Omówienie narzędzia Azure VM Image Builder
Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny ✔️ wirtualne z systemem Windows ✔️ — elastyczne zestawy ✔️ skalowania
Korzystając ze standardowych obrazów maszyn wirtualnych, organizacja może łatwiej przeprowadzić migrację do chmury i zapewnić spójność wdrożeń. Obrazy zwykle zawierają wstępnie zdefiniowane zabezpieczenia, ustawienia konfiguracji i wszelkie niezbędne oprogramowanie. Skonfigurowanie własnego potoku tworzenia obrazów wymaga czasu, infrastruktury i wielu innych szczegółów. Za pomocą narzędzia Azure VM Image Builder musisz utworzyć tylko konfigurację opisjącą obraz i przesłać ją do usługi, gdzie obraz jest kompilowany, a następnie dystrybuowany.
Za pomocą narzędzia VM Image Builder możesz migrować istniejący potok dostosowywania obrazu na platformę Azure, ponieważ nadal używasz istniejących skryptów, poleceń i procesów. Możesz zintegrować podstawowe aplikacje z obrazem maszyny wirtualnej, aby maszyny wirtualne mogły wykonywać obciążenia po utworzeniu obrazów. Możesz nawet dodać konfiguracje do kompilowania obrazów dla usługi Azure Virtual Desktop jako wirtualnych dysków twardych (VHD) do użycia w usłudze Azure Stack lub w celu ułatwienia eksportowania.
Narzędzie VM Image Builder umożliwia rozpoczęcie od obrazów systemu Windows lub Linux z witryny Azure Marketplace lub jako istniejących obrazów niestandardowych, a następnie dodawania własnych dostosowań. Możesz również określić, gdzie mają być hostowane obrazy wynikowe w galerii obliczeń platformy Azure (wcześniej udostępnionej galerii obrazów), jako obrazy zarządzane lub wirtualne dyski twarde.
Funkcje
Chociaż istnieje możliwość ręcznego tworzenia niestandardowych obrazów maszyn wirtualnych lub innych narzędzi, proces może być uciążliwy i zawodny. Konstruktor obrazów maszyny wirtualnej, który jest zbudowany na platformie HashiCorp Packer, zapewnia korzyści wynikające z usługi zarządzanej.
Prostota
Aby zmniejszyć złożoność tworzenia obrazów maszyn wirtualnych, konstruktor obrazów maszyny wirtualnej:
Eliminuje konieczność użycia złożonych narzędzi, procesów i ręcznych kroków w celu utworzenia obrazu maszyny wirtualnej. Konstruktor obrazów maszyny wirtualnej wyodrębnia wszystkie te szczegóły i ukrywa wymagania specyficzne dla platformy Azure, takie jak konieczność uogólninia obrazu (Sysprep). Dzięki temu bardziej zaawansowani użytkownicy mogą zastąpić takie wymagania.
Można zintegrować z istniejącymi potokami kompilacji obrazów w celu uzyskania środowiska kliknięcia i przejścia. W tym celu możesz wywołać narzędzie VM Image Builder z potoku lub użyć zadania DevOps usługi Azure VM Image Builder (wersja zapoznawcza).
Może pobierać dane dostosowywania z różnych źródeł, co eliminuje konieczność zebrania ich wszystkich z jednego miejsca.
Można zintegrować z usługą Compute Gallery, która tworzy system zarządzania obrazami, za pomocą którego można dystrybuować, replikować, wersje i skalować obrazy na całym świecie. Ponadto można dystrybuować ten sam wynikowy obraz jako dysk VHD lub co najmniej jeden zarządzany obraz bez konieczności ponownego kompilowania ich od podstaw.
Infrastruktura jako kod
Za pomocą narzędzia VM Image Builder nie ma potrzeby zarządzania długoterminową infrastrukturą (na przykład kontami magazynu, które przechowują dane dostosowywania) ani infrastrukturą przejściową (na przykład tymczasowymi maszynami wirtualnymi do tworzenia obrazów).
Konstruktor obrazów maszyny wirtualnej przechowuje artefakty kompilacji obrazu maszyny wirtualnej jako zasoby platformy Azure. Ta funkcja usuwa zarówno konieczność utrzymania definicji w trybie offline, jak i ryzyka dryfowania środowiska, które są spowodowane przypadkowymi usunięciami lub aktualizacjami.
Zabezpieczenia
Aby zapewnić bezpieczeństwo obrazów, konstruktor obrazów maszyny wirtualnej:
Umożliwia tworzenie obrazów punktów odniesienia (czyli minimalnych zabezpieczeń i konfiguracji firmowych) i umożliwia innym działom dalsze dostosowywanie ich. Te obrazy mogą być bezpieczne i zgodne przy użyciu narzędzia VM Image Builder, aby szybko odbudować złoty obraz, który używa najnowszej poprawkowej wersji obrazu źródłowego. Narzędzie VM Image Builder ułatwia również tworzenie obrazów spełniających punkt odniesienia zabezpieczeń systemu Windows platformy Azure. Aby uzyskać więcej informacji, zobacz Vm Image Builder — szablon punktu odniesienia systemu Windows.
