Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : ✔️ Machines virtuelles Linux ✔️ Groupes d’échelle flexibles
Azure VM Image Builder (AIB) déploie une Azure Container Instance (ACI) dans le groupe de ressources de mise en scène de votre abonnement. L’instance ACI doit être associée à un sous-réseau dans un réseau virtuel Azure (VNet). Le code du service AIB exécuté dans l'ACI déploie une machine virtuelle de build (VM de build) dans le groupe de ressources intermédiaire pour personnaliser votre image, et cette VM de build doit être placée sur un sous-réseau distinct. Pour personnaliser et valider votre image, l’ACI doit disposer d’une connectivité réseau vers la machine virtuelle de build. En fonction de vos exigences réseau et des stratégies organisationnelles, vous pouvez configurer AIB pour utiliser différentes topologies réseau. Vous pouvez choisir d’apporter les deux sous-réseaux, un sous-réseau ou aucun. Pour obtenir des recommandations, consultez les meilleures pratiques pour Le Générateur d’images de machine virtuelle Azure.
Topologies réseau
N'apportez pas votre propre sous-réseau de machines virtuelles de construction ni le sous-réseau ACI
- Vous pouvez sélectionner cette topologie en ne spécifiant pas le champ
vnetConfigdans le modèle d’image ou en spécifiant le champ mais sans les sous-champssubnetIdetcontainerInstanceSubnetId. - Si vous ne spécifiez aucun sous-réseau, AIB déploie un réseau virtuel Azure dans le groupe de ressources intermédiaire avec deux sous-réseaux : un pour Azure Container Instance et un pour la machine virtuelle de build. Les deux sous-réseaux sont associés à un groupe de sécurité réseau (NSG) qui inclut des règles par défaut, tout en autorisant la connectivité directe en ligne de vue requise pour la personnalisation. La machine virtuelle de build est également déployée avec une ressource d’interface réseau (et d’autres ressources non directement liées à la mise en réseau, comme le disque managé). Une fois la build terminée, la machine virtuelle de build et les ressources réseau sont supprimées.
Apportez votre propre sous-réseau de machine virtuelle build et apportez votre propre sous-réseau ACI
- Vous pouvez sélectionner cette topologie en spécifiant le
vnetConfigchamp avec lessubnetIdetcontainerInstanceSubnetIdsous-champs du modèle d'image. Cette option, y compris le sous-champ, est disponible à partir de lacontainerInstanceSubnetIdversion d’API 2024-02-01. Vous pouvez également mettre à jour des modèles existants pour utiliser cette topologie. - Dans cette topologie, AIB déploie la machine virtuelle de build sur le sous-réseau de machine virtuelle de build spécifié et l’ACI sur le sous-réseau ACI spécifié. Étant donné que les sous-réseaux sont déjà fournis, AIB ne déploie pas de réseau virtuel, de sous-réseaux ou de groupe de sécurité réseau. Cette topologie est utile lorsque des restrictions de quota ou des stratégies empêchent le déploiement de ces ressources. La machine virtuelle de build peut accéder aux ressources accessibles à partir de votre réseau virtuel, et vous pouvez également créer un réseau virtuel en silo qui n’est connecté à aucun autre réseau virtuel. Le sous-réseau ACI doit remplir les conditions préalables pour les constructions d’images isolées. Pour plus d’informations sur ces champs, consultez la référence du modèle.
- Cette topologie est l’option recommandée pour la plupart des scénarios, car elle vous offre un contrôle total sur les deux sous-réseaux, simplifie l’installation et la configuration réseau, peut réduire les coûts de déploiement globaux et permet d’aligner la mise en réseau avec les exigences de sécurité et de gouvernance de votre organisation.
Apportez votre propre sous-réseau pour la machine virtuelle de build, mais pas votre propre sous-réseau ACI.
- Vous pouvez sélectionner cette topologie en spécifiant le
vnetConfigchamp avec lesubnetIdsous-champ tout en omettant lecontainerInstanceSubnetIdsous-champ dans le modèle d’image. - Dans cette topologie, AIB déploie un réseau virtuel temporaire dans le groupe de ressources intermédiaire avec deux sous-réseaux, chacun associé à un groupe de sécurité réseau (NSG). Un sous-réseau héberge l’ACI, et l’autre héberge la ressource de point de terminaison privé. La machine virtuelle de build est déployée dans votre sous-réseau spécifié. Pour activer la communication entre le sous-réseau ACI et votre sous-réseau de machine virtuelle de build, AIB déploie également un chemin de communication basé sur liaison privée dans le groupe de ressources intermédiaire qui inclut un point de terminaison privé, un service Private Link, Azure Load Balancer, des interfaces réseau et une machine virtuelle proxy. Les ressources et configurations exactes varient légèrement selon que vous personnalisez une image Windows ou une image Linux.
