Хранение и совместное использование образов в Галерее вычислительных ресурсов Azure

Применимо к: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows ✔️ Гибкие масштабируемые наборы ✔️ Унифицированные масштабируемые наборы

Образ представляет собой копию полной виртуальной машины (включая все подключенные диски данных) или только диск ОС в зависимости от того, как он был создан. Когда создается виртуальная машина из образа, копии виртуальных жестких дисков из этого образа используются для создания новых дисков для этой виртуальной машины. Образ остается в хранилище и может использоваться для создания виртуальных машин снова и снова.

Если у вас большое количество образов, которые нужно сохранить и сделать доступными для всей компании, в качестве репозитория можно использовать Коллекцию вычислений Azure.

При использовании коллекции для хранения образов, создается несколько типов ресурсов:

Ресурс	Описание
Источник образа	Это ресурс, который можно использовать для создания версии изображения в галерее. Источником образа может быть существующая виртуальная машина Azure (универсальная или специализированная), управляемый образ, моментальный снимок, VHD или версия образа в другой коллекции.
Галерея	Как и Azure Marketplace, коллекция — это репозиторий для администрирования и совместного использования образов и других ресурсов, но здесь, в отличие от Azure Marketplace, доступ к коллекции контролируете вы.
Определение образа	Определения образов создаются в коллекции и содержат сведения об образе и требованиях для создания с их помощью виртуальных машин. Эти сведения включают в себя: определение, относится ли этот образ к Windows или к Linux, заметки о выпуске, а также минимальные и максимальные требования к памяти. Это определение типа изображения.
Версия образа	Версия образа — это то, что используется для создания виртуальной машины при использовании галереи. В зависимости от требований для вашей среды, у вас может быть несколько версий образа. Так же как и управляемый образ при использовании версии образа для создания виртуальной машины, версия образа используется для создания новых дисков для виртуальной машины. Версии образов можно использовать несколько раз.

Определения образов

Определения образов представляют собой логическую группировку версий образов. Определение образа содержит сведения о том, почему был создан образ, а также содержит метаданные изображения, такие как: для какой ОС он предназначен, поддерживаемые функции, и другие сведения об использовании образа. Определение образа напоминает план с подробным описанием всего, что связано с созданием данного образа. Виртуальная машина развёртывается не из определения образа, а из версий образа, созданных на его основе.

У каждого определения образа есть три параметра, используемые в комбинации: Издатель, Предложение и SKU. Они позволяют найти определение нужного образа. Вы можете иметь определения изображений, которые совместно используют один или два значения, но не все три значения. В качестве примера ниже приведены три определения образа и их значения.

Определение образа	Издатель	ПРЕДЛОЖЕНИЕ	Sku
myImage1	Контосо	Финансы	серверная часть
myImage2	Контосо	Финансы	Внешний интерфейс
myImage3	Тестирование	Финансы	Внешний интерфейс

Все три из них имеют уникальные наборы значений. Формат аналогичен тому, как можно в настоящее время указать издателя, предложение и SKU для образов Azure Marketplace в Azure PowerShell, чтобы получить последнюю версию образа Marketplace. У каждого описания образа должен быть уникальный набор этих значений.

Следующие параметры определяют типы версий образов, которые могут в них содержаться:

• Состояние операционной системы: операционная система может быть универсальной или специализированной. Это обязательное поле.
• Операционная система: Windows или Linux. Это обязательное поле.
• Hyper-V generation (Поколение Hyper-V): вы можете указать, был ли этот образ создан на основе виртуального диска 1-го или 2-го поколения Hyper-V. Значение по умолчанию — поколение 1.

Определения изображений содержат метаданные изображения, позволяющие группировать изображения, поддерживающие те же функции, план, состояние ОС, тип ОС и другие. Ниже приведен список других параметров, которые можно задавать для дефиниций изображений, чтобы упростить отслеживание ваших ресурсов.

• Описание: используйте описание, чтобы предоставить более подробную информацию о том, почему существует определение изображения. Например, у вас может быть определение образа для внешнего сервера с предварительно установленным приложением.

• Лицензионное соглашение с конечным пользователем — может использоваться для указания лицензионного соглашения, применимого к данному определению изображения.

