룹의 이름입니다. name 설정이 지정된 경우에만 이 설정을 지정해야 합니다.

Private Link를 사용하려면 지정된 가상 네트워크 및 서브넷의 IP가 필요합니다. 현재 Azure는 이 IP에서 네트워크 정책을 지원하지 않습니다. 따라서 서브넷에서 네트워크 정책을 사용하지 않도록 설정해야 합니다. 자세한 내용은 Private Link 설명서를 참조하세요.

가상 네트워크 사용에 대한 검사 목록

1. Azure Load Balancer가 네트워크 보안 그룹에서 프록시 VM과 통신하도록 허용
   • Azure CLI 예제
   • PowerShell 예제
2. 서브넷에서 프라이빗 서비스 정책을 사용하지 않도록 설정합니다.
   • Azure CLI 예제
   • PowerShell 예제
3. VM Image Builder가 부하 분산 장치를 만들고 가상 네트워크에 VM을 추가하도록 허용합니다.
   • Azure CLI 예제
   • PowerShell 예제
4. VM Image Builder가 원본 이미지를 읽고 쓰고 이미지를 만들도록 허용합니다.
   • Azure CLI 예제
   • PowerShell 예제
5. VM Image Builder 서비스 지역과 동일한 지역에서 가상 네트워크를 사용하고 있는지 확인합니다.

다음 단계

Azure VM Image Builder 개요