Aracılığıyla paylaş

Azure VM Görüntü Oluşturucusu için Yalıtılmış Görüntü Derlemeleri

  • Makale

Yalıtılmış Görüntü Derlemeleri, Azure VM Görüntü Oluşturucusu'nun (AIB) bir özelliğidir. Vm görüntüsü özelleştirme/doğrulamanın temel sürecini paylaşılan platform altyapısından aboneliğinizdeki ayrılmış Azure Container Instances (ACI) kaynaklarına geçirerek işlem ve ağ yalıtımı sağlar.

Yalıtılmış Görüntü Derlemelerinin Avantajları

Yalıtılmış Görüntü Derlemeleri, derleme VM'nizin ağ erişimini yalnızca aboneliğinizle sınırlayarak derinlemesine savunma sağlar. Yalıtılmış Görüntü Derlemeleri, VM görüntünüzü özelleştirmek/doğrulamak için AIB tarafından yapılan işlemeyi denetlemenize olanak tanıyarak size daha fazla saydamlık sağlar. Ayrıca Yalıtılmış Görüntü Derlemeleri, canlı derleme günlüklerinin görüntülenmesini kolaylaştırır. Özellikle:

  1. İşlem Yalıtımı: Yalıtılmış Görüntü Derlemeleri, AIB'nin paylaşılan platform kaynakları yerine aboneliğinizdeki ACI kaynaklarında görüntü oluşturma işleminin önemli bir bölümünü gerçekleştirir. ACI, kapsayıcıların aynı çekirdeği paylaşmadan yalıtılmış bir şekilde çalışmasını garanti etmek için her bir kapsayıcı grubu için hiper yönetici yalıtımı sağlar.

  2. Ağ Yalıtımı: Yalıtılmış Görüntü Derlemeleri, derleme VM'niz ile AIB hizmetinin arka uç bileşenleri arasındaki tüm doğrudan ağ WinRM/ssh iletişimini kaldırır.

    • Derleme VM'niz için kendi alt ağınız olmadan bir AIB şablonu oluşturuyorsanız, genel IP adresi kaynağı artık görüntü derleme zamanında hazırlama kaynak grubunuzda sağlanmaz.
    • Derleme VM'niz için mevcut bir alt ağ ile bir AIB şablonu oluşturuyorsanız, derleme VM'niz ile AIB'nin arka uç platformu kaynakları arasında Özel Bağlantı tabanlı bir iletişim kanalı kurulamaz. Bunun yerine, her ikisi de aboneliğinizdeki hazırlama kaynak grubunda bulunan ACI ve derleme VM kaynakları arasında iletişim kanalı ayarlanır.
    • API sürüm 2024-02-01'den başlayarak, derleme VM'sinin alt asına ek olarak ACI'yi dağıtmak için ikinci bir alt ağ belirtebilirsiniz. Belirtilirse, AIB bu alt ağa ACI dağıtır ve ACI ile derleme VM'si arasında Özel Bağlantı tabanlı iletişim kanalını ayarlamak için AIB'ye gerek yoktur. İkinci alt ağ hakkında daha fazla bilgi için buradaki bölüme bakın.

  3. Saydamlık: AIB, HashiCorp Packer üzerine kurulmuştur. Yalıtılmış Görüntü Derlemeleri, aboneliğinizdeki ACI'de Packer'ı yürütür ve bu sayede ACI kaynağını ve kapsayıcılarını inceleyebilirsiniz. Benzer şekilde, tüm ağ iletişim işlem hattının aboneliğinizde olması tüm ağ kaynaklarını, ayarlarını ve izinlerini incelemenize olanak tanır.

  4. Canlı günlüklerin daha iyi görüntülenmesi: AIB, özelleştirme günlüklerini aboneliğinizdeki hazırlama kaynak grubundaki bir depolama hesabına yazar. Yalıtılmış Görüntü Derlemeleri, aynı günlükleri doğrudan Azure portalında izlemenin başka bir yolunu sağlar. Bu yöntem, AIB'nin ACI kaynağındaki kapsayıcısına giderek yapılabilir.