• Заявление о конфиденциальности и заметки о выпуске - храните заметки о выпуске и заявления о конфиденциальности в Azure Storage и предоставьте URI для их доступа в рамках определения образа.

• Дата окончания срока действия — установите дату по умолчанию, после которой образ не должен использоваться для всех версий образов в определении образа. Даты окончания срока действия представлены для информации. Пользователи по-прежнему смогут создавать виртуальные машины на основе образов и версий после даты окончания срока действия.

• Тег: при создании определений образов в них можно добавлять теги. Дополнительные сведения о тегах см. в статье Использование тегов для организации ресурсов.

• Рекомендации относительно минимальных и максимальных значений для виртуальных процессорных ядер и памяти: если у вашего образа есть такие рекомендации, эту информацию можно добавить к его характеристикам.

• Запрещенные типы дисков: здесь можно указать требования к подсистеме хранения виртуальной машины. Например, если изображение не подходит для стандартных жестких дисков, добавьте их в список запретов.

• Информация о плане покупки для образов из Marketplace — -PurchasePlanPublisher, -PurchasePlanName и -PurchasePlanProduct. Дополнительные сведения о плане покупки см. в статьях Поиск образов в Azure Marketplace и Предоставление сведений о плане покупки Azure Marketplace при создании образов.

• Архитектура

  • Архитектура x64 или ARM64

• Функции позволяют указать дополнительные функции и параметры SecurityType, поддерживаемые на изображении, в зависимости от типа коллекции:

  Функции	Принятые значения	Определение	Поддерживается в
  Поддерживается ли гибернация	Правда, Ложь	Создайте виртуальные машины с поддержкой гибернации.	Частный, прямой общий доступ, сообщество
  ПоддерживаетсяУскореннаяСеть	Правда, Ложь	Создайте виртуальные машины с поддержкой ускорения сети. Если задано значение True в определении образа, запись виртуальных машин, которые не поддерживают ускоренную сеть, не поддерживается.	Частный, прямой доступ, общий доступ, сообщество
  ТипКонтроллераДиска	["SCSI", "NVMe"], ["SCSI"]	Задайте для этого тип диска SCSI или NVMe. Виртуальные машины и диски NVMe могут быть записаны только в определениях образов, которые помечены для поддержки NVMe.	Частный, прямой доступ для общего использования, сообщество

  При указании SecurityType с помощью features параметра он ограничивает функции безопасности, включенные на виртуальной машине. Некоторые типы ограничены на основе типа коллекции, в которую они хранятся:

  Тип безопасности	Определение	Поддерживается в
  ConfidentialVMSupported	Это универсальный образ Gen2, который не содержит BLOB VMGS. ВМ 2-го поколения или конфиденциальная ВМ может быть создана из этого типа образа.	Частный, Прямое совместное использование, Сообщество
  Конфиденциальная виртуальная машина	Из этого типа образа можно создать только конфиденциальные виртуальные машины.	Частный
  Поддержка Защищенного Запуска	Это универсальный образ Gen2, который не содержит BLOB VMGS. Виртуальная машина 2-го поколения или виртуальная машина TrustedLaunch можно создать из этого типа образа.	Частный, прямой доступ, общественный
  TrustedLaunch	Из этого типа образа можно создать только виртуальную машину TrustedLaunch.	Частный
  Поддержка доверенного запуска и конфиденциальной виртуальной машины	Это универсальный Gen2 образ, который не содержит blob VMGS. Виртуальная машина 2-го поколения, виртуальная машина TrustedLaunch или Конфиденциальная виртуальная машина можно создать из этого типа образа.	Частный, прямой совместный доступ, доступ для сообщества

  Дополнительные сведения см. в примерах интерфейса командной строки для добавления функций определения изображений и SecurityType или примеров PowerShell.

  **ConfidentialVM поддерживается только в тех регионах, где он доступен. Поддерживаемые регионы можно найти здесь.

Версии образов

На основе версии образа создается виртуальная машина. В зависимости от требований для вашей среды, у вас может быть несколько версий образа. При использовании версии образа для создания виртуальной машины версия образа используется для создания новых дисков для виртуальной машины. Версии образов можно использовать несколько раз.