- Cette topologie n’est généralement pas recommandée pour la plupart des scénarios, car elle peut augmenter les coûts de déploiement, exiger davantage d’installation et de configuration opérationnelle et introduire des composants supplémentaires qui peuvent rendre le pipeline de bout en bout plus sensible aux défaillances.
Pour obtenir des exemples de cette topologie, consultez les articles suivants :
- Utiliser Azure VM Image Builder pour les machines virtuelles Windows autorisant l’accès à un réseau virtuel Azure existant
- Utiliser Azure VM Image Builder pour les machines virtuelles Linux autorisant l’accès à un réseau virtuel Azure existant
Qu’est-ce que Liaison privée Azure ?
Azure Private Link fournit une connectivité privée entre un réseau virtuel et la plateforme Azure en tant que service (PaaS) ou à un client ou à des services partenaires Microsoft. Il simplifie l’architecture réseau et sécurise la connectivité entre les points de terminaison Azure en éliminant l’exposition des données à l’Internet public. Private Link nécessite une adresse IP à partir du réseau virtuel et du sous-réseau spécifiés. Azure ne prend actuellement pas en charge les stratégies réseau sur ces adresses IP. Vous devez donc désactiver les stratégies réseau sur le sous-réseau. Pour plus d'informations, consultez la documentation Liaison privée.
Pourquoi déployer une machine virtuelle proxy ?
Lorsqu’une machine virtuelle sans adresse IP publique se trouve derrière un équilibreur de charge interne, elle n’a pas d’accès à Internet. L’équilibreur de charge utilisé pour le réseau virtuel est interne. La machine virtuelle proxy autorise l’accès Internet pour la machine virtuelle de build pendant les builds, et AIB utilise la machine virtuelle proxy pour envoyer des commandes entre le service et la machine virtuelle de build. Vous pouvez utiliser les groupes de sécurité réseau associés pour restreindre l’accès aux VM de build. Le trafic provenant de l’ACI traverse la liaison privée vers l’équilibreur de charge. L’équilibreur de charge communique avec la machine virtuelle proxy sur le port 60001 pour Linux ou le port 60000 pour Windows. Le proxy transfère les commandes vers la machine virtuelle de build sur le port 22 pour Linux ou le port 5986 pour Windows. Par défaut, la taille de machine virtuelle proxy déployée est standard A1_v2, mais vous pouvez modifier la taille. Pour plus d’informations, consultez la référence du modèle.
Check-list pour l’utilisation de votre réseau virtuel
- Autorisez Azure Load Balancer à communiquer avec la machine virtuelle proxy dans un groupe de sécurité réseau.
- Désactivez la stratégie de service privé sur le sous-réseau.
- Autorisez VM Image Builder à créer un équilibreur de charge et à ajouter des machines virtuelles au réseau virtuel.
- Autorisez VM Image Builder à lire et à écrire des images sources et à créer des images.
- Vérifiez que vous utilisez un réseau virtuel dans la même région que celle du service VM Image Builder.
Considérations supplémentaires
Autorisations requises pour un réseau virtuel existant
VM Image Builder requiert des autorisations spécifiques pour utiliser un réseau virtuel existant. Pour plus d’informations, consultez Configurer les autorisations Azure VM Image Builder en utilisant Azure CLI ou Configurer les autorisations Azure VM Image Builder en utilisant PowerShell.
Note
Le réseau virtuel doit être dans la même région que celle du service VM Image Builder.
Important
Le service Azure VM Image Builder modifie la configuration de connexion WinRM sur toutes les builds Windows pour utiliser HTTPS sur le port 5986 au lieu du port HTTP par défaut sur 5985. Cette modification de configuration peut avoir un impact sur les workflows qui s’appuient sur la communication WinRM.
Modèle de connectivité
AIB ne déploie pas d’adresse IP publique pour la connectivité directe, et le composant de service AIB qui s’exécute dans l’abonnement de la plateforme n’a pas de connectivité réseau à l’ACI ou à la machine virtuelle de build. Seul le composant AIB qui s’exécute dans l’ACI dispose d’une connectivité vers la machine virtuelle de build pour effectuer la personnalisation.
Combinaisons de sous-réseaux prises en charge
Vous pouvez configurer les deux sous-réseaux (subnetId et containerInstanceSubnetId) ou uniquement le sous-réseau de machine virtuelle de build (subnetId). Une configuration qui spécifie uniquement le sous-réseau ACI (containerInstanceSubnetId) n’est pas prise en charge.