Параметры сети построителя образов виртуальных машин Azure

Область применения: ✔️ Виртуальные машины Linux ✔️ Гибкие масштабируемые наборы

Построитель образов виртуальных машин Azure (AIB) развертывает экземпляр контейнера Azure (ACI) в промежуточной группе ресурсов в подписке. ACI должен быть связан с подсетью в виртуальной сети Azure (VNet). Код службы AIB, работающий в ACI, развертывает виртуальную машину сборки (VM сборки) в промежуточной группе ресурсов для настройки вашего образа, и VM сборки должна быть размещена в отдельной подсети. Чтобы настроить и проверить образ, ACI должен иметь сетевое подключение к виртуальной машине сборки. На основе требований к сети и политик организации можно настроить AIB для использования различных топологий сети. Вы можете использовать обе подсети, одну подсеть или нет. Рекомендации см. в разделе Лучшие практики для создателя образов ВМ Azure.

Топологии сети

Не создавайте собственную подсеть виртуальной машины сборки или подсеть ACI

  • Эту топологию можно выбрать, не указав vnetConfig поле в шаблоне изображения или указав поле subnetId без containerInstanceSubnetId подполя.
  • Если вы не указываете подсети, AIB развертывает виртуальную сеть Azure (VNet) в постановочной группе ресурсов с двумя подсетями: одна для экземпляра контейнера Azure и одна для виртуальной машины сборки. Обе подсети связаны с группой безопасности сети (NSG), которая включает правила по умолчанию, при этом возможность прямого подключения к прямой линии видимости необходима для настройки. Виртуальная машина сборки также развертывается с ресурсом сетевого интерфейса (и другими ресурсами, не связанными напрямую с сетями, например управляемым диском). После завершения сборки удаляются виртуальные машины сборки и сетевые ресурсы.

Привнесите свою подсеть виртуальной машины для сборки и привнесите свою подсеть ACI

  • Эту топологию можно выбрать, указав vnetConfig поле с subnetIdcontainerInstanceSubnetId подполями в шаблоне изображения. Этот параметр, включая containerInstanceSubnetId подфилд, доступен начиная с API версии 2024-02-01. Вы также можете обновить существующие шаблоны для использования этой топологии.
  • В этой топологии AIB развертывает виртуальную машину сборки в указанной подсети виртуальной машины сборки и ACI в указанной подсети ACI. Поскольку подсети уже предоставлены, AIB не развертывает виртуальную сеть, подсети или сетевую группу безопасности. Эта топология полезна, если ограничения квот или политики препятствуют развертыванию этих ресурсов. Виртуальная машина сборки может получить доступ к ресурсам, которые доступны из виртуальной сети, и вы также можете создать разложенную виртуальную сеть, которая не подключена к другой виртуальной сети. Подсеть ACI должна соответствовать предварительным требованиям для изолированных сборок образов. Дополнительные сведения об этих полях см. в справочнике по шаблону.
  • Эта топология является рекомендуемой для большинства сценариев, так как она обеспечивает полный контроль над подсетями, упрощает настройку и конфигурацию сети, может снизить общие затраты на развертывание и обеспечить соответствие сетевым требованиям к безопасности и управлению вашей организации.

Используйте собственную подсеть для виртуальной машины сборки, но не для ACI.

  • Вы можете выбрать эту топологию, указав vnetConfig поле с подполем subnetId, пропустив подполе containerInstanceSubnetId в шаблоне изображения.
  • В этой топологии AIB развертывает временную виртуальную сеть в промежуточной группе ресурсов с двумя подсетями, каждая из которых связана с группой безопасности сети (NSG). Одна подсеть размещает ACI, а другая — ресурс частной конечной точки. Виртуальная машина сборки развертывается в указанной подсети. Чтобы включить связь между подсетью ACI и подсетью виртуальной машины сборки, AIB также развертывает путь связи на основе приватного канала в промежуточной группе ресурсов, которая включает частную конечную точку, службу приватного канала, Azure Load Balancer, сетевые интерфейсы и виртуальную машину прокси-сервера. Точные ресурсы и конфигурации немного различаются в зависимости от того, настраивается ли образ Windows или образ Linux.
  • Эта топология, как правило, не рекомендуется для большинства сценариев, так как она может увеличить затраты на развертывание, требовать больше настройки и операционной конфигурации, а также ввести дополнительные компоненты, которые могут сделать сквозный конвейер более чувствительным к сбоям.