Свойства версии изображения:

• Номер версии. Используется в качестве имени версии образа. Он всегда находится в формате: MajorVersion.MinorVersion.Patch. Если при создании виртуальной машины вы указываете, что нужно использовать последнюю версию, выбирается последний образ на основе максимального основного номера версии, затем дополнительного номера версии, а затем номера исправления.
• Источник. Источником может быть виртуальная машина, управляемый диск, моментальный снимок, управляемый образ или другая версия образа.
• "Дата окончания жизненного цикла". Указывает дату окончания срока действия для версии образа. Даты окончания срока действия представлены для информации. Пользователи по-прежнему смогут создавать виртуальные машины из версий после даты окончания срока действия.

Универсальные и специализированные образы

Галерея вычислений Azure поддерживает два состояния операционной системы. Как правило, перед созданием образа соответствующая виртуальная машина должна быть переведена в универсальное состояние. Универсализация — это процесс, в ходе которого из виртуальной машины удаляются сведения о конкретном компьютере и пользователе. Для Linux можно воспользоваться параметрами waagent-deprovision и -deprovision+user. Для Windows с этой целью используется средство Sysprep.

Специализированные виртуальные машины не прошли процесс удаления определенных сведений и учетных записей компьютера. Кроме того, виртуальные машины, созданные на основе специализированных образов, не имеют ассоциации osProfile с ними. Это означает, что у специализированных образов есть как определенные преимущества, так и некоторые ограничения.

• Виртуальные машины и масштабируемые наборы, созданные на базе специализированного образа, можно быстрее развернуть и запустить. Так как они создаются из источника, который уже прошел первую загрузку, виртуальные машины, созданные из этих образов, быстрее загружаются.
• Учетные записи, которые могут использоваться для входа в виртуальную машину, также могут использоваться на любой виртуальной машине, созданной с использованием специализированного образа, созданного из этой виртуальной машины.
• У таких виртуальных машин имя компьютера совпадает с именем компьютера виртуальной машины, с которой был сделан образ. Чтобы избежать конфликтов, необходимо изменить имя компьютера.
• osProfile используется для передачи на виртуальную машину определенной конфиденциальной информации через secrets. Вследствие этого при работе с хранилищем ключей KeyVault, WinRM и другими функциями, которые используют secrets в составе osProfile, могут возникать определенные проблемы. В ряде случаев для обхода соответствующих ограничений можно использовать идентификаторы управляемых служб (MSI).

Примечание.

Обобщенные и специализированные образы виртуальных машин содержат диск операционной системы и все подключенные диски, если есть.

Обновление ресурсов

В ресурсы коллекции можно вносить определенные изменения после их создания. Приведены следующие ограничения:

Галерея вычислительных ресурсов Azure

• Описание

Определение образа

• Рекомендуемое количество виртуальных ЦП
• Рекомендуемая память
• Описание
• Дата окончания жизненного цикла
• ReleaseNotes

Версия образа

• Количество региональных реплик
• Целевые регионы
• Исключить из последних
• Дата окончания жизненного цикла

Совместное использование

Существует три основных способа совместного использования изображений в Azure Compute Gallery в зависимости от того, с кем вы хотите поделиться:

Делиться с:	Люди	Группы	Уполномоченный сервис	Все пользователи в определённой подписке или тенанте	Общедоступный доступ ко всем пользователям в Azure
Общий доступ к RBAC	Да	Да	Да	нет	нет
RBAC + Direct shared gallery	Да	Да	Да	Да	нет
RBAC + Галерея сообщества	Да	Да	Да	нет	Да

Разрешения RBAC, необходимые для создания образа ACG:

Образы ACG можно создавать пользователями из различных источников, включая виртуальные машины, диски, моментальные снимки и виртуальные жесткие диски (VHD). В данном разделе описаны различные разрешения пользователей, необходимые для создания образов в Azure Compute Gallery. Без необходимых разрешений невозможно создавать образы ACG.

ВМ в качестве источника

• Пользователям потребуется разрешение на запись на виртуальной машине для создания версии образа ACG.
• Для azure SDK используйте свойства properties.storageProfile.source.virtualMachineId, для этого свойства требуется API версии 2023-07-03 или версии 1.4.0 (или более поздней) пакета SDK для .NET.

Диск или моментальный снимок как источник

• Пользователям потребуется право доступа на запись (вкладчик) на исходном диске/моментальном снимке для создания версии ACG Image.

