Delen via


Geïsoleerde builds van installatiekopieën voor Azure VM Image Builder

Geïsoleerde builds van installatiekopieën is een functie van Azure VM Image Builder (AIB). Hiermee wordt het kernproces voor het aanpassen/valideren van VM-installatiekopieën van gedeelde platforminfrastructuur overgezet naar toegewezen ACI-resources (Azure Container Instances) in uw abonnement, waardoor reken- en netwerkisolatie wordt geboden.

Voordelen van geïsoleerde builds van installatiekopieën

Geïsoleerde builds van installatiekopieën maken diepgaande verdediging mogelijk door de netwerktoegang van uw build-VM te beperken tot alleen uw abonnement. Geïsoleerde builds van installatiekopieën bieden u ook meer transparantie door uw inspectie van de verwerking die door AIB wordt uitgevoerd, toe te staan uw VM-installatiekopieën aan te passen/te valideren. Bovendien wordt het bekijken van live build-logboeken met geïsoleerde installatiekopieën gemakkelijker. Specifiek:

  1. Rekenisolatie: Geïsoleerde builds van installatiekopieën voeren een groot deel van de verwerking van installatiekopieën uit in ACI-resources in uw abonnement in plaats van op de gedeelde platformresources van AIB. ACI biedt hypervisor-isolatie voor elke containergroep om ervoor te zorgen dat containers geïsoleerd worden uitgevoerd, zonder een kernel te delen.

  2. Netwerkisolatie: Geïsoleerde builds van installatiekopieën verwijderen alle directe WinRM/ssh-communicatie tussen uw build-VM en back-endonderdelen van de AIB-service.

    • Als u een AIB-sjabloon inricht zonder uw eigen subnet voor de build-VM, wordt er geen openbare IP-adresresource meer ingericht in uw faseringsresourcegroep tijdens het bouwen van installatiekopieën.
    • Als u een AIB-sjabloon inricht met een bestaand subnet voor de build-VM, is een op Private Link gebaseerd communicatiekanaal niet meer ingesteld tussen de back-endplatformresources van uw build-VM en de back-endplatformresources van AIB. In plaats daarvan wordt het communicatiekanaal ingesteld tussen de ACI- en de build-VM-resources. Beide bevinden zich in de faseringsresourcegroep in uw abonnement.
    • Vanaf API-versie 2024-02-01 kunt u een tweede subnet opgeven voor het implementeren van de ACI naast het subnet voor de build-VM. Indien opgegeven, implementeert AIB ACI op dit subnet en hoeft AIB het op Private Link gebaseerde communicatiekanaal tussen de ACI en de build-VM in te stellen. Zie de sectie hier voor meer informatie over het tweede subnet.
  3. Transparantie: AIB is gebouwd op HashiCorp Packer. Geïsoleerde builds van installatiekopieën voeren Packer uit in de ACI in uw abonnement, waarmee u de ACI-resource en de bijbehorende containers kunt inspecteren. Op dezelfde manier kunt u met de volledige netwerkcommunicatiepijplijn in uw abonnement alle netwerkbronnen, hun instellingen en hun vergoedingen inspecteren.

  4. Betere weergave van livelogboeken: AIB schrijft aanpassingslogboeken naar een opslagaccount in de faseringsresourcegroep in uw abonnement. Isolated Image Builds biedt een andere manier om dezelfde logboeken rechtstreeks in Azure Portal te volgen. Dit kan worden gedaan door te navigeren naar de container van AIB in de ACI-resource.

Notitie

Raadpleeg de gids voor probleemoplossing voor toegang tot de livelogboeken tijdens het bouwen van de installatiekopieën of de aanpassings- en validatielogboekbestanden nadat de build is voltooid.

Netwerktopologieën

Geïsoleerde builds voor installatiekopieën implementeren de ACI en de build-VM beide in de faseringsresourcegroep in uw abonnement. Om uw installatiekopieën aan te passen/te valideren, moeten containerinstanties die worden uitgevoerd in de ACI een netwerkpad hebben naar de build-VM. Op basis van uw aangepaste netwerkbehoeften en -beleid kunt u AIB configureren voor het gebruik van verschillende netwerktopologieën voor dit doel:

Gebruik geen eigen build-VM-subnet

  • U kunt deze topologie selecteren door het vnetConfig veld in de afbeeldingssjabloon niet op te geven of door het veld op te geven, maar zonder subnetId en containerInstanceSubnetId subvelden.
  • In dit geval implementeert AIB een virtueel netwerk in de faseringsresourcegroep, samen met twee subnetten en netwerkbeveiligingsgroepen (NSG's). Een van de subnetten wordt gebruikt om de ACI te implementeren, terwijl het andere subnet wordt gebruikt om de build-VM te implementeren. NSG's zijn ingesteld om communicatie tussen de twee subnetten mogelijk te maken.
  • AIB implementeert in dit geval geen openbare IP-resource of een op private link gebaseerde communicatiepijplijn.