Umożliwia pobranie artefaktów dostosowywania bez konieczności udostępniania ich publicznie. Konstruktor obrazów maszyny wirtualnej może używać tożsamości zarządzanej platformy Azure do pobierania tych zasobów i można ograniczyć uprawnienia tej tożsamości tak ściśle, jak to wymagane, przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure. Możesz zachować wpis tajny artefaktów i zapobiec manipulowaniu przez nieautoryzowanych aktorów.
Bezpiecznie przechowuje kopie artefaktów dostosowywania, przejściowe zasoby obliczeniowe i magazynowe oraz ich wynikowe obrazy w ramach subskrypcji, ponieważ dostęp jest kontrolowany przez kontrolę dostępu na podstawie ról platformy Azure. Ten poziom zabezpieczeń, który ma również zastosowanie do maszyny wirtualnej kompilacji używanej do tworzenia dostosowanego obrazu, pomaga zapobiec kopiowaniu skryptów dostosowywania i plików do nieznanej maszyny wirtualnej w nieznanej subskrypcji. Ponadto można osiągnąć wysoki stopień oddzielenia od obciążeń innych klientów przy użyciu ofert izolowanych maszyn wirtualnych dla maszyny wirtualnej kompilacji.
Umożliwia łączenie programu VM Image Builder z istniejącymi sieciami wirtualnymi, dzięki czemu można komunikować się z istniejącymi serwerami konfiguracji, takimi jak DSC (serwer ściągania konfiguracji żądanego stanu), Chef i Puppet, udziały plików lub inne serwery i usługi routingu.
Można skonfigurować do przypisywania tożsamości przypisanych przez użytkownika do maszyny wirtualnej kompilacji konstruktora obrazów maszyny wirtualnej (czyli maszyny wirtualnej tworzonej przez usługę Vm Image Builder w ramach subskrypcji i używa ich do kompilowania i dostosowywania obrazu). Następnie możesz użyć tych tożsamości w czasie dostosowywania, aby uzyskać dostęp do zasobów platformy Azure, w tym wpisów tajnych, w ramach subskrypcji. Nie ma potrzeby przypisywania bezpośredniego dostępu do tych zasobów przez narzędzie Vm Image Builder.
Regiony
Usługa Vm Image Builder jest dostępna w następujących regionach:
Uwaga
Obrazy można nadal dystrybuować poza tymi regionami.
- East US
- Wschodnie stany USA 2
- Zachodnio-środkowe stany USA
- Zachodnie stany USA
- Zachodnie stany USA 2
- Zachodnie stany USA 3
- South Central US
- Europa Północna
- West Europe
- Azja Południowo-Wschodnia
- Australia Południowo-Wschodnia
- Australia Wschodnia
- Południowe Zjednoczone Królestwo
- Zachodnie Zjednoczone Królestwo
- Brazylia Południowa
- Kanada Środkowa
- Indie Środkowe
- Central US
- Francja Środkowa
- Niemcy Środkowo-Zachodnie
- Japonia Wschodnia
- Północno-środkowe stany USA
- Norwegia Wschodnia
- Szwajcaria Północna
- Indie Zachodnie (Jio)
- Północne Zjednoczone Emiraty Arabskie
- Azja Wschodnia
- Korea Środkowa
- Północna Republika Południowej Afryki
- Katar Środkowy
- USGov Arizona (publiczna wersja zapoznawcza)
- USGov Virginia (publiczna wersja zapoznawcza)
- Chiny Północne 3 (publiczna wersja zapoznawcza)
- Szwecja Środkowa
- Polska Środkowa
- Włochy Północne
Aby uzyskać dostęp do publicznej wersji zapoznawczej narzędzia Image Builder maszyny wirtualnej platformy Azure w regionach Fairfax (USGov Arizona i USGov Virginia), musisz zarejestrować funkcję Microsoft.VirtualMachineImages/FairfaxPublicPreview . W tym celu uruchom następujące polecenie w programie PowerShell lub interfejsie wiersza polecenia platformy Azure:
Register-AzProviderPreviewFeature -ProviderNamespace Microsoft.VirtualMachineImages -Name FairfaxPublicPreview
Aby uzyskać dostęp do publicznej wersji zapoznawczej narzędzia Image Builder maszyny wirtualnej platformy Azure w regionie Chiny Północne 3, musisz zarejestrować funkcję Microsoft.VirtualMachineImages/MooncakePublicPreview . W tym celu uruchom następujące polecenie w programie PowerShell lub interfejsie wiersza polecenia platformy Azure:
Register-AzProviderPreviewFeature -ProviderNamespace Microsoft.VirtualMachineImages -Name MooncakePublicPreview
Obsługa systemu operacyjnego
Konstruktor obrazów maszyny wirtualnej jest przeznaczony do pracy ze wszystkimi podstawowymi obrazami systemu operacyjnego witryny Azure Marketplace.