VHD в качестве источника

• Пользователям потребуется Microsoft.Storage/storageAccounts/listKeys/action либо роль "Сотрудник учетной записи хранения" для работы с учетной записью хранения.
• Для пакета SDK используйте свойства properties.storageProfile.osDiskImage.source.storageAccountId, для этого свойства требуется минимальная версия API-версии 2022-03-03.

Управляемый образ и версия образа из галереи как источник

• Пользователям потребуется разрешение на чтение для управляемого образа или группового образа.

Тип источника	Требуемые разрешения
Виртуальная машина	Напишите
Диск или моментальный снимок	Напишите
VHD	Записать (listKeys)
Управляемый образ	Читать
Изображение из галереи	Читать

Дополнительную информацию о встроенных ролях Azure, используемых для предоставления разрешений RBAC, см. в нашей документации.

Неглубокая репликация

При создании версии образа можно выбрать режим неглубокой репликации для разработки и тестирования. Неглубокая репликация пропускает копирование образа, поэтому версия образа готова быстрее. Однако это также означает, что вы не сможете развернуть большое количество виртуальных машин из этой версии образа. Это похоже на то, как функционировали управлявшиеся ранее образы.

Неглубокая репликация также может быть полезной, если у вас есть большие дисковые образы (до 32 ТБ), которые нечасто развертываются. Так как исходный образ не копируется, можно использовать диски большего размера. Но их нельзя также использовать для одновременного развертывания большого количества виртуальных машин.

Чтобы задать образ для неглубокой репликации, используйте --replication-mode Shallow с интерфейсом командной строки Azure.

Поддержка пакета SDK

Следующие пакеты SDK поддерживают создание Коллекций вычислений Azure:

• .СЕТЬ
• Java
• Node.js
• Питон
• Вперед

Шаблоны

Вы можете создать ресурс Коллекции вычислений Azure с помощью шаблонов. Существует несколько шаблонов быстрого запуска:

• Создать коллекцию
• Создание определения образа в галерее
• Создание версии образа в галерее

Часто задаваемые вопросы

• Как создать список всех ресурсов Коллекции вычислений Azure в разных подписках?
• Можно ли переместить существующий образ в Галерею вычислений Azure?
• Можно ли создать версию образа из специализированного диска?
• Можно ли переместить ресурс Коллекции вычислений Azure в другую подписку после его создания?
• Можно ли реплицировать версии образов в облаках, таких как Microsoft Azure, эксплуатируемых 21Vianet, Azure Germany или в правительственном облаке Azure?
• Можно ли реплицировать версии образов между подписками?
• Можно ли предоставлять общий доступ к версиям образов в клиентах Microsoft Entra?
• Сколько времени занимает репликация версии образа между целевыми регионами?
• В чем разница между исходным и целевым регионом?
• Как указать исходный регион при создании версии образа?
• Как задать число реплик версии образа, создаваемых в каждом регионе?
• Можно ли создать галерею в другом расположении, чем то, где находится определение и версия образа?
• Какова плата за использование Коллекции вычислений Azure?
• Какую версию API следует использовать при создании образов?
• Какую версию API следует использовать для создания виртуальной машины или масштабируемого набора виртуальных машин из версии образа?
• Можно ли обновить масштабируемый набор виртуальных машин, созданный на основе управляемого образа, чтобы использовать образы из Галереи вычислений Azure?
• Как обновить код для использования нового свойства и обеспечить точное предоставление разрешений во время создания образа виртуальной машины?
• Удаление образов группы компьютеров Azure повлияет на существующие виртуальные машины, созданные из неё?

Как создать список всех ресурсов Коллекции вычислений Azure в разных подписках?

Чтобы получить список всех ресурсов Коллекции вычислений Azure в разных подписках, к которым вы имеете доступ на портале Azure, выполните следующие действия:

1. Откройте портал Azure.
2. Прокрутите страницу вниз и выберите Все ресурсы.
3. Выберите все подписки, из которых вы хотите включить в список все ресурсы.
4. Найдите ресурсы типа Коллекция вычислений Azure.