Bring your own Build VM subnet but don't bring your own ACI subnet

  • U kunt deze topologie selecteren door het veld samen met het vnetConfig subnetId subveld op te geven, maar niet het containerInstanceSubnetId subveld in de afbeeldingssjabloon.
  • In dit geval implementeert AIB een tijdelijk virtueel netwerk in de faseringsresourcegroep, samen met twee subnetten en netwerkbeveiligingsgroepen (NSG's). Een van de subnetten wordt gebruikt om de ACI te implementeren, terwijl het andere subnet wordt gebruikt om de privé-eindpuntresource te implementeren. De build-VM wordt geïmplementeerd in het opgegeven subnet. Een op Private Link gebaseerde communicatiepijplijn die bestaat uit een privé-eindpunt, Private Link-service, Azure Load Balancer en virtuele proxymachine, wordt ook geïmplementeerd in de faseringsresourcegroep om de communicatie tussen het ACI-subnet en uw build-VM-subnet te vergemakkelijken.

Uw eigen build-VM-subnet gebruiken en uw eigen ACI-subnet gebruiken

  • U kunt deze topologie selecteren door het vnetConfig veld en de subnetId subvelden containerInstanceSubnetId in de afbeeldingssjabloon op te geven. Deze optie (en subveld containerInstanceSubnetId) is beschikbaar vanaf API-versie 2024-02-01. U kunt uw bestaande sjablonen ook bijwerken om deze topologie te gebruiken.
  • In dit geval implementeert AIB de build-VM in het opgegeven subnet van de build-VM en ACI in het opgegeven ACI-subnet.
  • AIB implementeert geen van de netwerkresources in de faseringsresourcegroep, waaronder openbaar IP-adres, virtueel netwerk, subnetten, netwerkbeveiligingsgroepen, privé-eindpunt, Private Link-service, Azure Load Balancer en virtuele proxymachine. Deze topologie kan worden gebruikt als u quotumbeperkingen of beleidsregels hebt die de implementatie van deze resources niet ongedaan maken.
  • Het ACI-subnet moet voldoen aan bepaalde voorwaarden om het gebruik ervan met Geïsoleerde installatiekopieën builds toe te staan.

U kunt details over deze velden bekijken in de sjabloonreferentie. Hier worden netwerkopties uitgebreid besproken.

Compatibiliteit met eerdere versies

Geïsoleerde builds van installatiekopieën is een wijziging op platformniveau en heeft geen invloed op de interfaces van AIB. Uw bestaande installatiekopieënsjabloon en triggerbronnen blijven dus functioneren en er is geen wijziging in de manier waarop u nieuwe resources van deze typen implementeert. U moet nieuwe sjablonen maken of bestaande sjablonen bijwerken als u de netwerktopologie wilt gebruiken , zodat u uw eigen ACI-subnet kunt gebruiken.

Uw installatiekopieën worden automatisch gemigreerd naar Geïsoleerde installatiekopieën en u moet geen actie ondernemen om u aan te instellen. Ook blijven aanpassingslogboeken beschikbaar in het opslagaccount.

Afhankelijk van de netwerktopologie die is opgegeven in de afbeeldingssjabloon, ziet u mogelijk dat er tijdelijk enkele nieuwe resources worden weergegeven in de faseringsresourcegroep (bijvoorbeeld ACI, Virtueel netwerk, netwerkbeveiligingsgroep en privé-eindpunt), terwijl sommige andere resources niet meer worden weergegeven (bijvoorbeeld openbaar IP-adres). Net als eerder bestaan deze tijdelijke resources alleen tijdens de build en verwijdert AIB ze daarna.

Belangrijk

Zorg ervoor dat uw abonnement is geregistreerd voor Microsoft.ContainerInstance provider:

  • Azure CLI: az provider register -n Microsoft.ContainerInstance
  • PowerShell: Register-AzResourceProvider -ProviderNamespace Microsoft.ContainerInstance

Nadat u uw abonnement hebt geregistreerd, moet u ervoor zorgen dat uw abonnement geen Azure-beleid bevat dat de implementatie van ACI-resources weigert. Beleidsregels die alleen een beperkte set resourcetypen toestaan, met inbegrip van ACI, zouden ertoe leiden dat geïsoleerde builds van installatiekopieën mislukken.

Zorg ervoor dat uw abonnement ook een voldoende quotum heeft voor de implementatie van ACI-resources.

Belangrijk

Afhankelijk van de netwerktopologie die is opgegeven in de installatiekopiesjabloon, moet AIB mogelijk tijdelijke netwerkgerelateerde resources implementeren in de faseringsresourcegroep in uw abonnement. Zorg ervoor dat azure-beleid de implementatie van dergelijke resources (virtueel netwerk met subnetten, netwerkbeveiligingsgroep, privé-eindpunt) in de resourcegroep weigert.

Als u Azure-beleid hebt dat DDoS-beveiligingsplannen toepast op een nieuw virtueel netwerk, kunt u het beleid voor de resourcegroep versoepelen of ervoor zorgen dat de door sjabloon beheerde identiteit machtigingen heeft om deel te nemen aan het plan. U kunt ook de netwerktopologie gebruiken waarvoor geen implementatie van een nieuw virtueel netwerk door AIB is vereist.

Belangrijk

Zorg ervoor dat u alle aanbevolen procedures volgt terwijl u AIB gebruikt.

Notitie

AIB is bezig met het implementeren van deze wijziging voor alle locaties en klanten. Sommige van deze details (met name rond de implementatie van nieuwe netwerkgerelateerde resources) kunnen veranderen omdat het proces is afgestemd op servicetelemetrie en feedback. Raadpleeg de gids voor probleemoplossing voor eventuele fouten.

Volgende stappen