Opções de rede do Azure VM Image Builder
Aplica-se a: ✔️ Conjuntos de dimensionamento flexíveis de VMs ✔️ do Linux
Com o Azure VM Image Builder, opta por implementar o serviço com ou sem uma rede virtual existente. As secções seguintes fornecem mais detalhes sobre esta escolha.
Implementar sem especificar uma rede virtual existente
Se não especificar uma rede virtual existente, o Construtor de Imagens da VM cria uma, juntamente com uma sub-rede, no grupo de recursos de teste. O serviço utiliza um recurso IP público com um grupo de segurança de rede para restringir o tráfego de entrada. O IP público facilita o canal para comandos durante a compilação da imagem. Após a conclusão da compilação, a máquina virtual (VM), o IP público, os discos e a rede virtual são eliminados. Para utilizar esta opção, não especifique quaisquer propriedades de rede virtual.
Implementar com uma VNET existente
Se especificar uma rede virtual e uma sub-rede, o Construtor de Imagens da VM implementa a VM de compilação na rede virtual escolhida. Pode aceder a recursos acessíveis na sua rede virtual. Também pode criar uma rede virtual siloed, sem ligação a qualquer outra rede virtual. Se especificar uma rede virtual, o Construtor de Imagens da VM não utiliza um endereço IP público. A comunicação do Construtor de Imagens da VM para a máquina virtual de compilação utiliza Azure Private Link.
Para obter mais informações, veja um dos seguintes exemplos:
- Utilizar o Azure VM Image Builder para VMs do Windows, permitindo o acesso a uma rede virtual do Azure existente
- Utilizar o Azure VM Image Builder para VMs do Linux, permitindo o acesso a uma rede virtual do Azure existente
O que é a Ligação Privada do Azure?
Azure Private Link fornece conectividade privada de uma rede virtual para a plataforma como um serviço (PaaS) do Azure ou para serviços de parceiros da Microsoft ou pertencentes ao cliente. Simplifica a arquitetura de rede e protege a ligação entre pontos finais no Azure ao eliminar a exposição de dados à Internet pública. Para obter mais informações, veja a documentação do Private Link.
Permissões necessárias para uma rede virtual existente
O Construtor de Imagens da VM requer permissões específicas para utilizar uma rede virtual existente. Para obter mais informações, veja Configure Azure VM Image Builder permissions by using the Azure CLI or Configure Azure VM Image Builder permissions by using PowerShell (Configurar permissões do Construtor de Imagens da VM do Azure com o PowerShell).
O que é implementado durante uma compilação de imagens?
Se utilizar uma rede virtual existente, o Construtor de Imagens da VM implementa uma VM adicional (uma VM proxy) e um balanceador de carga (Balanceador de Carga do Azure). Estes estão ligados a Private Link. O tráfego do serviço Construtor de Imagens da VM atravessa a ligação privada para o balanceador de carga. O balanceador de carga comunica com a VM proxy com a porta 60001 para Linux ou a porta 60000 para Windows. O proxy encaminha os comandos para a VM de compilação com a porta 22 para Linux ou a porta 5986 para Windows.
Nota
A rede virtual tem de estar na mesma região que a região de serviço do Construtor de Imagens da VM.
Importante
O serviço Azure VM Image Builder modifica a configuração da ligação WinRM em todas as compilações do Windows para utilizar HTTPS na porta 5986 em vez da porta HTTP predefinida no 5985. Esta alteração de configuração pode afetar os fluxos de trabalho que dependem da comunicação WinRM.
Porquê implementar uma VM de proxy?
Quando uma VM sem um IP público está atrás de um balanceador de carga interno, não tem acesso à Internet. O balanceador de carga utilizado para a rede virtual é interno. A VM proxy permite o acesso à Internet para a VM de compilação durante as compilações. Pode utilizar os grupos de segurança de rede associados para restringir o acesso à VM de compilação.
O tamanho da VM de proxy implementado é Standard A1_v2, além da VM de compilação. O serviço Construtor de Imagens da VM utiliza a VM proxy para enviar comandos entre o serviço e a VM de compilação. Não pode alterar as propriedades da VM do proxy (esta restrição inclui o tamanho e o sistema operativo).
Parâmetros do modelo de imagem para suportar a rede virtual
"VirtualNetworkConfig": {
"name": "",
"subnetName": "",
"resourceGroupName": ""
},
| Definições | Descrição |
|---|---|
name |
(Opcional) O nome de uma rede virtual pré-existente. |
subnetName |
O nome da sub-rede na rede virtual especificada. Tem de especificar esta definição se, e apenas se, a name definição for especificada. |
resourceGroupName |
O nome do grupo de recursos que contém a rede virtual especificada. Tem de especificar esta definição se, e apenas se, a name definição for especificada. |
Private Link requer um IP da rede virtual especificada e da sub-rede. Atualmente, o Azure não suporta políticas de rede nestes IPs. Assim, tem de desativar as políticas de rede na sub-rede. Para obter mais informações, veja a documentação do Private Link.
Lista de verificação para utilizar a sua rede virtual
- Permitir Balanceador de Carga do Azure comunicar com a VM proxy num grupo de segurança de rede.
- Desative a política de serviço privado na sub-rede.
- Permitir que o Construtor de Imagens da VM crie um balanceador de carga e adicione VMs à rede virtual.
- Permitir que o Construtor de Imagens da VM leia e escreva imagens de origem e crie imagens.
- Certifique-se de que está a utilizar uma rede virtual na mesma região que a região do serviço VM Image Builder.