Azure CLI

Чтобы получить список всех ресурсов Коллекции вычислений Azure в разных подписках, к которым у вас есть доступ, выполните следующую команду в Azure CLI:

   az account list -otsv --query "[].id" | xargs -n 1 az sig list --subscription

Azure PowerShell

Чтобы получить список всех ресурсов Коллекции вычислений Azure в разных подписках, к которым у вас есть доступ, выполните следующую команду в Azure PowerShell:

$params = @{
    Begin   = { $currentContext = Get-AzContext }
    Process = { $null = Set-AzContext -SubscriptionObject $_; Get-AzGallery }
    End     = { $null = Set-AzContext -Context $currentContext }
}

Get-AzSubscription | ForEach-Object @params

Дополнительные сведения см. в разделе Список ресурсов изображений, их обновление и удаление.

Можно ли переместить существующий образ в Галерею вычислений Azure?

Да. Существует 3 сценария, в зависимости от типов образов, которые у вас могут быть.

Сценарий 1. Если у вас есть управляемый образ, из него можно создать определение образа и версию образа. Дополнительные сведения см. в статье Создание и определение образа и версии образа.

Сценарий 2. Если у вас есть неуправляемый образ, можно создать управляемый образ из него, а затем создать определение образа и версию образа.

Сценарий 3. Если у вас есть виртуальный жесткий диск в локальной файловой системе, необходимо передать виртуальный жесткий диск в управляемый образ, а затем создать из него определение образа и версию образа.

• Если виртуальный жесткий диск принадлежит виртуальной машине Windows, см. раздел о загрузке VHD.
• Если это виртуальный жесткий диск для виртуальной машины Linux, см. раздел Загрузка VHD.

Можно ли создать версию образа из специализированного диска?

Да, вы можете создать виртуальную машину на основе специализированного образа.

Можно ли переместить ресурс Коллекции вычислений Azure в другую подписку после его создания?

Нет, вы не можете переместить ресурс образа галереи в другую подписку. Вы можете реплицировать версии образов из коллекции в другие регионы либо скопировать образ из другой коллекции.

Можно ли реплицировать версии образов в облаках, таких как Azure оператором 21Vianet, Azure Германия или Azure правительственного облака?

Нет, вы не можете реплицировать версии образов между облаками.

Можно ли реплицировать версии образов между подписками?

Нет, можно реплицировать версии образов между регионами в рамках подписки и использовать их в других подписках с помощью RBAC.

Можно ли предоставлять общий доступ к версиям образов в клиентах Microsoft Entra?

Для предоставления общего доступа пользователям из других арендаторов можно использовать управление доступом на основе ролей (RBAC). Если же вы планируете использовать эту возможность в большом масштабе, ознакомьтесь с разделом о предоставлении доступа к образам коллекции другим клиентам Azure с помощью PowerShell или CLI.

Сколько времени занимает репликация версии образа между целевыми регионами?

Время репликации версии образа полностью зависит от размера образа и количества регионов, в которые он реплицируется. Однако, в качестве наилучшей практики рекомендуется, чтобы изображение было небольшим, а исходные и целевые регионы были расположены близко для достижения лучших результатов. Можно проверить состояние репликации, используя флажок ReplicationStatus.

В чем разница между исходным и целевым регионом?

Исходный регион — это регион, в котором будет создана версия образа. А целевые регионы — это регионы, в которых будет храниться копия вашей версии образа. Для каждой версии образа может быть только один исходный регион. Кроме того, убедитесь, что при создании версии образа вы передали расположение исходного региона как одно из целевых регионов.

Как указать исходный регион при создании версии образа?

При создании версии образа, чтобы указать исходный регион, можно использовать аргумент --location в интерфейсе командной строки и параметр -Location в PowerShell. Убедитесь, что управляемый образ, который вы используете в качестве базового образа для создания версии образа, находится в том же расположении, в котором планируется создать версию образа. Кроме того, убедитесь, что при создании версии образа вы передали расположение исходного региона как одно из целевых регионов.

Как задать число реплик версии образа, создаваемых в каждом регионе?

Задать число реплик версии образа, создаваемых в каждом регионе, можно двумя способами:

1. Число региональных реплик, определяющее количество реплик, создаваемых в каждом регионе.
2. Общее число реплик, которое используется по умолчанию для каждого региона, если не указано число региональных реплик.

Azure CLI

Чтобы указать количество региональных реплик, передайте расположение вместе с количеством реплик, которые вы хотите создать в этом регионе: "Центрально-южная часть США = 2".