Uwaga
Teraz możesz użyć usługi Azure Image Builder w portalu od marca 2023 r. Rozpocznij tworzenie i weryfikowanie obrazów niestandardowych w portalu.
Poufne maszyny wirtualne i zaufana obsługa uruchamiania
Konstruktor obrazów maszyny wirtualnej ma rozszerzoną obsługę obrazów TrustedLaunchSupported i ConfidentialVMSupported z pewnymi ograniczeniami. Poniżej znajduje się lista ograniczeń:
| SecurityType | Stan pomocy technicznej |
|---|---|
| TrustedLaunchSupported | Obsługa obrazu źródłowego dla kompilacji obrazu |
| PoufneVMSupported | Obsługa obrazu źródłowego dla kompilacji obrazu |
| TrustedLaunch | Nieobsługiwane jako obraz źródłowy |
| Poufne maszyny wirtualne | Nieobsługiwane jako obraz źródłowy |
Uwaga
W przypadku korzystania z obrazów TrustedLaunchSupported ważne jest, aby źródło i dystrybucja musiały być obsługiwane przez usługę TrustedLaunchSupported. Jeśli źródło jest normalne, a dystrybucja jest TrustedLaunchSupported lub jeśli źródło jest TrustedLaunchSupported, a dystrybucja jest normalna gen2, nie jest obsługiwana.
Jak to działa
Vm Image Builder to w pełni zarządzana usługa platformy Azure dostępna dla dostawców zasobów platformy Azure. Dostawcy zasobów konfigurują go, określając obraz źródłowy, dostosowywanie do wykonania i miejsce dystrybucji nowego obrazu. Ogólny przepływ pracy przedstawiono na poniższym diagramie:
Konfiguracje szablonów można przekazywać przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub szablonów usługi Azure Resource Manager albo za pomocą zadania DevOps konstruktora obrazów maszyny wirtualnej. Po przesłaniu konfiguracji do usługi platforma Azure tworzy zasób szablonu obrazu. Po utworzeniu zasobu szablonu obrazu w ramach subskrypcji zostanie utworzona tymczasowa grupa zasobów w następującym formacie: IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID). Tymczasowa grupa zasobów zawiera pliki i skrypty, do których odwołuje się dostosowywanie plików, powłoki i programu PowerShell we właściwości ScriptURI.
Aby uruchomić kompilację, należy wywołać Run go w zasobie szablonu konstruktora obrazów maszyny wirtualnej. Następnie usługa wdraża dodatkowe zasoby dla kompilacji, takie jak maszyna wirtualna, sieć, dysk i karta sieciowa.
Jeśli tworzysz obraz bez używania istniejącej sieci wirtualnej, narzędzie VM Image Builder wdraża również publiczny adres IP i sieciową grupę zabezpieczeń i łączy się z maszyną wirtualną kompilacji przy użyciu protokołu Secure Shell (SSH) lub zdalnego zarządzania systemem Windows (WinRM).
Jeśli wybierzesz istniejącą sieć wirtualną, usługa zostanie wdrożona za pośrednictwem usługi Azure Private Link, a publiczny adres IP nie jest wymagany. Aby uzyskać więcej informacji, zobacz Omówienie sieci narzędzia Image Builder maszyny wirtualnej.
Po zakończeniu kompilacji wszystkie zasoby zostaną usunięte, z wyjątkiem przejściowej grupy zasobów i konta magazynu. Można je usunąć, usuwając zasób szablonu obrazu lub pozostawić je na miejscu, aby ponownie uruchomić kompilację.
Aby uzyskać wiele przykładów, przewodniki krok po kroku, szablony konfiguracji i rozwiązania, przejdź do repozytorium GitHub konstruktora obrazów maszyny wirtualnej.
Obsługa przenoszenia
Zasób szablonu obrazu jest niezmienny i zawiera łącza do zasobów i przejściowej grupy zasobów. W związku z tym ten typ zasobu nie obsługuje przenoszenia.
Jeśli chcesz przenieść zasób szablonu obrazu, upewnij się, że masz kopię szablonu konfiguracji lub, jeśli nie masz kopii, wyodrębnij istniejącą konfigurację z zasobu. Następnie utwórz nowy zasób szablonu obrazu w nowej grupie zasobów o nowej nazwie i usuń poprzedni zasób szablonu obrazu.
