Wat is geïsoleerde builds van installatiekopieën voor Azure Image Builder?

Geïsoleerde builds van installatiekopieën is een functie van Azure Image Builder (AIB). Hiermee wordt het kernproces van het aanpassen/valideren van VM-installatiekopieën van gedeelde infrastructuur overgezet naar toegewezen ACI-resources (Azure Container Instances) in uw abonnement, waardoor reken- en netwerkisolatie wordt geboden.

Voordelen van geïsoleerde builds van installatiekopieën

Geïsoleerde builds van installatiekopieën maken diepgaande verdediging mogelijk door de netwerktoegang van uw build-VM te beperken tot alleen uw abonnement. Geïsoleerde builds van installatiekopieën bieden u ook meer transparantie door uw inspectie van de verwerking die door Image Builder wordt uitgevoerd, toe te staan uw VM-installatiekopieën aan te passen/te valideren. Bovendien wordt het bekijken van live build-logboeken met geïsoleerde installatiekopieën gemakkelijker. Specifiek:

1. Rekenisolatie: Geïsoleerde installatiekopieën bouwen een belangrijk deel van de verwerking van installatiekopieën in Azure Container Instances-resources in uw abonnement in plaats van op de gedeelde platformresources van AIB. ACI biedt hypervisor-isolatie voor elke containergroep om ervoor te zorgen dat containers geïsoleerd worden uitgevoerd, zonder een kernel te delen.
2. Netwerkisolatie: Geïsoleerde builds van installatiekopieën verwijderen alle directe WinRM-/ssh-communicatie tussen uw build-VM en Image Builder-service.
   • Als u een Image Builder-sjabloon inricht zonder uw eigen virtuele netwerk, wordt er geen openbare IP-adresresource meer ingericht in uw faseringsresourcegroep tijdens het bouwen van installatiekopieën.
   • Als u een Image Builder-sjabloon inricht met een bestaand virtueel netwerk in uw abonnement, wordt er geen op Private Link gebaseerd communicatiekanaal meer ingesteld tussen de resources van uw build-VM en het back-endplatform van AIB. In plaats daarvan wordt het communicatiekanaal ingesteld tussen de Azure Container Instance en de build-VM-resources. Beide bevinden zich in de faseringsresourcegroep in uw abonnement.
3. Transparantie: AIB is gebouwd op HashiCorp Packer. Geïsoleerde builds van installatiekopieën voeren Packer uit in de ACI in uw abonnement, waarmee u de ACI-resource en de bijbehorende containers kunt inspecteren. Op dezelfde manier kunt u met de volledige netwerkcommunicatiepijplijn in uw abonnement alle netwerkbronnen, hun instellingen en hun vergoedingen inspecteren.
4. Betere weergave van livelogboeken: AIB schrijft aanpassingslogboeken naar een opslagaccount in de faseringsresourcegroep in uw abonnement. Geïsoleerde installatiekopieënbuilds bieden een andere manier om dezelfde logboeken rechtstreeks in Azure Portal te volgen. Dit kan worden gedaan door te navigeren naar de container van Image Builder in de ACI-resource.

Compatibiliteit met eerdere versies

Dit is een wijziging op platformniveau en heeft geen invloed op de interfaces van AIB. Uw bestaande installatiekopieënsjabloon en triggerbronnen blijven dus functioneren en er is geen wijziging in de manier waarop u nieuwe resources van deze typen implementeert. Op dezelfde manier blijven aanpassingslogboeken beschikbaar in het opslagaccount.

Mogelijk ziet u een paar nieuwe resources tijdelijk in de faseringsresourcegroep (bijvoorbeeld Azure Container Instance, Virtual Network, Netwerkbeveiligingsgroep en privé-eindpunt) terwijl sommige andere resources mogelijk niet meer worden weergegeven (bijvoorbeeld openbaar IP-adres). Net als eerder bestaan deze tijdelijke resources alleen tijdens de build en worden deze daarna verwijderd door Image Builder.

Uw installatiekopieën worden automatisch gemigreerd naar Geïsoleerde builds van installatiekopieën en u moet geen actie ondernemen om u aan te instellen.

Notitie

Image Builder is bezig met het implementeren van deze wijziging voor alle locaties en klanten. Sommige van deze details (met name rond de implementatie van nieuwe netwerkgerelateerde resources) kunnen veranderen omdat het proces is afgestemd op servicetelemetrie en feedback. Raadpleeg de gids voor probleemoplossing voor meer informatie.

Belangrijk

Zorg ervoor dat uw abonnement is geregistreerd voor Microsoft.ContainerInstance provider:

• Azure CLI: az provider register -n Microsoft.ContainerInstance
• PowerShell: Register-AzResourceProvider -ProviderNamespace Microsoft.ContainerInstance

Nadat u uw abonnement hebt geregistreerd, moet u ervoor zorgen dat uw abonnement geen Azure-beleid bevat dat de implementatie van vereiste resources weigert. Beleidsregels waarmee alleen een beperkte set resourcetypen wordt toegestaan, met inbegrip van Azure Container Instance, wordt de implementatie geblokkeerd.

Zorg ervoor dat uw abonnement ook een voldoende quotum heeft voor de implementatie van Azure Container Instance-resources.

Belangrijk

Image Builder moet mogelijk tijdelijke netwerkresources implementeren in de faseringsresourcegroep in uw abonnement. Zorg ervoor dat azure-beleid de implementatie van dergelijke resources (virtueel netwerk met subnetten, netwerkbeveiligingsgroep, privé-eindpunt) in de resourcegroep weigert.

Als u Azure-beleid hebt dat DDoS-beveiligingsplannen toepast op een nieuw virtueel netwerk, kunt u het beleid voor de resourcegroep versoepelen of ervoor zorgen dat de door sjabloon beheerde identiteit machtigingen heeft om deel te nemen aan het plan.

Volgende stappen

• Overzicht van Azure VM Image Builder
• Aan de slag met Azure Container Instances
• Uw Azure-resources beveiligen
• Gids voor probleemoplossing voor Azure VM Image Builder