Ağ topolojileri

Yalıtılmış Görüntü Derlemeleri, ACI'yi ve derleme VM'sini aboneliğinizdeki hazırlama kaynak grubunda dağıtır. AIB'nin görüntünüzü özelleştirmesi/doğrulaması için ACI'de çalışan kapsayıcı örneklerinin derleme VM'sine yönelik bir ağ yoluna sahip olması gerekir. Özel ağ gereksinimlerinize ve ilkelerinize bağlı olarak, AIB'yi bu amaçla farklı ağ topolojileri kullanacak şekilde yapılandırabilirsiniz:

Kendi Build VM alt ağınızı getirmeyin

  • Bu topolojiyivnetConfig, Görüntü Şablonu'nda alanı belirtmeyerek veya alanı belirterek ancak ve containerInstanceSubnetId alt alanları olmadan subnetId seçebilirsiniz.
  • Bu durumda, AIB hazırlama kaynak grubunda iki alt ağ ve Ağ Güvenlik Grupları (NSG) ile birlikte bir Sanal Ağ dağıtır. Alt ağlardan biri ACI'yi dağıtmak için, diğer alt ağ ise Derleme VM'sini dağıtmak için kullanılır. NSG'ler iki alt ağ arasında iletişime izin verecek şekilde ayarlanır.
  • AIB bu durumda Genel IP kaynağı veya Özel bağlantı tabanlı iletişim işlem hattı dağıtmaz.

Kendi Build VM alt ağınızı getirin ancak kendi ACI alt ağınızı getirmeyin

  • Bu topolojiyi vnetConfig , alanla subnetId birlikte alt alanı belirterek seçebilirsiniz, ancak Görüntü Şablonu'ndaki alt alanı belirtemezsiniz containerInstanceSubnetId .
  • Bu durumda, AIB hazırlama kaynak grubunda iki alt ağ ve Ağ Güvenlik Grupları (NSG) ile birlikte geçici bir Sanal Ağ dağıtır. Alt ağlardan biri ACI'yi dağıtmak için, diğer alt ağ ise Özel Uç Nokta kaynağını dağıtmak için kullanılır. Derleme VM'si, belirtilen alt ağınıza dağıtılır. Özel Uç Nokta, Özel Bağlantı Hizmeti, Azure Load Balancer ve Ara Sunucu Sanal Makinesinden oluşan Özel bağlantı tabanlı iletişim işlem hattı, ACI alt ağı ile derleme VM alt ağınız arasındaki iletişimi kolaylaştırmak için hazırlama kaynak grubunda da dağıtılır.

Kendi Build VM alt ağınızı getirin ve kendi ACI alt ağınızı getirin

  • Bu topolojiyi, Görüntü Şablonu'ndaki vnetConfig & containerInstanceSubnetId alt alanlarıyla subnetId birlikte alanını belirterek seçebilirsiniz. Bu seçenek (ve alt alanı containerInstanceSubnetId) API 2024-02-01 sürümünden itibaren kullanılabilir. Bu topolojiyi kullanmak için mevcut şablonlarınızı da güncelleştirebilirsiniz.
  • Bu durumda AIB, derleme VM'sini belirtilen derleme VM alt a bilgisayarına, ACI'yi ise belirtilen ACI alt aklarına dağıtır.
  • AIB, hazırlama kaynak grubundaki Genel IP, Sanal Ağ, alt ağlar, Ağ Güvenlik Grupları, Özel Uç Nokta, Özel Bağlantı Hizmeti, Azure Load Balancer ve Proxy Sanal Makinesi gibi ağ kaynaklarını dağıtmaz. Bu topoloji, kota kısıtlamalarınız veya bu kaynakların dağıtımına izin vermediğiniz ilkeler varsa kullanılabilir.
  • ACI alt ağı, Yalıtılmış Görüntü Derlemeleri ile kullanılmasına izin vermek için belirli koşulları karşılamalıdır.