Примеры этой топологии см. в следующих статьях:

Приватный канал Azure обеспечивает частное подключение из виртуальной сети к платформе Azure как услуга (PaaS) или к клиентским или партнерским службам Майкрософт. Это упрощает сетевую архитектуру и защищает подключение между конечными точками Azure, устраняя уязвимость данных к общедоступному Интернету. Для приватного канала требуется IP-адрес из указанной виртуальной сети и подсети. В настоящее время Azure не поддерживает политики сети на этих IP-адресах, поэтому необходимо отключить политики сети в подсети. Дополнительные сведения см. в документации по приватным ссылкам.

Зачем развертывать виртуальную машину прокси-сервера?

Если виртуальная машина без общедоступного IP-адреса находится за внутренней подсистемой балансировки нагрузки, у нее нет доступа к Интернету. Подсистема балансировки нагрузки, используемая для виртуальной сети, является внутренней. Прокси-виртуальная машина разрешает доступ к Интернету для виртуальной машины сборки во время сборки, а AIB использует прокси-виртуальную машину для отправки команд между службой и виртуальной машиной сборки. Для ограничения доступа к виртуальной машине сборки можно использовать связанные группы безопасности сети. Трафик из ACI проходит через приватный канал к подсистеме балансировки нагрузки. Подсистема балансировки нагрузки взаимодействует с прокси-виртуальной машиной через порт 60001 для Linux или порт 60000 для Windows. Прокси-сервер перенаправит команды на виртуальную машину сборки через порт 22 для Linux или порт 5986 для Windows. По умолчанию развернутый размер виртуальной машины прокси-сервера — "Стандартный" A1_v2, но размер можно изменить. Подробности см. в справочнике шаблона.

Контрольный список для использования виртуальной сети

  1. Разрешить Azure Load Balancer взаимодействовать с прокси-виртуальной машиной в группе безопасности сети.
  2. Отключите политику частной службы в подсети.
  3. Разрешить построителю образов виртуальных машин создавать подсистему балансировки нагрузки и добавлять виртуальные машины в виртуальную сеть.
  4. Разрешить построителю образов виртуальных машин читать и записывать исходные образы и создавать образы.
  5. Убедитесь, что вы используете виртуальную сеть в том же регионе, что и регион службы построителя образов виртуальных машин.

Дополнительные рекомендации

Необходимые разрешения для существующей виртуальной сети

Построителю образов виртуальных машин требуются определенные разрешения для использования существующей виртуальной сети. Дополнительные сведения см. в статье "Настройка разрешений построителя образов виртуальных машин Azure" с помощью Azure CLI или настройки разрешений построителя образов виртуальных машин Azure с помощью PowerShell.

Замечание

Виртуальная сеть должна находиться в том же регионе, что и регион службы построителя образов виртуальных машин.

Это важно

Служба построителя образов виртуальных машин Azure изменяет конфигурацию подключения WinRM во всех сборках Windows для использования HTTPS через порт 5986 вместо HTTP-порта по умолчанию на 5985. Это изменение конфигурации может повлиять на рабочие процессы, использующие связь WinRM.

Модель подключения

AIB не развертывает общедоступный IP-адрес для прямого подключения, а компонент службы AIB, работающий в подписке платформы, не имеет сетевого подключения к ACI или виртуальной машине сборки. Только компонент AIB, работающий в ACI, имеет подключение к виртуальной машине сборки для выполнения настройки.

Поддерживаемые сочетания подсети

Можно настроить обе подсети (subnetId и containerInstanceSubnetId) или только подсеть виртуальной машины сборки (subnetId). Конфигурация, указывающая только подсеть ACI (containerInstanceSubnetId) не поддерживается.

Дальнейшие действия

Общие сведения о Конструкторе образов виртуальных машин Azure

  • Last updated on