Az Azure-beli VM Image Builder hálózatkezelési lehetőségei
A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai
Az Azure-beli virtuálisgép-rendszerkép-készítővel úgy dönt, hogy meglévő virtuális hálózattal vagy anélkül telepíti a szolgáltatást. Az alábbi szakaszok további részleteket nyújtanak erről a lehetőségről.
Üzembe helyezés meglévő virtuális hálózat megadása nélkül
Ha nem ad meg meglévő virtuális hálózatot, a VM Image Builder létrehoz egy alhálózatot az előkészítési erőforráscsoportban. A szolgáltatás egy nyilvános IP-erőforrást használ egy hálózati biztonsági csoporttal a bejövő forgalom korlátozásához. A nyilvános IP-cím megkönnyíti a parancsok csatornájának használatát a rendszerkép buildelése során. A build befejezése után a virtuális gép (VM), a nyilvános IP-cím, a lemezek és a virtuális hálózat törlődik. A beállítás használatához ne adjon meg virtuális hálózati tulajdonságokat.
Üzembe helyezés meglévő virtuális hálózattal
Ha virtuális hálózatot és alhálózatot ad meg, a VM Image Builder üzembe helyezi a build virtuális gépet a kiválasztott virtuális hálózaton. Hozzáférhet a virtuális hálózaton elérhető erőforrásokhoz. Létrehozhat egy silózott virtuális hálózatot is, amely nem csatlakozik más virtuális hálózathoz. Ha virtuális hálózatot ad meg, a VM Image Builder nem használ nyilvános IP-címet. A VM Image Builder és a build virtuális gép közötti kommunikáció Azure Private Link használ.
További információért tekintse meg az alábbi példák egyikét:
- Az Azure VM Image Builder használata Windows rendszerű virtuális gépekhez, amelyek hozzáférést biztosítanak egy meglévő Azure-beli virtuális hálózathoz
- Az Azure VM Image Builder használata Linux rendszerű virtuális gépekhez, amelyek hozzáférést biztosítanak egy meglévő Azure-beli virtuális hálózathoz
Mi az az Azure privát kapcsolat?
Azure Private Link privát kapcsolatot biztosít egy virtuális hálózatról az Azure-platformhoz szolgáltatásként (PaaS), illetve az ügyfél tulajdonában lévő vagy Microsoft-partnerszolgáltatásokhoz. Leegyszerűsíti a hálózati architektúrát, és biztonságossá teszi a kapcsolatot az Azure-beli végpontok között azáltal, hogy megszünteti a nyilvános internetnek való adatexpozíciót. További információt a Private Link dokumentációjában talál.
Meglévő virtuális hálózathoz szükséges engedélyek
A virtuálisgép-rendszerkép-készítőnek adott engedélyekre van szüksége egy meglévő virtuális hálózat használatához. További információ: Azure-beli virtuálisgép-rendszerkép-készítői engedélyek konfigurálása az Azure CLI használatával vagy Azure VM Image Builder-engedélyek konfigurálása a PowerShell használatával.
Mit helyez üzembe a rendszerkép buildelése során?
Ha meglévő virtuális hálózatot használ, a VM Image Builder üzembe helyez egy további virtuális gépet (proxy virtuális gépet) és egy terheléselosztót (Azure Load Balancer). Ezek Private Link kapcsolódnak. A VM Image Builder szolgáltatásból érkező forgalom a terheléselosztó privát kapcsolatán keresztül halad át. A terheléselosztó linuxos 60001-es vagy Windows 60000-es port használatával kommunikál a proxy virtuális géppel. A proxy parancsokat továbbít a build virtuális gépre a Linux 22-es portjával vagy a Windows 5986-os portjával.
Megjegyzés
A virtuális hálózatnak ugyanabban a régióban kell lennie, mint a VM Image Builder szolgáltatásrégiónak.
Fontos
Az Azure VM Image Builder szolgáltatás módosítja a WinRM-kapcsolat konfigurációját az összes Windows-builden, hogy a HTTPS-t az 5986-os porton használja az 5985-ös alapértelmezett HTTP-port helyett. Ez a konfigurációmódosítás hatással lehet a WinRM-kommunikációra támaszkodó munkafolyamatokra.
Miért érdemes proxy virtuális gépet üzembe helyezni?
Ha egy nyilvános IP-cím nélküli virtuális gép belső terheléselosztó mögött van, nincs internetkapcsolata. A virtuális hálózathoz használt terheléselosztó belső. A proxy virtuális gép lehetővé teszi a buildelési virtuális gép internetkapcsolatát a buildelés során. A társított hálózati biztonsági csoportokkal korlátozhatja a virtuális gépek buildeléséhez való hozzáférést.
Az üzembe helyezett proxy virtuális gép mérete standard A1_v2, a build virtuális gép mellett. A VM Image Builder szolgáltatás a proxy virtuális gép használatával küld parancsokat a szolgáltatás és a buildelési virtuális gép között. A proxy virtuális gép tulajdonságai nem módosíthatók (ez a korlátozás magában foglalja a méretet és az operációs rendszert).
Képsablon paraméterei a virtuális hálózat támogatásához
"VirtualNetworkConfig": {
"name": "",
"subnetName": "",
"resourceGroupName": ""
},
| Beállítás | Leírás |
|---|---|
name |
(Nem kötelező) Egy már meglévő virtuális hálózat neve. |
subnetName |
A megadott virtuális hálózaton belüli alhálózat neve. Ezt a beállítást akkor kell megadnia, ha és csak akkor, ha a name beállítás meg van adva. |
resourceGroupName |
A megadott virtuális hálózatot tartalmazó erőforráscsoport neve. Ezt a beállítást akkor kell megadnia, ha és csak akkor, ha a name beállítás meg van adva. |
Private Link a megadott virtuális hálózatból és alhálózatból származó IP-címet igényel. Az Azure jelenleg nem támogatja a hálózati szabályzatokat ezeken az IP-címeken. Ezért le kell tiltania a hálózati szabályzatokat az alhálózaton. További információt a Private Link dokumentációjában talál.
Ellenőrzőlista a virtuális hálózat használatához
- Engedélyezze, hogy Azure Load Balancer kommunikáljon a proxy virtuális géppel egy hálózati biztonsági csoportban.
- Tiltsa le a privát szolgáltatási szabályzatot az alhálózaton.
- Engedélyezze a VM Image Builder számára, hogy hozzon létre egy terheléselosztót, és adjon hozzá virtuális gépeket a virtuális hálózathoz.
- Engedélyezze a VM Image Builder számára a forrásképek olvasását és írását, valamint képek létrehozását.
- Győződjön meg arról, hogy a virtuálisgép-rendszerkép-készítő szolgáltatásrégióval azonos régióban használ virtuális hálózatot.