Nätverksalternativ för Azure VM Image Builder
Gäller för: ✔️ Virtuella Linux-datorer ✔️ – flexibla skalningsuppsättningar
Med Azure VM Image Builder väljer du att distribuera tjänsten med eller utan ett befintligt virtuellt nätverk. Följande avsnitt innehåller mer information om det här valet.
Distribuera utan att ange ett befintligt virtuellt nätverk
Om du inte anger ett befintligt virtuellt nätverk skapar VM Image Builder ett, tillsammans med ett undernät, i resursgruppen för mellanlagring. Tjänsten använder en offentlig IP-resurs med en nätverkssäkerhetsgrupp för att begränsa inkommande trafik. Den offentliga IP-adressen underlättar kanalen för kommandon under avbildningsversionen. När bygget är klart tas den virtuella datorn (VM), offentliga IP-adresser, diskar och virtuella nätverk bort. Om du vill använda det här alternativet ska du inte ange några egenskaper för virtuella nätverk.
Distribuera med ett befintligt VNET
Om du anger ett virtuellt nätverk och undernät distribuerar VM Image Builder den virtuella datorn till det valda virtuella nätverket. Du kan komma åt resurser som är tillgängliga i ditt virtuella nätverk. Du kan också skapa ett siloanslutet virtuellt nätverk som inte är kopplat till något annat virtuellt nätverk. Om du anger ett virtuellt nätverk använder vm Image Builder inte någon offentlig IP-adress. Kommunikation från VM Image Builder till den virtuella byggdatorn använder Azure Private Link.
Mer information finns i något av följande exempel:
- Använda Azure VM Image Builder för virtuella Windows-datorer som tillåter åtkomst till ett befintligt virtuellt Azure-nätverk
- Använda Azure VM Image Builder för virtuella Linux-datorer som tillåter åtkomst till ett befintligt virtuellt Azure-nätverk
Vad är Azure Privat Link?
Azure Private Link tillhandahåller privata anslutningar från ett virtuellt nätverk till Azure PaaS (Plattform som en tjänst) eller till kundägda eller Microsoft-partnertjänster. Det förenklar nätverksarkitekturen och skyddar anslutningen mellan slutpunkter i Azure genom att eliminera dataexponering för det offentliga Internet. Mer information finns i dokumentationen om Private Link.
Nödvändiga behörigheter för ett befintligt virtuellt nätverk
VM Image Builder kräver specifika behörigheter för att använda ett befintligt virtuellt nätverk. Mer information finns i Konfigurera Azure VM Image Builder-behörigheter med hjälp av Azure CLI eller Konfigurera Azure VM Image Builder-behörigheter med hjälp av PowerShell.
Vad distribueras under en avbildningsversion?
Om du använder ett befintligt virtuellt nätverk distribuerar VM Image Builder ytterligare en virtuell dator (en virtuell proxydator) och en lastbalanserare (Azure Load Balancer). Dessa är anslutna till Private Link. Trafik från den virtuella datorns image builder-tjänst går via den privata länken till lastbalanseraren. Lastbalanseraren kommunicerar med den virtuella proxydatorn med hjälp av port 60001 för Linux eller port 60000 för Windows. Proxyn vidarebefordrar kommandon till den virtuella byggdatorn med hjälp av port 22 för Linux eller port 5986 för Windows.
Anteckning
Det virtuella nätverket måste finnas i samma region som vm Image Builder-tjänstregionen.
Viktigt
Tjänsten Image Builder för virtuella Azure-datorer ändrar WinRM-anslutningskonfigurationen i alla Windows-versioner för att använda HTTPS på port 5986 i stället för http-standardporten på 5985. Den här konfigurationsändringen kan påverka arbetsflöden som förlitar sig på WinRM-kommunikation.
Varför ska jag distribuera en virtuell proxydator?
När en virtuell dator utan en offentlig IP-adress ligger bakom en intern lastbalanserare har den inte Internetåtkomst. Lastbalanseraren som används för det virtuella nätverket är intern. Den virtuella proxydatorn tillåter Internetåtkomst för den virtuella byggdatorn under byggen. Du kan använda de associerade nätverkssäkerhetsgrupperna för att begränsa åtkomsten till den virtuella byggdatorn.
Storleken på den distribuerade virtuella proxydatorn är Standard A1_v2, förutom den virtuella build-datorn. Vm Image Builder-tjänsten använder den virtuella proxydatorn för att skicka kommandon mellan tjänsten och den virtuella byggdatorn. Du kan inte ändra egenskaperna för den virtuella proxydatorn (den här begränsningen omfattar storleken och operativsystemet).
Bildmallsparametrar som stöd för det virtuella nätverket
"VirtualNetworkConfig": {
"name": "",
"subnetName": "",
"resourceGroupName": ""
},
| Inställningen | Beskrivning |
|---|---|
name |
(Valfritt) Namnet på ett befintligt virtuellt nätverk. |
subnetName |
Namnet på undernätet i det angivna virtuella nätverket. Du måste ange den här inställningen om och endast om name inställningen har angetts. |
resourceGroupName |
Namnet på resursgruppen som innehåller det angivna virtuella nätverket. Du måste ange den här inställningen om och endast om name inställningen har angetts. |
Private Link kräver en IP-adress från det angivna virtuella nätverket och undernätet. För närvarande har Azure inte stöd för nätverksprinciper på dessa IP-adresser. Därför måste du inaktivera nätverksprinciper i undernätet. Mer information finns i dokumentationen om Private Link.
Checklista för att använda ditt virtuella nätverk
- Tillåt Azure Load Balancer att kommunicera med den virtuella proxydatorn i en nätverkssäkerhetsgrupp.
- Inaktivera principen för privata tjänster i undernätet.
- Tillåt vm Image Builder att skapa en lastbalanserare och lägga till virtuella datorer i det virtuella nätverket.
- Tillåt att VM Image Builder läser och skriver källavbildningar och skapar avbildningar.
- Kontrollera att du använder ett virtuellt nätverk i samma region som vm Image Builder-tjänstregionen.