Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Image-Builds in isolierter Umgebung sind ein Feature von Azure VM Image Builder (AIB). Es stellt den Kernprozess der VM-Imageanpassung/-validierung von der gemeinsam genutzten Plattforminfrastruktur auf dedizierte ACI-Ressourcen (Azure Container Instances) in Ihrem Abonnement um und bietet Compute- und Netzwerkisolation.
Vorteile isolierter Imagebuilds
Isolierte Imagebuilds ermöglichen eine umfassende Verteidigung, indem der Netzwerkzugriff Ihrer Build-VM auf Ihr Abonnement beschränkt wird. Isolierte Imagebuilds bieten auch mehr Transparenz, indem Sie die von AIB durchgeführte Verarbeitung überprüfen können, um Ihr VM-Image anzupassen und zu überprüfen. Außerdem vereinfacht Isolated Image Builds die Anzeige von Live-Build-Protokollen. Speziell:
Compute Isolation: Isolierte Image Builds verarbeitet einen Großteil der Image-Builds in den ACI-Ressourcen Ihres Abonnements statt auf den gemeinsam genutzten Plattformressourcen von AIB. ACI bietet Hypervisorisolation für jede Containergruppe, um sicherzustellen, dass Container isoliert ausgeführt werden, ohne einen gemeinsamen Kernel zu verwenden.
Netzwerkisolation: Bei isolierten Image-Builds wird jede direkte Netzwerkkommunikation per WinRM-/SSH zwischen Ihrer Build-VM und den Backend-Komponenten des AIB-Dienstes vermieden.
- Wenn Sie eine AIB-Vorlage ohne eigenes Subnetz für die Build-VM bereitstellen, wird zum Zeitpunkt der Image-Erstellung keine öffentliche IP-Adresse mehr in Ihrer Staging-Ressourcengruppe bereitgestellt.
- Wenn Sie eine AIB-Vorlage mit einem vorhandenen Subnetz für die Build-VM bereitstellen, wird kein Private-Link-basierter Kommunikationskanal mehr zwischen Ihrer Build-VM und den Backend-Plattformressourcen der AIB eingerichtet. Stattdessen wird der Kommunikationskanal zwischen der ACI und den Build-VM-Ressourcen eingerichtet, die sich beide in der Staging-Ressourcengruppe in Ihrem Abonnement befinden.
- Ab API Version 2024-02-01 können Sie zusätzlich zum Subnetz für die Build-VM ein zweites Subnetz für die Bereitstellung der ACI angeben. Wenn angegeben, stellt AIB die ACI in diesem Subnetz bereit, und es ist nicht erforderlich, dass AIB den privaten Link-basierten Kommunikationskanal zwischen der ACI und der Build-VM einrichten muss.
Transparenz: AIB basiert auf HashiCorp Packer. Isolierte Imagebuilds führen Packer in der Azure-Containerinstanz in Ihrem Abonnement aus, sodass Sie die ACI-Ressource und deren Container überprüfen können. Ebenso können Sie alle Netzwerkressourcen, deren Einstellungen und Berechtigungen überprüfen, da die gesamte Netzwerkkommunikationspipeline zu Ihrem Abonnement gehört.
Bessere Anzeige von Live-Protokollen: AIB schreibt angepasste Protokolle in ein Storage-Konto in der Staging-Ressourcengruppe in Ihrem Abonnement. Isolierte Image Builds bietet eine weitere Möglichkeit, dieselben Protokolle direkt im Azure-Portal zu verfolgen, indem Sie zu dem Container von AIB in der ACI-Ressource navigieren.
Hinweis
Informationen zum Zugreifen auf die Liveprotokolle während des Imagebuilds oder auf die Anpassungs- und Validierungsprotokolldateien nach Abschluss des Builds finden Sie im Leitfaden zur Problembehandlung.
Weitere Informationen zu Netzwerktopologien und Konnektivitätsverhalten finden Sie unter Azure VM Image Builder-Netzwerkoptionen.
