Använda Azure VM Image Builder
Vm Image Builder är en fullständigt hanterad Azure-tjänst som är tillgänglig för Azure-resursprovidrar. Resursprovidrar konfigurerar den genom att ange en källbild, en anpassning som ska utföras och var den nya avbildningen ska distribueras. Ett arbetsflöde på hög nivå illustreras i diagrammet:
Du kan skicka mallkonfigurationer med hjälp av Azure PowerShell, Azure CLI eller Azure Resource Manager-mallar eller med hjälp av en DevOps-uppgift för vm Image Builder. När du skickar konfigurationen till tjänsten skapar Azure en avbildningsmallresurs. När resursen för avbildningsmallen skapas skapas en mellanlagringsresursgrupp i din prenumeration, i formatet IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID). Resursgruppen för staging innehåller filer och skript, som refereras i anpassningen av File, Shell och PowerShell i egenskapen ScriptURI.
Om du vill köra bygget anropar du Kör på mallresursen För den virtuella datorn Image Builder. Tjänsten distribuerar sedan andra resurser för bygget, till exempel en virtuell dator, ett nätverk, en disk och ett nätverkskort.
Om du skapar en avbildning utan att använda ett befintligt virtuellt nätverk distribuerar VM Image Builder även en offentlig IP- och nätverkssäkerhetsgrupp. Vm Image Builder ansluter till den virtuella datorn med hjälp av Secure Shell (SSH) eller WinRM-protokollet (Windows Remote Management).
Om du väljer ett befintligt virtuellt nätverk distribueras tjänsten via Azure Private Link och en offentlig IP-adress krävs inte. Mer information finns i vm Image Builder-nätverksöversikt.
När bygget är klart tas alla resurser bort, förutom mellanlagringsresursgruppen och lagringskontot. Du kan ta bort dem genom att ta bort resursen för bildmallen, eller så kan du låta dem vara kvar för att köra bygget igen.
Om du vill ha flera exempel, steg-för-steg-guider, konfigurationsmallar och lösningar går du till github-lagringsplatsen VM Image Builder.
Säkerhet
För att skydda dina avbildningar, VM Image Builder:
- Gör att du kan skapa baslinjebilder (dvs. dina minsta säkerhets- och företagskonfigurationer) och gör att andra avdelningar kan anpassa dem ytterligare. Du kan hjälpa till att hålla dessa avbildningar säkra och kompatibla genom att använda VM Image Builder för att snabbt återskapa en standardavbildning som använder den senaste uppdaterade versionen av en källavbildning. Vm Image Builder gör det också enklare för dig att skapa avbildningar som uppfyller Säkerhetsbaslinjen för Azure Windows. Mer information hittar du i VM Image Builder – Mall för Windows-baslinje.
- Gör att du kan hämta dina anpassningsartefakter utan att behöva göra dem offentligt tillgängliga. Vm Image Builder kan använda din Azure Managed Identity för att hämta dessa resurser, och du kan begränsa behörigheterna för den här identiteten så nära som krävs med hjälp av rollbaserad åtkomstkontroll i Azure (Azure RBAC). Du kan både hålla artefakterna hemliga och förhindra manipulering av obehöriga aktörer.
- Lagrar kopior av anpassningsartefakter, tillfälliga beräknings- och lagringsresurser och deras resulterande bilder i din prenumeration på ett säkert sätt, eftersom åtkomsten styrs av Azure RBAC. Den här säkerhetsnivån, som även gäller för den virtuella byggdatorn som används för att skapa den anpassade avbildningen, förhindrar att dina anpassningsskript och filer kopieras till en okänd virtuell dator i en okänd prenumeration. Och du kan uppnå en hög grad av separation från andra kunders arbetsbelastningar genom att använda isolerade VM-erbjudanden för den virtuella byggdatorn.
- Gör att du kan ansluta VM Image Builder till dina befintliga virtuella nätverk så att du kan kommunicera med befintliga konfigurationsservrar, till exempel DSC (önskad tillståndskonfigurations pull-server), Chef och Puppet, filresurser eller andra routbara servrar och tjänster.
- Kan konfigureras för att tilldela dina användartilldelade identiteter till den virtuella datorn Image Builder build VM (d.v.s. den virtuella dator som vm Image Builder-tjänsten skapar i din prenumeration och använder för att skapa och anpassa avbildningen). Du kan sedan använda dessa identiteter vid anpassningstillfället för att få åtkomst till Azure-resurser, inklusive hemligheter, i din prenumeration. Det finns inget behov av att ge VM Image Builder direktåtkomst till dessa resurser.
Os-stöd
Vm Image Builder är utformad för att fungera med alla Azure Marketplace-basoperativsystemavbildningar.
Not
Kom igång med att skapa och validera anpassade avbildningar i portalen.
Konfidentiellt stöd för virtuell dator och betrodd start
Image Builder för virtuella datorer har utökat stöd för TrustedLaunchSupported- och ConfidentialVMSupported-avbildningar, med vissa begränsningar. Nedan visas listan över begränsningar:
| Säkerhetstyp | Supportstatus |
|---|---|
| Trusted Launch understöds | Understöd som källbild för bildbyggen |
| ConfidentialVMSupported | Understöd som källbild för bildbyggen |
| TrustedLaunch | Stöds inte som en källbild |
| ConfidentialVM | Stöds inte som en källbild |
Not
När du använder TrustedLaunchSupported-avbildningar är det viktigt att källan och distributionen måste vara TrustedLaunchSupported för att den ska kunna stödjas. Om källan är normal och distributionen är TrustedLaunchSupported, eller om källan är TrustedLaunchSupported och distributionen är normal Gen2, stöds den inte.