Azure VM Image Builder gebruiken
VM Image Builder is een volledig beheerde Azure-service die toegankelijk is voor Azure-resourceproviders. Resource providers configureren het door een bronafbeelding op te geven, een aanpassing uit te voeren en waar de nieuwe afbeelding moet worden gedistribueerd. Een werkstroom op hoog niveau wordt geïllustreerd in het diagram:
U kunt sjabloonconfiguraties doorgeven met behulp van Azure PowerShell, de Azure CLI of Azure Resource Manager-sjablonen, of met behulp van een DevOps-taak van VM Image Builder. Wanneer u de configuratie naar de service verzendt, maakt Azure een resource voor een installatiekopieënsjabloon. Wanneer de resource van de afbeeldingssjabloon wordt gemaakt, wordt er een staginggroep aangemaakt in uw abonnement, in de indeling IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID). De faseringsresourcegroep bevat bestanden en scripts waarnaar wordt verwezen in de aanpassing Bestand, Shell en PowerShell in de eigenschap ScriptURI.
Als u de build wilt uitvoeren, roept u Uitvoeren aan op de vm Image Builder-sjabloonresource. De service implementeert vervolgens andere resources voor de build, zoals een VM, netwerk, schijf en netwerkadapter.
Als u een installatiekopie maakt zonder een bestaand virtueel netwerk te gebruiken, implementeert VM Image Builder ook een openbare IP- en netwerkbeveiligingsgroep. VM Image Builder maakt verbinding met de build-VM met behulp van het WinRM-protocol (Secure Shell) of Windows Remote Management (WinRM).
Als u een bestaand virtueel netwerk selecteert, wordt de service geïmplementeerd via Azure Private Link en is een openbaar IP-adres niet vereist. Zie overzicht van VM Image Builder-netwerken voor meer informatie.
Wanneer de build is voltooid, worden alle resources verwijderd, met uitzondering van de faseringsresourcegroep en het opslagaccount. U kunt ze verwijderen door de resource van de installatiekopieënsjabloon te verwijderen, of u kunt ze laten staan om de build opnieuw te herhalen.
Voor meerdere voorbeelden, stapsgewijze handleidingen, configuratiesjablonen en oplossingen, gaat u naar de GitHub-opslagplaats voor VM Image Builder.
Veiligheid
Om uw afbeeldingen veilig te houden, biedt VM Image Builder:
- Hiermee kunt u basisafbeeldingen maken (oftewel, uw minimale beveiligings- en bedrijfsconfiguraties) en stelt u andere afdelingen in staat deze verder aan te passen. U kunt deze installatiekopieën veilig en compatibel houden met behulp van VM Image Builder om snel een gouden installatiekopie opnieuw samen te stellen die gebruik maakt van de nieuwste patchversie van een broninstallatiekopie. VM Image Builder maakt het ook eenvoudiger voor u om installatiekopieën te bouwen die voldoen aan de Azure Windows-beveiligingsbasislijn. Zie VM Image Builder - Windows-basislijnsjabloon voor meer informatie.
- Hiermee kunt u uw aanpassingsartefacten ophalen zonder ze openbaar toegankelijk te maken. VM Image Builder kan uw Azure Managed Identity gebruiken om deze resources op te halen en u kunt de bevoegdheden van deze identiteit zo strikt beperken als nodig is met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). U kunt uw artefacten geheim houden en manipulatie voorkomen door onbevoegde actoren.
- Slaat veilig kopieën van maatwerk-artefacten, tijdelijke rekenkracht- en opslagbronnen en de resulterende afbeeldingen binnen uw abonnement op, omdat de toegang wordt beheerd door Azure RBAC. Dit beveiligingsniveau, dat ook van toepassing is op de build-VM die wordt gebruikt voor het maken van de aangepaste installatiekopieën, helpt voorkomen dat uw aanpassingsscripts en bestanden worden gekopieerd naar een onbekende VIRTUELE machine in een onbekend abonnement. En u kunt een hoge mate van scheiding van de workloads van andere klanten bereiken met behulp van geïsoleerde VM-aanbiedingen voor de build-VM.
- Hiermee kunt u VM Image Builder verbinden met uw bestaande virtuele netwerken, zodat u kunt communiceren met bestaande configuratieservers, zoals DSC (pull-server voor de gewenste statusconfiguratie), Chef en Puppet, bestandsshares of andere routeerbare servers en services.
- Kan worden geconfigureerd om uw gebruikersidentiteiten toe te wijzen aan de build-VM van de VM Image Builder (de VM die de VM Image Builder-service in uw abonnement maakt en gebruikt om het beeld te bouwen en aan te passen). U kunt deze identiteiten vervolgens op het moment van aanpassing gebruiken om toegang te krijgen tot Azure-resources, inclusief geheimen, in uw abonnement. U hoeft vm Image Builder geen directe toegang tot deze resources toe te wijzen.w
Besturingssysteemondersteuning
VM Image Builder is ontworpen om te werken met alle installatiekopieën van het basisbesturingssysteem van Azure Marketplace.
Notitie
Ga aan de slag met het bouwen en valideren van aangepaste afbeeldingen binnen het portaal.
Ondersteuning voor vertrouwelijke VM's en vertrouwde start
VM Image Builder biedt uitgebreide ondersteuning voor TrustedLaunchSupported- en ConfidentialVMSupported-installatiekopieën, met bepaalde beperkingen. Hieronder ziet u de lijst met beperkingen:
| Beveiligingstype | Ondersteuningsstatus |
|---|---|
| OndersteuningVoorVertrouwdeStart | Ondersteuning als bronafbeelding voor het maken van installatiekopieën |
| ConfidentialVMSupported | Ondersteuning als bronafbeelding voor het maken van installatiekopieën |
| TrustedLaunch | Niet ondersteund als bronafbeelding |
| ConfidentialVM | Niet ondersteund als bronafbeelding |
Notitie
Wanneer u TrustedLaunchSupported-installatiekopieën gebruikt, is het belangrijk dat de bron en distributie beide TrustedLaunchSupported moeten zijn om deze te kunnen ondersteunen. Als de bron normaal is en de distributie TrustedLaunchSupported is, of als de bron TrustedLaunchSupported is en de distributie normaal Gen2 is, wordt deze niet ondersteund.