Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La costruzione di Immagini Isolate è una funzionalità di Azure VM Image Builder (AIB). Esegue la transizione del processo centrale di personalizzazione e convalida delle immagini delle macchine virtuali dall'infrastruttura della piattaforma condivisa alle risorse dedicate delle Azure Container Instances (ACI) all'interno della tua sottoscrizione Azure, garantendo isolamento di calcolo e di rete.
Vantaggi delle compilazioni di immagini isolate
Compilazioni di Immagini Isolate abilitano la difesa stratificata limitando l'accesso di rete della VM di compilazione alla sottoscrizione. Le compilazioni di immagini isolate offrono anche maggiore trasparenza consentendo di controllare l'elaborazione eseguita da AIB per personalizzare e convalidare l'immagine della macchina virtuale. Inoltre, le compilazioni di immagini isolate semplificano la visualizzazione dei log di compilazione in tempo reale. In particolare:
Isolamento del calcolo: I Build di immagini isolate svolgono la maggior parte dell'elaborazione di creazione delle immagini nelle risorse ACI nella tua sottoscrizione anziché dalle risorse della piattaforma condivisa di AIB. Azure Container Instances fornisce isolamento tramite hypervisor per ogni gruppo di contenitori per garantire che i contenitori vengano eseguiti in isolamento senza condividere un kernel.
Isolamento rete: Le compilazioni di immagini isolate rimuovono tutte le comunicazioni WinRM/SSH di rete diretta tra la VM di compilazione e i componenti back-end del servizio AIB.
- Se si esegue il provisioning di un modello AIB senza una subnet propria per la VM di build, nel gruppo di risorse di staging non viene più effettuato il provisioning di una risorsa Indirizzo IP pubblico durante la fase di creazione dell'immagine.
- Se si esegue il provisioning di un modello AIB con una subnet esistente per la compilazione di una macchina virtuale, un canale di comunicazione basato su collegamento privato non è più configurato tra la macchina virtuale di compilazione e le risorse della piattaforma back-end di AIB. Al contrario, il canale di comunicazione viene configurato tra l'ACI e le risorse della macchina virtuale di compilazione, entrambe presenti nel gruppo di risorse di staging nella sottoscrizione.
- A partire dall'API versione 2024-02-01, è possibile specificare una seconda subnet per la distribuzione dell'ACI oltre alla subnet per la macchina virtuale di compilazione. Se specificato, AIB distribuisce l'ACI in questa subnet e non è necessario che AIB configuri il canale di comunicazione basato sul collegamento privato tra ACI e la macchina virtuale di compilazione.
Trasparenza: AIB è basato su HashiCorp Packer. Le build di immagini isolate eseguono Packer in ACI nell'abbonamento, che consente di esaminare la risorsa ACI e i suoi contenitori. Analogamente, avere l'intera pipeline di comunicazione di rete nella sottoscrizione consente di esaminare tutte le risorse di rete, le loro impostazioni e le relative autorizzazioni.
Migliore visualizzazione dei log in tempo reale: AIB scrive i log di personalizzazione in un account di archiviazione nel gruppo di risorse di staging nella tua sottoscrizione. Le build di immagini isolate offrono un altro modo per seguire gli stessi log direttamente nel portale di Azure navigando verso il container di AIB nella risorsa ACI.
Nota
Per accedere ai log in tempo reale durante la compilazione dell'immagine o i file di log di personalizzazione e convalida al termine della compilazione, fare riferimento alla guida alla risoluzione dei problemi.
Per altre informazioni sulle topologie di rete e sul comportamento della connettività, vedere Opzioni di rete di Image Builder per macchine virtuali di Azure.
Compatibilità con le versioni precedenti
Compilazioni di immagini isolate è una modifica a livello di piattaforma e non influisce sulle interfacce di AIB. Le risorse modello di immagine e trigger esistenti continuano quindi a funzionare e non cambia il modo in cui si distribuiscono nuove risorse di questi tipi. È necessario creare nuovi modelli o aggiornare i modelli esistenti se si vuole usare la topologia di rete che consente di portare la propria subnet ACI.
La migrazione delle compilazioni di immagini viene eseguita automaticamente alle compilazioni di immagini isolate e non è necessario intraprendere alcuna azione per acconsentire esplicitamente. Inoltre, i log di personalizzazione continuano a essere disponibili nell'account di archiviazione.
A seconda della topologia di rete specificata nel modello di immagine, è possibile osservare temporaneamente alcune nuove risorse nel gruppo di risorse di staging , ad esempio ACI, Rete virtuale, Gruppo di sicurezza di rete e Endpoint privato, mentre alcune altre risorse non vengono più visualizzate (ad esempio, Indirizzo IP pubblico). Come in precedenza, queste risorse temporanee esistono solo durante la compilazione e AIB le elimina successivamente.
Importante
Assicurati che la sottoscrizione sia registrata per Microsoft.ContainerInstance provider
- Interfaccia della riga di comando di Azure:
az provider register -n Microsoft.ContainerInstance - Powershell:
Register-AzResourceProvider -ProviderNamespace Microsoft.ContainerInstance
Dopo aver registrato correttamente la sottoscrizione, assicurarsi che nella sottoscrizione non siano presenti criteri di Azure che negano la distribuzione delle risorse ACI. I criteri che consentono solo un set limitato di tipi di risorse che non includono ACI causerebbero l'esito negativo delle compilazioni di immagini isolate.
Assicurarsi che la sottoscrizione disponga anche di una sufficiente quota di risorse necessaria per la distribuzione delle risorse ACI.
Importante
A seconda della topologia di rete specificata nel modello dell'immagine, AIB potrebbe dover distribuire risorse temporanee legate alla rete nel gruppo di risorse di prova nella tua sottoscrizione. Assicurarsi che nessun criterio di Azure neghi la distribuzione di tali risorse (rete virtuale con subnet, gruppo di sicurezza di rete, endpoint privato) nel gruppo di risorse.
Se sono presenti criteri di Azure che applicano piani di protezione DDoS a qualsiasi rete virtuale appena creata, allentare i criteri per il gruppo di risorse o assicurarsi che l'identità gestita del modello disponga delle autorizzazioni per partecipare al piano. In alternativa, è possibile usare la topologia di rete che non richiede la distribuzione di una nuova rete virtuale da AIB.
Importante
Assicurarsi di seguire tutte le procedure consigliate durante l'uso di AIB.
Nota
AIB sta implementando questa modifica in tutte le posizioni e i clienti. Alcuni di questi dettagli(in particolare per la distribuzione di nuove risorse correlate alla rete) possono cambiare man mano che il processo è ottimizzato in base ai dati di telemetria e ai commenti dei servizi. Per eventuali errori, vedere la guida alla risoluzione dei problemi.