Opcje sieciowe konstruktora obrazów maszyny wirtualnej platformy Azure

  • Artykuł

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux — elastyczne zestawy ✔️ skalowania

Za pomocą narzędzia Azure VM Image Builder możesz wdrożyć usługę z istniejącą siecią wirtualną lub bez tej usługi. Poniższe sekcje zawierają więcej szczegółów na temat tego wyboru.

Wdrażanie bez określania istniejącej sieci wirtualnej

Jeśli nie określisz istniejącej sieci wirtualnej, program VM Image Builder utworzy jedną z nich wraz z podsiecią w przejściowej grupie zasobów. Usługa używa zasobu publicznego adresu IP z sieciową grupą zabezpieczeń, aby ograniczyć ruch przychodzący. Publiczny adres IP ułatwia kanał poleceń podczas kompilacji obrazu. Po zakończeniu kompilacji maszyna wirtualna, publiczny adres IP, dyski i sieć wirtualna zostaną usunięte. Aby użyć tej opcji, nie należy określać żadnych właściwości sieci wirtualnej.

Wdrażanie przy użyciu istniejącej sieci wirtualnej

Jeśli określisz sieć wirtualną i podsieć, narzędzie VM Image Builder wdroży maszynę wirtualną kompilacji w wybranej sieci wirtualnej. Dostęp do zasobów, które są dostępne w sieci wirtualnej. Można również utworzyć silosową sieć wirtualną bez połączenia z dowolną inną siecią wirtualną. Jeśli określisz sieć wirtualną, narzędzie VM Image Builder nie będzie używać publicznego adresu IP. Komunikacja z konstruktora obrazów maszyny wirtualnej do kompilacji używa Azure Private Link.

Aby uzyskać więcej informacji, zobacz jeden z następujących przykładów:

Azure Private Link zapewnia prywatną łączność z sieci wirtualnej do platformy Azure jako usługi (PaaS) lub usług partnerskich należących do klienta lub firmy Microsoft. Upraszcza to architekturę sieci i zabezpiecza połączenie między punktami końcowymi na platformie Azure, eliminując narażenie danych na publiczny Internet. Aby uzyskać więcej informacji, zobacz dokumentację Private Link.

Wymagane uprawnienia dla istniejącej sieci wirtualnej

Konstruktor obrazów maszyny wirtualnej wymaga określonych uprawnień do korzystania z istniejącej sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Konfigurowanie uprawnień konstruktora obrazów maszyny wirtualnej platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure lub Konfigurowanie uprawnień konstruktora obrazów maszyny wirtualnej platformy Azure przy użyciu programu PowerShell.

Co jest wdrażane podczas kompilacji obrazu?

Jeśli używasz istniejącej sieci wirtualnej, narzędzie VM Image Builder wdraża dodatkową maszynę wirtualną (maszynę wirtualną serwera proxy) i moduł równoważenia obciążenia (Azure Load Balancer). Są one połączone z Private Link. Ruch z usługi Vm Image Builder przechodzi przez prywatny link do modułu równoważenia obciążenia. Moduł równoważenia obciążenia komunikuje się z maszyną wirtualną serwera proxy przy użyciu portu 60001 dla systemu Linux lub portu 60000 dla systemu Windows. Serwer proxy przekazuje polecenia do maszyny wirtualnej kompilacji przy użyciu portu 22 dla systemu Linux lub portu 5986 dla systemu Windows.

Uwaga

Sieć wirtualna musi znajdować się w tym samym regionie co region usługi Vm Image Builder.

Ważne

Usługa Azure VM Image Builder modyfikuje konfigurację połączenia Usługi WinRM we wszystkich kompilacjach systemu Windows w celu używania protokołu HTTPS na porcie 5986 zamiast domyślnego portu HTTP na 5985. Ta zmiana konfiguracji może mieć wpływ na przepływy pracy zależne od komunikacji z usługą WinRM.

Dlaczego warto wdrożyć maszynę wirtualną serwera proxy?

Jeśli maszyna wirtualna bez publicznego adresu IP znajduje się za wewnętrznym modułem równoważenia obciążenia, nie ma dostępu do Internetu. Moduł równoważenia obciążenia używany dla sieci wirtualnej jest wewnętrzny. Maszyna wirtualna serwera proxy umożliwia dostęp do Internetu dla maszyny wirtualnej kompilacji podczas kompilacji. Możesz użyć skojarzonych sieciowych grup zabezpieczeń, aby ograniczyć dostęp do maszyny wirtualnej kompilacji.

Rozmiar wdrożonej maszyny wirtualnej serwera proxy to Standardowa A1_v2 oprócz maszyny wirtualnej kompilacji. Usługa VM Image Builder używa maszyny wirtualnej serwera proxy do wysyłania poleceń między usługą a maszyną wirtualną kompilacji. Nie można zmienić właściwości maszyny wirtualnej serwera proxy (to ograniczenie obejmuje rozmiar i system operacyjny).

Parametry szablonu obrazu do obsługi sieci wirtualnej

"VirtualNetworkConfig": {
        "name": "",
        "subnetName": "",
        "resourceGroupName": ""
        },
Ustawienie Opis
name (Opcjonalnie) Nazwa istniejącej sieci wirtualnej.
subnetName Nazwa podsieci w określonej sieci wirtualnej. To ustawienie należy określić, jeśli i tylko wtedy, name gdy zostanie określone ustawienie.
resourceGroupName Nazwa grupy zasobów zawierającej określoną sieć wirtualną. To ustawienie należy określić, jeśli i tylko wtedy, name gdy zostanie określone ustawienie.

Private Link wymaga adresu IP z określonej sieci wirtualnej i podsieci. Obecnie platforma Azure nie obsługuje zasad sieciowych na tych adresach IP. W związku z tym należy wyłączyć zasady sieciowe w podsieci. Aby uzyskać więcej informacji, zobacz dokumentację Private Link.

Lista kontrolna dotycząca korzystania z sieci wirtualnej

  1. Zezwalaj Azure Load Balancer na komunikację z maszyną wirtualną serwera proxy w sieciowej grupie zabezpieczeń.
  2. Wyłącz zasady usługi prywatnej w podsieci.
  3. Zezwalaj konstruktorowi obrazów maszyny wirtualnej na tworzenie modułu równoważenia obciążenia i dodawanie maszyn wirtualnych do sieci wirtualnej.
  4. Zezwalaj konstruktorowi obrazów maszyny wirtualnej na odczytywanie i zapisywanie obrazów źródłowych oraz tworzenie obrazów.
  5. Upewnij się, że używasz sieci wirtualnej w tym samym regionie co region usługi Vm Image Builder.

Następne kroki

Omówienie narzędzia Image Builder maszyny wirtualnej platformy Azure