Opcje sieciowe konstruktora obrazów maszyny wirtualnej platformy Azure
Dotyczy: ✔️ Maszyny wirtualne z systemem Linux — elastyczne zestawy skalowania ✔️
Za pomocą narzędzia Azure VM Image Builder możesz wdrożyć usługę z istniejącą siecią wirtualną lub bez jej użycia. Poniższe sekcje zawierają więcej szczegółów na temat tego wyboru.
Wdrażanie bez określania istniejącej sieci wirtualnej
Jeśli nie określisz istniejącej sieci wirtualnej, program VM Image Builder utworzy ją wraz z podsiecią w przejściowej grupie zasobów. Usługa używa publicznego zasobu IP z sieciową grupą zabezpieczeń, aby ograniczyć ruch przychodzący. Publiczny adres IP ułatwia kanał poleceń podczas kompilacji obrazu. Po zakończeniu kompilacji maszyna wirtualna, publiczny adres IP, dyski i sieć wirtualna zostaną usunięte. Aby użyć tej opcji, nie należy określać żadnych właściwości sieci wirtualnej.
Wdrażanie przy użyciu istniejącej sieci wirtualnej
Jeśli określisz sieć wirtualną i podsieć, narzędzie VM Image Builder wdroży maszynę wirtualną kompilacji w wybranej sieci wirtualnej. Dostęp do zasobów, które są dostępne w sieci wirtualnej. Można również utworzyć silosową sieć wirtualną bez połączenia z dowolną inną siecią wirtualną. Jeśli określisz sieć wirtualną, narzędzie VM Image Builder nie używa publicznego adresu IP. Komunikacja z programu VM Image Builder do maszyny wirtualnej kompilacji korzysta z usługi Azure Private Link.
Aby uzyskać więcej informacji, zobacz jeden z następujących przykładów:
- Używanie narzędzia Azure VM Image Builder dla maszyn wirtualnych z systemem Windows umożliwiających dostęp do istniejącej sieci wirtualnej platformy Azure
- Używanie narzędzia Azure VM Image Builder dla maszyn wirtualnych z systemem Linux umożliwiających dostęp do istniejącej sieci wirtualnej platformy Azure
Co to jest łącze prywatne platformy Azure?
Usługa Azure Private Link zapewnia prywatną łączność z sieci wirtualnej do platformy Azure jako usługi (PaaS) lub usług należących do klienta lub partnerów firmy Microsoft. Upraszcza ona architekturę sieci i zabezpiecza połączenie między punktami końcowymi na platformie Azure, eliminując narażenie danych na publiczny Internet. Aby uzyskać więcej informacji, zobacz dokumentację usługi Private Link.
Wymagane uprawnienia dla istniejącej sieci wirtualnej
Konstruktor obrazów maszyny wirtualnej wymaga określonych uprawnień do korzystania z istniejącej sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Konfigurowanie uprawnień narzędzia Image Builder maszyny wirtualnej platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure lub Konfigurowanie uprawnień konstruktora obrazów maszyny wirtualnej platformy Azure przy użyciu programu PowerShell.
Co jest wdrażane podczas kompilacji obrazu?
Jeśli używasz istniejącej sieci wirtualnej, narzędzie VM Image Builder wdraża dodatkową maszynę wirtualną (maszynę wirtualną serwera proxy ) i moduł równoważenia obciążenia (Azure Load Balancer). Są one połączone z usługą Private Link. Ruch z usługi Vm Image Builder przechodzi przez prywatny link do modułu równoważenia obciążenia. Moduł równoważenia obciążenia komunikuje się z maszyną wirtualną serwera proxy przy użyciu portu 60001 dla systemu Linux lub portu 60000 dla systemu Windows. Serwer proxy przekazuje polecenia do maszyny wirtualnej kompilacji przy użyciu portu 22 dla systemu Linux lub portu 5986 dla systemu Windows.
Uwaga
Sieć wirtualna musi znajdować się w tym samym regionie co region usługi Vm Image Builder.
Ważne
Usługa Azure VM Image Builder modyfikuje konfigurację połączenia Usługi WinRM we wszystkich kompilacjach systemu Windows w celu używania protokołu HTTPS na porcie 5986 zamiast domyślnego portu HTTP na 5985. Ta zmiana konfiguracji może mieć wpływ na przepływy pracy zależne od komunikacji usługi WinRM.
Dlaczego warto wdrożyć maszynę wirtualną serwera proxy?
Jeśli maszyna wirtualna bez publicznego adresu IP znajduje się za wewnętrznym modułem równoważenia obciążenia, nie ma dostępu do Internetu. Moduł równoważenia obciążenia używany dla sieci wirtualnej jest wewnętrzny. Maszyna wirtualna serwera proxy umożliwia dostęp do Internetu dla maszyny wirtualnej kompilacji podczas kompilacji. Możesz użyć skojarzonych sieciowych grup zabezpieczeń, aby ograniczyć dostęp do maszyny wirtualnej kompilacji.
Rozmiar wdrożonej maszyny wirtualnej serwera proxy to Standardowa A1_v2 oprócz maszyny wirtualnej kompilacji. Usługa Vm Image Builder używa maszyny wirtualnej serwera proxy do wysyłania poleceń między usługą a maszyną wirtualną kompilacji. Nie można zmienić właściwości maszyny wirtualnej serwera proxy (to ograniczenie obejmuje rozmiar i system operacyjny).
Parametry szablonu obrazu do obsługi sieci wirtualnej
"vnetConfig": {
"subnetId": ""
},
Ustawienie | opis |
---|---|
subnetId |
Identyfikator zasobu istniejącej podsieci, w której wdrożono maszynę wirtualną kompilacji i walidowaną maszynę wirtualną. |
Usługa Private Link wymaga adresu IP z określonej sieci wirtualnej i podsieci. Obecnie platforma Azure nie obsługuje zasad sieciowych na tych adresach IP. W związku z tym należy wyłączyć zasady sieciowe w podsieci. Aby uzyskać więcej informacji, zobacz dokumentację usługi Private Link.
Lista kontrolna dotycząca korzystania z sieci wirtualnej
- Zezwól usłudze Azure Load Balancer na komunikację z maszyną wirtualną serwera proxy w sieciowej grupie zabezpieczeń.
- Wyłącz zasady usługi prywatnej w podsieci.
- Zezwalaj konstruktorowi obrazów maszyn wirtualnych na tworzenie modułu równoważenia obciążenia i dodawanie maszyn wirtualnych do sieci wirtualnej.
- Zezwalaj konstruktorowi obrazów maszyny wirtualnej na odczytywanie i zapisywanie obrazów źródłowych oraz tworzenie obrazów.
- Upewnij się, że używasz sieci wirtualnej w tym samym regionie co region usługi Vm Image Builder.