Az Azure VM Image Builder hálózatkezelési lehetőségei
A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai
Az Azure VM Image Builderrel úgy dönt, hogy meglévő virtuális hálózattal vagy anélkül telepíti a szolgáltatást. A következő szakaszok további részleteket nyújtanak erről a választásról.
Üzembe helyezés meglévő virtuális hálózat megadása nélkül
Ha nem ad meg meglévő virtuális hálózatot, a VM Image Builder létrehoz egy alhálózatot az átmeneti erőforráscsoportban. A szolgáltatás egy hálózati biztonsági csoporttal rendelkező nyilvános IP-erőforrást használ a bejövő forgalom korlátozásához. A nyilvános IP-cím megkönnyíti a parancsok csatornájának használatát a rendszerkép összeállítása során. A build befejezése után a virtuális gép (VM), a nyilvános IP-cím, a lemezek és a virtuális hálózat törlődik. A beállítás használatához ne adjon meg virtuális hálózati tulajdonságokat.
Üzembe helyezés meglévő virtuális hálózattal
Ha virtuális hálózatot és alhálózatot ad meg, a VM Image Builder üzembe helyezi a buildelési virtuális gépet a kiválasztott virtuális hálózaton. A virtuális hálózaton elérhető erőforrásokat is elérheti. Létrehozhat egy silózott virtuális hálózatot is, amely nem csatlakozik más virtuális hálózathoz. Ha virtuális hálózatot ad meg, a VM Image Builder nem használ nyilvános IP-címet. A VM Image Builder és a build virtuális gép közötti kommunikáció az Azure Private Linket használja.
További információkért tekintse meg az alábbi példák egyikét:
- Az Azure VM Image Builder használata Windows rendszerű virtuális gépekhez, amelyek hozzáférést biztosítanak egy meglévő Azure-beli virtuális hálózathoz
- Az Azure VM Image Builder használata Linux rendszerű virtuális gépekhez, amelyek lehetővé teszik egy meglévő Azure-beli virtuális hálózat elérését
Mi az az Azure privát kapcsolat?
Az Azure Private Link privát kapcsolatot biztosít egy virtuális hálózatról az Azure-platformhoz szolgáltatásként (PaaS), illetve az ügyfél tulajdonában lévő vagy Microsoft-partnerszolgáltatásokhoz. Leegyszerűsíti a hálózati architektúrát, és biztonságossá teszi az Azure-beli végpontok közötti kapcsolatot azáltal, hogy megszünteti a nyilvános internetnek való adatexpozíciót. További információkért tekintse meg a Private Link dokumentációját.
Meglévő virtuális hálózathoz szükséges engedélyek
A virtuálisgép-rendszerkép-készítőnek adott engedélyekre van szüksége egy meglévő virtuális hálózat használatához. További információ: Azure VM Image Builder-engedélyek konfigurálása az Azure CLI használatával vagy az Azure VM Image Builder-engedélyek konfigurálása a PowerShell használatával.
Mi van üzembe helyezve a rendszerkép összeállítása során?
Ha meglévő virtuális hálózatot használ, a VM Image Builder egy további virtuális gépet (proxy virtuális gépet) és egy terheléselosztót (Azure Load Balancer) helyez üzembe. Ezek a privát kapcsolathoz kapcsolódnak. A VM Image Builder szolgáltatásból érkező forgalom a terheléselosztóhoz való privát kapcsolaton keresztül halad át. A terheléselosztó linuxos 60001-s port vagy Windows 60000 port használatával kommunikál a proxy virtuális géppel. A proxy a parancsokat a buildelési virtuális gépre továbbítja a Linux 22-s portjával vagy a Windows 5986-os portjával.
Feljegyzés
A virtuális hálózatnak ugyanabban a régióban kell lennie, mint a VM Image Builder szolgáltatásrégiójának.
Fontos
Az Azure VM Image Builder szolgáltatás az 5985-ös alapértelmezett HTTP-port helyett az 5986-os porton való HTTPS használatára módosítja az összes Windows-build WinRM-kapcsolatkonfigurációját. Ez a konfigurációváltozás hatással lehet a WinRM-kommunikációra támaszkodó munkafolyamatokra.
Miért érdemes proxy virtuális gépet üzembe helyezni?
Ha egy nyilvános IP-cím nélküli virtuális gép belső terheléselosztó mögött van, nem rendelkezik internet-hozzáféréssel. A virtuális hálózathoz használt terheléselosztó belső. A proxy virtuális gép internetes hozzáférést biztosít a buildelési virtuális géphez a buildelés során. A társított hálózati biztonsági csoportokkal korlátozhatja a virtuális gépek buildeléséhez való hozzáférést.
Az üzembe helyezett proxy virtuális gép mérete standard A1_v2, a buildelési virtuális gép mellett. A VM Image Builder szolgáltatás a proxy virtuális géppel parancsokat küld a szolgáltatás és a buildelési virtuális gép között. A proxy virtuális gép tulajdonságai nem módosíthatók (ez a korlátozás magában foglalja a méretet és az operációs rendszert).
Képsablon paraméterei a virtuális hálózat támogatásához
"vnetConfig": {
"subnetId": ""
},
| Beállítás | Leírás |
|---|---|
subnetId |
Annak a már meglévő alhálózatnak az erőforrás-azonosítója, amelyen a build virtuális gép és az érvényesítési virtuális gép telepítve van. |
A privát kapcsolathoz ip-cím szükséges a megadott virtuális hálózatról és alhálózatról. Az Azure jelenleg nem támogatja a hálózati házirendeket ezeken az IP-címeken. Ezért le kell tiltania a hálózati házirendeket az alhálózaton. További információkért tekintse meg a Private Link dokumentációját.
A virtuális hálózat használatának ellenőrzőlistája
- Engedélyezze az Azure Load Balancer számára, hogy kommunikáljon a proxy virtuális géppel egy hálózati biztonsági csoportban.
- Tiltsa le a privát szolgáltatási szabályzatot az alhálózaton.
- A VM Image Builder lehetővé teszi egy terheléselosztó létrehozását, és virtuális gépek hozzáadását a virtuális hálózathoz.
- Lehetővé teszi a VM Image Builder számára a forrásképek olvasását és írását, valamint képek létrehozását.
- Győződjön meg arról, hogy a virtuálisgép-rendszerkép-készítő szolgáltatásrégióval azonos régióban használ virtuális hálózatot.