Netwerkopties voor Azure VM Image Builder
Van toepassing op: ✔️ Flexibele schaalsets voor Linux-VM's ✔️
Met Azure VM Image Builder kiest u ervoor om de service te implementeren met of zonder een bestaand virtueel netwerk. In de volgende secties vindt u meer informatie over deze keuze.
Implementeren zonder een bestaand virtueel netwerk op te geven
Als u geen bestaand virtueel netwerk opgeeft, maakt VM Image Builder er een, samen met een subnet, in de faseringsresourcegroep. De service maakt gebruik van een openbare IP-resource met een netwerkbeveiligingsgroep om inkomend verkeer te beperken. Het openbare IP-adres faciliteert het kanaal voor opdrachten tijdens het bouwen van de installatiekopie. Nadat de build is voltooid, worden de virtuele machine (VM), het openbare IP-adres, de schijven en het virtuele netwerk verwijderd. Als u deze optie wilt gebruiken, geeft u geen eigenschappen van het virtuele netwerk op.
Implementeren met behulp van een bestaand VNET
Als u een virtueel netwerk en subnet opgeeft, implementeert VM Image Builder de build-VM in het door u gekozen virtuele netwerk. U hebt toegang tot resources die toegankelijk zijn in uw virtuele netwerk. U kunt ook een virtueel netwerk in een silo maken dat niet is verbonden met een ander virtueel netwerk. Als u een virtueel netwerk opgeeft, gebruikt VM Image Builder geen openbaar IP-adres. Communicatie van VM Image Builder naar de build-vm maakt gebruik van Azure Private Link.
Zie een van de volgende voorbeelden voor meer informatie:
- Azure VM Image Builder gebruiken voor Windows-VM's die toegang verlenen tot een bestaand virtueel Azure-netwerk
- Azure VM Image Builder gebruiken voor Linux-VM's die toegang verlenen tot een bestaand virtueel Azure-netwerk
Wat is Azure Private Link?
Azure Private Link biedt privéconnectiviteit van een virtueel netwerk met Azure PaaS (Platform as a Service) of met services van klanten of Microsoft-partners. Het vereenvoudigt de netwerkarchitectuur en beveiligt de verbinding tussen eindpunten in Azure door de blootstelling van gegevens aan het openbare internet te elimineren. Zie de documentatie voor Private Link voor meer informatie.
Vereiste machtigingen voor een bestaand virtueel netwerk
VM Image Builder vereist specifieke machtigingen voor het gebruik van een bestaand virtueel netwerk. Zie Azure VM Image Builder-machtigingen configureren met behulp van de Azure CLI of Machtigingen voor Azure VM Image Builder configureren met behulp van PowerShell voor meer informatie.
Wat wordt er geïmplementeerd tijdens het bouwen van een installatiekopie?
Als u een bestaand virtueel netwerk gebruikt, implementeert VM Image Builder een extra VM (een proxy-VM) en een load balancer (Azure Load Balancer). Deze zijn verbonden met Private Link. Verkeer van de VM Image Builder-service gaat via de privékoppeling naar de load balancer. De load balancer communiceert met de proxy-VM via poort 60001 voor Linux of poort 60000 voor Windows. De proxy stuurt opdrachten door naar de build-VM met behulp van poort 22 voor Linux of poort 5986 voor Windows.
Notitie
Het virtuele netwerk moet zich in dezelfde regio bevinden als de VM Image Builder-serviceregio.
Belangrijk
De Azure VM Image Builder-service wijzigt de WinRM-verbindingsconfiguratie in alle Windows-builds om HTTPS te gebruiken op poort 5986 in plaats van de standaard-HTTP-poort op 5985. Deze configuratiewijziging kan van invloed zijn op werkstromen die afhankelijk zijn van WinRM-communicatie.
Waarom een proxy-VM implementeren?
Wanneer een VM zonder een openbaar IP-adres zich achter een interne load balancer bevindt, heeft deze geen internettoegang. De load balancer die voor het virtuele netwerk wordt gebruikt, is intern. De proxy-VM biedt toegang tot internet voor de build-VM tijdens builds. U kunt de gekoppelde netwerkbeveiligingsgroepen gebruiken om de toegang tot de build-VM te beperken.
De grootte van de geïmplementeerde proxy-VM is Standard A1_v2, naast de build-VM. De VM Image Builder-service gebruikt de proxy-VM om opdrachten te verzenden tussen de service en de build-VM. U kunt de eigenschappen van de proxy-VM niet wijzigen (deze beperking omvat de grootte en het besturingssysteem).
Parameters voor installatiekopieënsjabloon ter ondersteuning van het virtuele netwerk
"VirtualNetworkConfig": {
"name": "",
"subnetName": "",
"resourceGroupName": ""
},
| Instelling | Beschrijving |
|---|---|
name |
(Optioneel) De naam van een bestaand virtueel netwerk. |
subnetName |
De naam van het subnet binnen het opgegeven virtuele netwerk. U moet deze instelling opgeven als en alleen als de name instelling is opgegeven. |
resourceGroupName |
De naam van de resourcegroep die het opgegeven virtuele netwerk bevat. U moet deze instelling opgeven als en alleen als de name instelling is opgegeven. |
Private Link vereist een IP-adres van het opgegeven virtuele netwerk en subnet. Momenteel biedt Azure geen ondersteuning voor netwerkbeleid voor deze IP-adressen. Daarom moet u netwerkbeleid uitschakelen op het subnet. Zie de documentatie voor Private Link voor meer informatie.
Controlelijst voor het gebruik van uw virtuele netwerk
- Sta Azure Load Balancer toe om te communiceren met de proxy-VM in een netwerkbeveiligingsgroep.
- Schakel het beleid voor persoonlijke services op het subnet uit.
- Vm Image Builder toestaan om een load balancer te maken en VM's toe te voegen aan het virtuele netwerk.
- Vm Image Builder toestaan om broninstallatiekopieën te lezen en schrijven en installatiekopieën te maken.
- Zorg ervoor dat u een virtueel netwerk gebruikt in dezelfde regio als de VM Image Builder-serviceregio.