Если количество региональных реплик не указано в каждом расположении, число реплик по умолчанию будет общим числом реплик, заданным вами.

Чтобы указать общее количество реплик в интерфейсе командной строки Azure, используйте аргумент --replica-count в команде az sig image-version create.

Azure PowerShell

Чтобы указать количество региональных реплик, передайте расположение вместе с количеством реплик, которые вы хотите создать в этом регионе: @{Name = 'South Central US';ReplicaCount = 2} в параметр -TargetRegion в команде New-AzGalleryImageVersion.

Если количество региональных реплик не указано в каждом расположении, число реплик по умолчанию будет общим числом реплик, заданным вами.

Чтобы указать общее количество реплик в интерфейсе командной строки Azure PowerShell, используйте параметр --replica-count в команде New-AzGalleryImageVersion.

Можно ли создать галерею в ином месте, чем определение и версия образа?

Да, это возможно. Но мы рекомендуем вам держать группу ресурсов, коллекцию, определение образа и версию образа в одном расположении.

Какова плата за использование Коллекции вычислений Azure?

За использование Коллекции вычислений Azure плата не взимается, за исключением расходов на хранение версий образов и на исходящий трафик для репликации версий образов из исходного региона в целевые регионы.

Какую версию API следует использовать при создании образов?

Для работы с коллекцией, определениями образов и версиями образов рекомендуется использовать API версии 2018-06-01. Для работы с зонально избыточным хранилищем (ZRS) необходима версия 2019-03-01 или новее.

Какую версию API следует использовать для создания виртуальной машины или масштабируемого набора виртуальных машин из версии образа?

Для развертываний виртуальной машины и масштабируемого набора виртуальных машин с помощью версии образа рекомендуется использовать API версии 2018-04-01 или более поздней.

Можно ли обновить масштабируемый набор виртуальных машин, созданный на основе управляемого образа, чтобы использовать образы из Azure Compute Gallery?

Да, вы можете обновить ссылку на образ масштабируемого набора с управляемого на образ в Azure Compute Gallery, если тип ОС, поколение Hyper-V и схема дисков данных совпадают в этих образах.

Как обновить код для использования нового свойства и обеспечить точное предоставление разрешений во время создания образа виртуальной машины?

Для поля идентификатора виртуальной машины используйте поле VirtualMachineId в разделе GallerySource(GalleryImageVersionStorageProfile.GallerySource.VirtualMachineID). Для нового свойства требуется api-версия 2023-07-03 или версия 1.4.0 (или более поздней) пакета SDK для .NET.

StorageProfile = new GalleryImageVersionStorageProfile()
            {
                GallerySource = new GalleryArtifactVersionFullSource()
                {
                    VirtualMachineId = new ResourceIdentifier(virtualMachineId),
                }
            },

Для виртуального жесткого диска в качестве источника используйте поле StorageAccountID в разделе GallerySource в разделе OSDiskImage или образ диска данных (GalleryImageVersionStorageProfile.OSDiskImage.GallerySource.StorageAccountId). Для нового свойства требуется api-версия 2022-03-03

StorageProfile = new GalleryImageVersionStorageProfile()
            {
                OSDiskImage = new GalleryOSDiskImage()
                {
                    GallerySource = new GalleryDiskImageSource()
                    {
                        StorageAccountId = new ResourceIdentifier(storageAccountId),
                        Uri = new Uri(blobUri),
                    }
                }
            },

Удаление галереи вычислений Azure затронет виртуальные машины, созданные из неё?

Виртуальные машины, созданные на основе образа коллекции вычислений Azure, остаются не затронутыми из-за постоянных дисков. Однако операция горизонтального масштабирования VMSS завершится ошибкой, так как они зависят от ссылки на идентификатор исходного образа, который будет потерян после удаления образа из Галереи изображений Azure.

Устранение неполадок

Если у вас возникли проблемы с выполнением операций в галерее, обратитесь к списку распространенных ошибок в руководстве по устранению неполадок.

Кроме того, вы сможете опубликовать вопрос с тегом azure-virtual-machines-images в разделе вопросов и ответов.

Следующие шаги

Узнайте, как развертывать образы с помощью Azure Compute Gallery.