Bu alanlarla ilgili ayrıntıları şablon başvurusunda görebilirsiniz. Ağ seçenekleri burada ayrıntılı olarak ele alınıyor.

Geriye dönük uyumluluk

Yalıtılmış Görüntü Derlemeleri platform düzeyinde yapılan bir değişikliktir ve AIB'nin arabirimlerini etkilemez. Bu nedenle, mevcut Görüntü Şablonu ve Tetikleyici kaynaklarınız çalışmaya devam ediyor ve bu türdeki yeni kaynakları dağıtma yönteminizde bir değişiklik yok. Kendi ACI alt ağınızın getirilmesine izin veren ağ topolojisini kullanmak istiyorsanız yeni şablonlar oluşturmanız veya mevcut şablonları güncelleştirmeniz gerekir.

Görüntü derlemeleriniz otomatik olarak Yalıtılmış Görüntü Derlemeleri'ne geçirilir ve kabul etmek için hiçbir işlem yapmanız gerekmez. Ayrıca, özelleştirme günlükleri depolama hesabında kullanılabilir olmaya devam ediyor.

Görüntü Şablonu'nda belirtilen ağ topolojisine bağlı olarak, hazırlama kaynak grubunda geçici olarak birkaç yeni kaynağın (örneğin, ACI, Sanal Ağ, Ağ Güvenlik Grubu ve Özel Uç Nokta) göründüğünü ve diğer bazı kaynakların artık görünmediğinden (örneğin, Genel IP Adresi) gözlemleyebilirsiniz. Daha önce olduğu gibi, bu geçici kaynaklar yalnızca derleme sırasında bulunur ve AIB bundan sonra bunları siler.

Önemli

Aboneliğinizin için Microsoft.ContainerInstance providerkayıtlı olduğundan emin olun:

  • Azure CLI: az provider register -n Microsoft.ContainerInstance
  • PowerShell: Register-AzResourceProvider -ProviderNamespace Microsoft.ContainerInstance

Aboneliğinizi başarıyla kaydettikten sonra aboneliğinizde ACI kaynak dağıtımını reddeden Azure İlkeleri olmadığından emin olun. Yalnızca kısıtlanmış bir kaynak türü kümesine izin veren ve ACI dahil olmayan ilkeler, Yalıtılmış Görüntü Derlemelerinin başarısız olmasına neden olabilir.

Aboneliğinizin ayrıca ACI kaynaklarının dağıtımı için gereken yeterli kaynak kotası olduğundan emin olun.

Önemli

Görüntü Şablonu'nda belirtilen ağ topolojisine bağlı olarak, AIB'nin aboneliğinizdeki hazırlama kaynak grubunda geçici ağ ile ilgili kaynakları dağıtması gerekebilir. Hiçbir Azure İlkesinin bu tür kaynakların (Alt Ağlarla, Ağ Güvenlik Grubuyla, Özel uç noktayla Sanal Ağ) kaynak grubuna dağıtılmasını reddetmediğinden emin olun.

Yeni oluşturulan herhangi bir Sanal Ağ DDoS koruma planları uygulayan Azure İlkeleriniz varsa, kaynak grubu için İlke'yi gevşetin veya Şablon Yönetilen Kimliği'nin plana katılma izinlerine sahip olduğundan emin olun. Alternatif olarak, AIB tarafından yeni bir Sanal Ağ dağıtımını gerektirmeyen ağ topolojisini kullanabilirsiniz.

Önemli

AIB kullanırken tüm en iyi yöntemleri izlediğinize emin olun.

Not

AIB, bu değişikliği tüm konumlara ve müşterilere sunma sürecindedir. İşlem hizmet telemetrisine ve geri bildirime göre ince ayarlı olduğundan bu ayrıntılardan bazıları (özellikle ağ ile ilgili yeni kaynakların dağıtımıyla ilgili) değişebilir. Hatalar için lütfen sorun giderme kılavuzuna bakın.

Sonraki adımlar