Azure Image Builder에 대한 격리된 이미지 빌드란?

격리된 이미지 빌드는 AIB(Azure Image Builder)의 기능입니다. VM 이미지 사용자 지정/유효성 검사의 핵심 프로세스를 공유 인프라에서 구독의 전용 ACI(Azure Container Instances) 리소스로 전환하여 컴퓨팅 및 네트워크 격리를 제공합니다.

격리된 이미지 빌드의 장점

격리된 이미지 빌드를 사용하면 빌드 VM의 네트워크 액세스를 구독으로 제한하여 심층 방어를 수행할 수 있습니다. 또한 격리된 이미지 빌드는 Image Builder가 수행한 처리를 검사하여 VM 이미지를 사용자 지정/유효성을 검사할 수 있도록 하여 더욱 투명도를 제공합니다. 또한 격리된 이미지 빌드는 라이브 빌드 로그를 쉽게 볼 수 있습니다. 특별한 사항

1. 컴퓨팅 격리: 격리된 이미지 빌드는 AIB의 공유 플랫폼 리소스 대신 구독의 Azure Container Instances 리소스에서 이미지 빌드 처리의 주요 부분을 수행합니다. 컨테이너가 커널을 공유하지 않고 격리된 상태에서 실행되도록 ACI에서 각 컨테이너 그룹에 대해 하이퍼바이저 격리를 제공합니다.
2. 네트워크 격리: 격리된 이미지 빌드는 빌드 VM과 Image Builder 서비스 간의 모든 직접 네트워크 WinRM/ssh 통신을 제거합니다.
   • 고유한 Virtual Network 없이 Image Builder 템플릿을 프로비전하는 경우 이미지 빌드 시 준비 리소스 그룹에 공용 IP 주소 리소스가 더 이상 프로비전되지 않습니다.
   • 구독에서 기존 Virtual Network를 사용하여 Image Builder 템플릿을 프로비전하는 경우 빌드 VM과 AIB의 백 엔드 플랫폼 리소스 간에 Private Link 기반 통신 채널이 더 이상 설정되지 않습니다. 대신, 통신 채널은 Azure Container Instance와 빌드 VM 리소스 간에 설정되며, 둘 다 구독의 준비 리소스 그룹에 상주합니다.
3. 투명성: AIB는 HashiCorp Packer를 기반으로 합니다. 격리된 이미지 빌드는 구독의 ACI에서 Packer를 실행하므로 ACI 리소스 및 해당 컨테이너를 검사할 수 있습니다. 마찬가지로 구독에 전체 네트워크 통신 파이프라인을 사용하면 모든 네트워크 리소스, 해당 설정 및 허용량을 검사할 수 있습니다.
4. 라이브 로그의 더 나은 보기: AIB는 구독의 스테이징 리소스 그룹의 스토리지 계정에 사용자 지정 로그를 씁니다. 격리된 이미지 빌드는 ACI 리소스에서 Image Builder의 컨테이너로 이동하여 수행할 수 있는 Azure Portal에서 직접 동일한 로그를 따르는 또 다른 방법을 제공합니다.

이전 버전과의 호환성

이는 플랫폼 수준 변경이며 AIB의 인터페이스에 영향을 주지 않습니다. 따라서 기존 이미지 템플릿 및 트리거 리소스는 계속 작동하며 이러한 유형의 새 리소스를 배포하는 방법은 변경되지 않습니다. 마찬가지로 사용자 지정 로그는 스토리지 계정에서 계속 사용할 수 있습니다.

준비 리소스 그룹(예: Azure Container Instance, Virtual Network, 네트워크 보안 그룹 및 프라이빗 엔드포인트)에 몇 가지 새 리소스가 일시적으로 표시되는 것을 볼 수 있지만 다른 리소스는 더 이상 표시되지 않을 수 있습니다(예: 공용 IP 주소). 이전과 마찬가지로 이러한 임시 리소스는 빌드 중에만 존재하며 이후 Image Builder에서 삭제됩니다.

이미지 빌드는 자동으로 격리된 이미지 빌드로 마이그레이션되며 옵트인하는 작업을 수행할 필요가 없습니다.

참고 항목

Image Builder는 이 변경 사항을 모든 위치 및 고객에게 배포하는 중입니다. 이러한 세부 정보 중 일부(특히 새 네트워킹 관련 리소스 배포 관련)는 프로세스가 서비스 원격 분석 및 피드백에 따라 미세 조정되므로 변경될 수 있습니다. 자세한 내용은 문제 해결 가이드를 참조하세요.

Important

구독이 다음을 위해 등록되었는지 확인합니다.Microsoft.ContainerInstance provider

• Azure CLI: az provider register -n Microsoft.ContainerInstance
• PowerShell: Register-AzResourceProvider -ProviderNamespace Microsoft.ContainerInstance

구독을 성공적으로 등록한 후에는 필요한 리소스 배포를 거부하는 Azure 정책이 구독에 없는지 확인합니다. Azure Container Instance를 포함하지 않는 제한된 리소스 유형 집합만 허용하는 정책은 배포를 차단합니다.

구독에 Azure Container Instance 리소스 배포에 필요한 충분한 리소스 할당량도 있는지 확인합니다.

Important

Image Builder는 구독의 준비 리소스 그룹에 임시 네트워킹 관련 리소스를 배포해야 할 수 있습니다. 리소스 그룹에서 이러한 리소스(서브넷이 있는 Virtual Network, 네트워크 보안 그룹, 프라이빗 엔드포인트)의 배포를 거부하는 Azure 정책이 없는지 확인합니다.

새로 만든 Virtual Network에 DDoS 보호 계획을 적용하는 Azure 정책이 있는 경우 리소스 그룹에 대한 정책을 완화하거나 템플릿 관리 ID에 계획에 가입할 수 있는 권한이 있는지 확인합니다.

다음 단계

• Azure VM Image Builder 개요
• Azure Container Instances 시작
• Azure 리소스 보안
• Azure VM Image Builder에 대한 문제 해결 가이드