Параметры сети Конструктора образов виртуальных машин Azure

  • Статья

Область применения: ✔️ Виртуальные машины Linux ✔️ Гибкие масштабируемые наборы

С помощью Конструктора образов виртуальных машин Azure вы можете выбрать развертывание службы с существующей виртуальной сетью или без нее. В следующих разделах содержится более подробная информация об этой возможности.

Развертывание без указания существующей виртуальной сети

Если вы не укажете существующую виртуальную сеть, Конструктор образов виртуальных машин создаст ее вместе с подсетью в промежуточной группе ресурсов. Служба использует общедоступный IP-ресурс с группой безопасности сети для ограничения входящего трафика. Общедоступный IP-адрес обеспечивает канал для команд во время сборки образа. После завершения сборки виртуальная машина, общедоступный IP-адрес, диски и виртуальная сеть удаляются. Чтобы использовать эту возможность, не указывайте свойства виртуальной сети.

Развертывание с использованием существующей виртуальной сети

Если вы укажете виртуальную сеть и подсеть, Конструктор образов виртуальных машин развернет виртуальную машину сборки в выбранной виртуальной сети. Вы можете обращаться к ресурсам, доступным в виртуальной сети. Вы также можете создать изолированную виртуальную сеть, не подключенную к любой другой виртуальной сети. Если указать виртуальную сеть, Конструктор образов виртуальных машин не будет использовать общедоступный IP-адрес. Обмен данными между Конструктором образов виртуальных машин и виртуальной машиной сборки происходит с помощью Приватного канала Azure.

Дополнительные сведения см. в одной из следующих статей:

Приватный канал Azure обеспечивает возможность частного подключения между виртуальной сетью и Azure PaaS (платформа как услуга), а также клиентскими службами или службами партнеров корпорации Майкрософт. Это упрощает сетевую архитектуру и защищает подключение между конечными точками в Azure, устраняя проблему с незащищенностью данных в общедоступном Интернете. Дополнительные сведения см. в документации по Приватному каналу.

Необходимые разрешения для существующей виртуальной сети

Конструктору образов виртуальных машин требуются определенные разрешения для использования существующей виртуальной сети. Дополнительные сведения см. в статьях Настройка разрешений Конструктора образов виртуальных машин Azure с помощью Azure CLI и Настройка разрешений Конструктора образов виртуальных машин Azure с помощью PowerShell.

Какие ресурсы развертываются во время сборки образа?

Если вы используете существующую виртуальную сеть, Конструктор образов виртуальных машин развернет дополнительную виртуальную машину (виртуальную машину прокси-сервера) и подсистему балансировки нагрузки (Azure Load Balancer). Они будут подключены к Приватному каналу. Трафик из службы Конструктора образов виртуальных машин проходит через приватный канал к подсистеме балансировки нагрузки. Подсистема балансировки нагрузки взаимодействует с виртуальной машиной прокси-сервера, используя порт 60001 для Linux и порт 60000 для Windows. Прокси-сервер передает команды на виртуальную машину сборки с помощью порта 22 для Linux и 5986 для Windows.

Примечание

Виртуальная сеть должна находиться в том же регионе, что и Конструктор образов виртуальных машин.

Важно!

Служба Конструктора образов виртуальных машин Azure изменяет конфигурацию подключения WinRM во всех сборках Windows, чтобы использовать HTTPS на порте 5986 вместо http-порта по умолчанию на 5985. Это изменение конфигурации может повлиять на рабочие процессы, использующие взаимодействие с WinRM.

Зачем развертывать виртуальную машину прокси-сервера?

Если виртуальная машина без общедоступного IP-адреса находится за внутренней подсистемой балансировки нагрузки, у нее не будет доступа к Интернету. Подсистема балансировки нагрузки, используемая для виртуальной сети, является внутренней. Виртуальная машина прокси-сервера разрешает виртуальной машине сборки доступ к Интернету во время сборок. Вы можете использовать связанные группы безопасности сети, чтобы ограничить доступ к виртуальной машине сборки.

Размер развернутой виртуальной машины прокси-сервера — Standard A1_v2 в дополнение к виртуальной машине сборки. Служба Конструктора образов виртуальных машин использует виртуальную машину прокси-сервера для отправки команд между службой и виртуальной машиной сборки. Вы не можете изменить свойства виртуальной машины прокси-сервера (это ограничение включает размер и операционную систему).

Параметры шаблона образа для включения поддержки виртуальной сети

"VirtualNetworkConfig": {
        "name": "",
        "subnetName": "",
        "resourceGroupName": ""
        },
Параметр Описание
name (Необязательно.) Имя существующей виртуальной сети.
subnetName Имя подсети в указанной виртуальной сети. Вы должны указать этот параметр, только если указан параметр name.
resourceGroupName Имя группы ресурсов, содержащей указанную виртуальную сеть. Вы должны указать этот параметр, только если указан параметр name.

Приватному каналу требуется IP-адрес из указанной виртуальной сети и подсети. Сейчас Azure не поддерживает политики сети для этих IP-адресов. Поэтому вы должны отключить политики сети в подсети. Дополнительные сведения см. в документации по Приватному каналу.

Контрольный список для использования виртуальной сети

  1. Разрешите Azure Load Balancer обмениваться данными с виртуальной машиной прокси-сервера в группе безопасности сети.
  2. Отключите политику частной службы в подсети.
  3. Разрешите Конструктору образов виртуальных машин создать подсистему балансировки нагрузки и добавьте виртуальные машины в виртуальную сеть.
  4. Предоставьте Конструктору образов виртуальных машин разрешения на чтение и запись образов источника, а также создание образов.
  5. Убедитесь, что вы используете виртуальную сеть в регионе службы Конструктора образов виртуальных машин.

Следующие шаги

Общие сведения о Конструкторе образов виртуальных машин Azure