Azure VM Image Builder 網路選項
適用於:✔️ Linux VM ✔️ 彈性擴展集
使用 Azure VM Image Builder,您可以選擇使用或不使用現有虛擬網路來部署服務。 下節提供更多關於該選項的詳細資料。
不指定現有虛擬網路而進行部署
如果您不指定現有虛擬網路,VM Image Builder 會在暫存資源群組中建立一個虛擬網路和子網路。 此服務會使用公用 IP 資源和網路安全性群組來限制輸入流量。 公用 IP 可以在映像組建期間輔助命令通道。 建置完成後,虛擬機器 (VM)、公用 IP、磁碟和虛擬網路便會被刪除。 若要使用此選項,請勿指定任何虛擬網路屬性。
使用現有 VNET 進行部署
如果您指定了虛擬網路和子網路,VM Image Builder 會將組建 VM 部署到您所選擇的虛擬網路。 您可以存取您虛擬網路上可存取的資源。 您也可以建立未連線到任何其他虛擬網路的孤立虛擬網路。 如果您指定了虛擬網路,VM Image Builder 便不會使用公用 IP 位址。 從 VM Image Builder 到組建虛擬機器的通訊會使用 Azure Private Link 來進行。
如需詳細資訊,請參閱下列其中一個範例:
- 使用適用 Windows VM 的 Azure VM Image Builder 來存取現有 Azure 虛擬網路
- 使用適用 Linux VM 的 Azure VM Image Builder 來存取現有 Azure 虛擬網路
什麼是 Azure Private Link?
Azure Private Link 提供從虛擬網路到 Azure 平台即服務 (PaaS)、客戶所擁有的服務,或 Microsoft 合作夥伴服務的私人連線。 其可簡化網路架構,並透過消除公用網際網路上的資料暴露來保護 Azure 中端點之間的連線。 如需詳細資訊,請參閱 Private Link 文件。
現有虛擬網路所需的權限
VM Image Builder 需要特定的權限才能使用現有虛擬網路。 如需詳細資訊,請參閱使用 Azure CLI 設定 Azure VM Image Builder 權限或使用 PowerShell 設定 Azure VM Image Builder 權限。
映像組建期間會部署什麼?
如果您使用的是現有虛擬網路,VM Image Builder 會部署一個額外的 VM (Proxy VM) 和負載平衡器 (Azure Load Balancer)。 這些會連線到 Private Link。 來自 VM Image Builder 服務的流量會通過負載平衡器的私人連結。 負載平衡器在 Linux 中會使用連接埠 60001 與 Proxy VM 通訊,在 Windows 中則會使用連接埠 60000。 Proxy VM 在 Linux 中會使用連接埠 22 將命令轉接到組建 VM,在 Windows 中則會使用連接埠 5986。
注意
虛擬網路必須與 VM Image Builder 服務區域位於相同的區域。
重要
Azure VM 映射產生器服務會修改所有 Windows 組建上的 WinRM 連線設定,以在連接埠 5986 上使用 HTTPS,而不是 5985 上的預設 HTTP 連接埠。 此設定變更可能會影響依賴 WinRM 通訊的工作流程。
為何要部署 Proxy VM?
沒有公用 IP 的 VM 位於內部負載平衡器後方時,無法存取網際網路。 用於虛擬網路的負載平衡器是內部負載平衡器。 Proxy VM 允許組建 VM 在組建期間存取網際網路。 您可以使用相關聯的網路安全性群組來限制組建 VM 的存取。
除了組建 VM 之外,已部署的 Proxy VM 大小為「標準 A1_v2」。 VM Image Builder 服務使用 Proxy VM 在服務與組建 VM 之間傳送命令。 您無法變更 Proxy VM 屬性 (此限制包括大小和作業系統)。
支援虛擬網路的映像範本參數
"VirtualNetworkConfig": {
"name": "",
"subnetName": "",
"resourceGroupName": ""
},
| 設定 | 描述 |
|---|---|
name |
(選用) 預先存在的虛擬網路名稱。 |
subnetName |
指定虛擬網路中的子網路名稱。 只有在指定了 name 設定時,才必須指定此設定。 |
resourceGroupName |
包含所指定虛擬網路的資源群組名稱。 只有在指定了 name 設定時,才必須指定此設定。 |
Private Link 需要來自所指定虛擬網路和子網路的 IP。 目前,Azure 不支援這些 IP 的網路原則。 因此,您必須停用子網路上的網路原則。 如需詳細資訊,請參閱 Private Link 文件。
使用虛擬網路的檢查清單
- 允許 Azure Load Balancer 與網路安全性群組中的 Proxy VM 進行通訊。
- 停用子網路上的私人服務原則。
- 允許 VM Image Builder 建立負載平衡器,並將 VM 新增至虛擬網路。
- 允許 VM Image Builder 讀取和寫入來源映像並建立映像。
- 請確定您是在與 VM Image Builder 服務區域相同的區域中使用虛擬網路。