Netwerkopties voor Azure VM Image Builder
Van toepassing op: ✔️ Flexibele schaalsets voor Linux-VM's ✔️
Met Azure VM Image Builder kiest u ervoor om de service te implementeren met of zonder een bestaand virtueel netwerk. In de volgende secties vindt u meer informatie over deze keuze.
Implementeren zonder een bestaand virtueel netwerk op te geven
Als u geen bestaand virtueel netwerk opgeeft, maakt VM Image Builder er een, samen met een subnet, in de faseringsresourcegroep. De service maakt gebruik van een openbare IP-resource met een netwerkbeveiligingsgroep om inkomend verkeer te beperken. Het openbare IP-adres faciliteert het kanaal voor opdrachten tijdens de build van de installatiekopie. Nadat de build is voltooid, worden de virtuele machine (VM), het openbare IP-adres, de schijven en het virtuele netwerk verwijderd. Als u deze optie wilt gebruiken, moet u geen eigenschappen van een virtueel netwerk opgeven.
Implementeren met behulp van een bestaand VNET
Als u een virtueel netwerk en subnet opgeeft, implementeert VM Image Builder de build-VM in het gekozen virtuele netwerk. U hebt toegang tot resources die toegankelijk zijn in uw virtuele netwerk. U kunt ook een virtueel silonetwerk maken dat niet is verbonden met elk ander virtueel netwerk. Als u een virtueel netwerk opgeeft, gebruikt VM Image Builder geen openbaar IP-adres. Communicatie van VM Image Builder naar de virtuele buildmachine maakt gebruik van Azure Private Link.
Zie een van de volgende voorbeelden voor meer informatie:
- Azure VM Image Builder gebruiken voor Windows-VM's die toegang verlenen tot een bestaand virtueel Azure-netwerk
- Azure VM Image Builder gebruiken voor Virtuele Linux-machines die toegang verlenen tot een bestaand virtueel Azure-netwerk
Wat is Azure Private Link?
Azure Private Link biedt privéconnectiviteit van een virtueel netwerk naar Azure PaaS (Platform as a Service) of services van klanten of Microsoft-partners. Het vereenvoudigt de netwerkarchitectuur en beveiligt de verbinding tussen eindpunten in Azure door gegevensblootstelling op het openbare internet te elimineren. Zie de Documentatie van Private Link voor meer informatie.
Vereiste machtigingen voor een bestaand virtueel netwerk
VM Image Builder vereist specifieke machtigingen voor het gebruik van een bestaand virtueel netwerk. Zie Machtigingen voor Azure VM Image Builder configureren met behulp van de Azure CLI of Machtigingen voor Azure VM Image Builder configureren met behulp van PowerShell voor meer informatie.
Wat wordt er geïmplementeerd tijdens een build van een installatiekopie?
Als u een bestaand virtueel netwerk gebruikt, implementeert VM Image Builder een extra VIRTUELE machine (een proxy-VM ) en een load balancer (Azure Load Balancer). Deze zijn verbonden met Private Link. Verkeer van de VM Image Builder-service gaat via de privékoppeling naar de load balancer. De load balancer communiceert met de proxy-VM met behulp van poort 60001 voor Linux of poort 60000 voor Windows. De proxy stuurt opdrachten door naar de build-VM met behulp van poort 22 voor Linux of poort 5986 voor Windows.
Notitie
Het virtuele netwerk moet zich in dezelfde regio bevinden als de VM Image Builder-serviceregio.
Belangrijk
De Azure VM Image Builder-service wijzigt de WinRM-verbindingsconfiguratie op alle Windows-builds om HTTPS te gebruiken op poort 5986 in plaats van de standaard-HTTP-poort op 5985. Deze configuratiewijziging kan van invloed zijn op werkstromen die afhankelijk zijn van WinRM-communicatie.
Waarom een proxy-VM implementeren?
Wanneer een virtuele machine zonder een openbaar IP-adres zich achter een interne load balancer bevindt, heeft deze geen internettoegang. De load balancer die wordt gebruikt voor het virtuele netwerk, is intern. De proxy-VM biedt internettoegang voor de build-VM tijdens builds. U kunt de gekoppelde netwerkbeveiligingsgroepen gebruiken om de toegang tot de build-VM te beperken.
De grootte van de geïmplementeerde proxy-VM is Standaard A1_v2, naast de build-VM. De VM Image Builder-service gebruikt de proxy-VM om opdrachten tussen de service en de build-VM te verzenden. U kunt de eigenschappen van de proxy-VM niet wijzigen (deze beperking omvat de grootte en het besturingssysteem).
Parameters voor installatiekopieënsjabloon ter ondersteuning van het virtuele netwerk
"vnetConfig": {
"subnetId": ""
},
| Instelling | Beschrijving |
|---|---|
subnetId |
Resource-id van een bestaand subnet waarop de build-VM en validatie-VM worden geïmplementeerd. |
Private Link vereist een IP-adres van het opgegeven virtuele netwerk en subnet. Momenteel biedt Azure geen ondersteuning voor netwerkbeleid op deze IP-adressen. Daarom moet u netwerkbeleid op het subnet uitschakelen. Zie de Documentatie van Private Link voor meer informatie.
Controlelijst voor het gebruik van uw virtuele netwerk
- Toestaan dat Azure Load Balancer communiceert met de proxy-VM in een netwerkbeveiligingsgroep.
- Schakel het beleid voor de privéservice in het subnet uit.
- Sta VM Image Builder toe om een load balancer te maken en VM's toe te voegen aan het virtuele netwerk.
- Sta VM Image Builder toe om broninstallatiekopieën te lezen en te schrijven en installatiekopieën te maken.
- Zorg ervoor dat u een virtueel netwerk gebruikt in dezelfde regio als de VM Image Builder-serviceregio.