Uprawnienia
Po zarejestrowaniu się w usłudze Image Builder maszyny wirtualnej udzielasz usłudze uprawnień do tworzenia, zarządzania i usuwania przejściowej grupy zasobów, która jest poprzedzona prefiksem IT_*. Masz prawa do dodania do niego wszystkich zasobów wymaganych do kompilacji obrazu. Dzieje się tak, ponieważ nazwa główna usługi Programu Image Builder maszyny wirtualnej jest udostępniana w ramach subskrypcji po pomyślnym zarejestrowaniu.
Aby umożliwić konstruktorowi obrazów maszyny wirtualnej dystrybuowanie obrazów do zarządzanych obrazów lub galerii obliczeniowej, musisz utworzyć tożsamość przypisaną przez użytkownika platformy Azure z uprawnieniami do odczytywania i zapisywania obrazów. Jeśli uzyskujesz dostęp do usługi Azure Storage, musisz mieć uprawnienia do odczytu kontenerów prywatnych i publicznych.
W interfejsie API w wersji 2021-10-01 lub nowszej program VM Image Builder obsługuje dodawanie tożsamości przypisanych przez użytkownika platformy Azure do maszyny wirtualnej kompilacji w celu umożliwienia scenariuszy, w których należy uwierzytelnić się za pomocą usług, takich jak Usługa Azure Key Vault w ramach subskrypcji.
Aby uzyskać więcej informacji o uprawnieniach, zobacz
- Konfigurowanie uprawnień konstruktora obrazów maszyny wirtualnej przy użyciu programu PowerShell
- Konfigurowanie uprawnień konstruktora obrazów maszyny wirtualnej przy użyciu interfejsu wiersza polecenia platformy Azure
- Tworzenie szablonu konstruktora obrazów maszyny wirtualnej
Koszty
Podczas tworzenia, kompilowania i przechowywania obrazów przy użyciu narzędzia VM Image Builder zostaną naliczone pewne koszty obliczeń, sieci i magazynu. Te koszty są podobne do tych, które są naliczane podczas ręcznego tworzenia obrazów niestandardowych. Opłaty za zasoby są naliczane według stawek platformy Azure.
Uwaga
Obecnie usługa Azure Image Builder nie obsługuje Korzyść użycia hybrydowego platformy Azure dla systemu Windows Server.
Podczas procesu tworzenia obrazu pliki są pobierane i przechowywane w IT_<DestinationResourceGroup>_<TemplateName> grupie zasobów, co wiąże się z niewielkim kosztem magazynu. Jeśli nie chcesz przechowywać tych plików, usuń szablon obrazu po utworzeniu obrazu.
Konstruktor obrazów maszyny wirtualnej tworzy maszynę wirtualną przy użyciu domyślnego rozmiaru maszyny wirtualnej Standard_D1_v2 obrazów gen1 i Standard_D2ds_v4 obrazów gen2 wraz z magazynem i siecią wymaganą dla maszyny wirtualnej. Te zasoby trwają przez cały czas trwania procesu kompilacji i są usuwane po zakończeniu tworzenia obrazu przez konstruktora obrazów maszyny wirtualnej.
Narzędzie VM Image Builder dystrybuuje obraz do wybranych regionów, co może spowodować naliczanie opłat za ruch wychodzący w sieci.
Generacja funkcji Hyper-V
Narzędzie VM Image Builder obsługuje obecnie tworzenie obrazów funkcji Hyper-V Gen1 i Gen2 w galerii obliczeniowej oraz jako obrazy zarządzane lub wirtualne dyski twarde. Pamiętaj, że obraz rozproszony jest zawsze w tej samej generacji co podany obraz.
W przypadku obrazów gen2 upewnij się, że używasz odpowiedniej jednostki SKU. Na przykład jednostka SKU obrazu systemu Ubuntu Server 18.04 Gen2 to 18_04-lts-gen2. Jednostka SKU dla obrazu systemu Ubuntu Server 18.04 Gen1 to 18.04-lts.
Poniżej przedstawiono sposób znajdowania jednostek SKU opartych na wydawcy obrazów:
# Find all Gen2 SKUs published by Microsoft Windows Desktop
az vm image list --publisher MicrosoftWindowsDesktop --sku g2 --output table --all
# Find all Gen2 SKUs published by Canonical
az vm image list --publisher Canonical --sku gen2 --output table --all
Aby uzyskać więcej informacji na temat obrazów maszyn wirtualnych platformy Azure, które obsługują usługę Gen2, zobacz Obrazy maszyn wirtualnych gen2 w witrynie Azure Marketplace.
Następne kroki
Aby wypróbować narzędzie VM Image Builder, zobacz artykuły dotyczące kompilowania obrazów systemu Linux lub Windows .