Abwärtskompatibilität
Isolierte Image Builds ist eine Änderung auf Plattformebene und hat keine Auswirkungen auf die Schnittstellen von AIB. Ihre vorhandenen Bildvorlagen- und Triggerressourcen funktionieren also weiterhin, und die Art und Weise, wie Sie neue Ressourcen dieser Typen bereitstellen, ändert sich nicht. Sie müssen neue Vorlagen erstellen oder vorhandene Vorlagen aktualisieren, wenn Sie die Netzwerktopologie verwenden möchten, mit der Sie Ihr eigenes ACI-Subnetz mitbringen können.
Ihre Imagebuilds werden automatisch zu isolierten Imagebuilds migriert und Sie müssen nichts unternehmen, um dies zu aktivieren. Entsprechend stehen Anpassungsprotokolle weiterhin im Speicherkonto zur Verfügung.
Abhängig von der in der Bildvorlage angegebenen Netzwerktopologie werden möglicherweise einige neue Ressourcen vorübergehend in der Stagingressourcengruppe angezeigt (z. B. ACI, Virtuelles Netzwerk, Netzwerksicherheitsgruppe und privater Endpunkt), während einige andere Ressourcen nicht mehr angezeigt werden (z. B. öffentliche IP-Adresse). Wie zuvor existieren diese temporären Ressourcen nur während des Builds, und AIB löscht sie danach.
Wichtig
Stellen Sie sicher, dass Ihr Abonnement für Microsoft.ContainerInstance provider registriert ist:
- Azure-Befehlszeilenschnittstelle:
az provider register -n Microsoft.ContainerInstance - Powershell:
Register-AzResourceProvider -ProviderNamespace Microsoft.ContainerInstance
Stellen Sie nach der erfolgreichen Registrierung Ihres Abonnements sicher, dass es keine Azure-Richtlinien in Ihrem Abonnement gibt, die die Bereitstellung von ACI-Ressourcen verweigern. Richtlinien, die nur einen eingeschränkten Satz von Ressourcentypen zulassen, die keine ACI enthalten, führen dazu, dass isolierte Imagebuilds fehlschlagen.
Stellen Sie sicher, dass Ihr Abonnement auch über ein ausreichendes Kontingent an Ressourcen für die Bereitstellung von ACI-Ressourcen verfügt.
Wichtig
Je nach der in der Imagevorlage angegebenen Netzwerktopologie muss AIB möglicherweise temporäre netzwerkbezogene Ressourcen in der Stagingressourcengruppe in Ihrem Abonnement bereitstellen. Stellen Sie sicher, dass keine Azure-Richtlinien die Bereitstellung solcher Ressourcen (virtuelles Netzwerk mit Subnetzen, Netzwerksicherheitsgruppe, privater Endpunkt) in der Ressourcengruppe verweigern.
Wenn Sie Azure-Richtlinien haben, die DDoS-Schutzpläne auf ein neu erstelltes virtuelles Netzwerk anwenden, sollten Sie entweder die Richtlinie für die Ressourcengruppe lockern oder sicherstellen, dass die verwaltete Identität der Vorlage über die erforderlichen Berechtigungen verfügt, dem Plan beizutreten. Alternativ können Sie die Netzwerktopologie verwenden, für die keine Bereitstellung eines neuen virtuellen Netzwerks durch AIB erforderlich ist.
Wichtig
Stellen Sie sicher, dass Sie alle bewährten Methoden bei der Verwendung von AIB befolgen.
Hinweis
Diese Änderung wird derzeit von AIB für alle Standorte und Kunden eingeführt. Einige dieser Details (insbesondere bei der Bereitstellung neuer netzwerkbezogener Ressourcen) können sich ändern, da der Prozess basierend auf Diensttelemetrie und -feedback optimiert wird. Informationen zu Fehlern finden Sie im Handbuch zur Problembehandlung.