Развертывание масштабируемого набора виртуальных машин с помощью защищенного образа Linux

Область применения: ✔️ защищенные образы Linux

Развертывания масштабируемых наборов виртуальных машин с помощью образов из Azure Marketplace можно выполнить, выполнив действия, описанные для стандартных развертываний VMSS.

Однако если вы решили создать защищенный образ Linux, удалив гостевые агенты Azure, важно понять, какие функциональные возможности виртуальной машины теряются перед удалением агента Linux Azure и как это влияет на развертывание виртуальных машин.

В этом документе описаны шаги по развертыванию экземпляра масштабируемого набора виртуальных машин при понимании функциональных ограничений защищенного образа при развертывании экземпляра виртуальных машин.

Необходимые компоненты

• Подписка Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись Azure перед началом работы.
• Если у ваших бесплатных пробных учетных записей нет доступа к виртуальным машинам, используемым в этом руководстве, один из вариантов — использовать оплату по мере использования подписки.
• Защищенный образ Linux — его можно создать из этой статьи.

Развертывание конфиденциальных виртуальных машин VMSS из защищенного образа Linux

Ниже приведены шаги по развертыванию масштабируемого набора с помощью VMSS и защищенного образа:

1. Выполните действия, чтобы затвердить образ Linux.

   Заклините образ Linux для удаления гостевого агента Azure.

   Заклините образ Linux для удаления пользователей sudo.

2. Войдите в интерфейс командной строки Azure.

   Обязательно установите последнюю версию Azure CLI и войдите в учетную запись Azure с помощью команды az login.

3. Запустите Azure Cloud Shell.

   Azure Cloud Shell — это бесплатная интерактивная оболочка, с помощью которой можно выполнять действия, описанные в этой статье. Она включает предварительно установленные общие инструменты Azure и настроена для использования с вашей учетной записью.

   Чтобы открыть Cloud Shell, просто выберите Попробовать в правом верхнем углу блока кода. Кроме того, Cloud Shell можно открыть в отдельной вкладке браузера. Для этого перейдите на страницу https://shell.azure.com/bash. Нажмите кнопку Копировать, чтобы скопировать блоки кода. Вставьте код в Cloud Shell и нажмите клавишу ВВОД, чтобы выполнить его.

   Если вы решили установить и использовать CLI локально, для выполнения инструкций из этого руководства вам потребуется Azure CLI 2.0.30 или более поздней версии. Выполните команду az--version, чтобы найти версию. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI 2.0.

4. Создать группу ресурсов.

   Создайте группу ресурсов с помощью команды az group create. Группа ресурсов Azure является логическим контейнером, в котором происходит развертывание ресурсов Azure и управление ими. В следующем примере создается группа ресурсов с именем myResourceGroup в расположении eastus.

   az group create --name myResourceGroup --location eastus
   

   Примечание.

   Конфиденциальные виртуальные машины доступны не во всех расположениях. Сведения о поддерживаемых расположениях см. в разделе Доступность продуктов Azure по регионам.

5. Создайте масштабируемый набор виртуальных машин.

   Теперь создайте масштабируемый набор виртуальных машин с помощью az vmss create az cli. В следующем примере создается масштабируемый набор с именем myScaleSet с количеством экземпляров 2.

   Если вы хотите задать имя администратора, убедитесь, что он не является частью списка зарезервированных слов для виртуальных машин. В этом случае имя пользователя имеет значение azureuser автоматически. Для учетных данных администратора вы сможете использовать учетные данные, заданные из защищенного образа при создании виртуальной машины.

   Примечание.

   Для спекулированных изображений свойства osprofile обрабатываются не так, как обобщенные изображения. Использование подсистемы балансировки нагрузки является необязательным, но рекомендуется по этим причинам.

   az vmss create \
     --resource-group myResourceGroup \
     --name myScaleSet \
     --vm-sku "Standard_DC4as_v5" \
     --security-type ConfidentialVM \
     --os-disk-security-encryption-type DiskwithVMGuestState \
     --os-disk-secure-vm-disk-encryption-set "/subscriptions/.../disk-encryption-sets/<des-name>" \
     --image "/subscriptions/.../images/<imageName>/versions/<version>" \
     --enable-vtpm true \
     --enable-secure-boot true \
     --vnet-name <virtual-network-name> \
     --subnet <subnet-name> \
     --lb "/subscriptions/.../loadBalancers/<lb-name>" \
     --specialized true \
     --instance-count 2 \
     --admin-username "azureuser" \
     --admin-password ""
   

6. Доступ к масштабируемой группе виртуальных машин на портале.

   Вы можете получить доступ к масштабируемой группе cvm и использовать имя пользователя администратора и пароль, заданные ранее для входа. Обратите внимание, что если вы решили обновить учетные данные администратора, сделайте это непосредственно в модели масштабируемого набора с помощью интерфейса командной строки.

   Примечание.

   Если вы хотите развернуть масштаб cvm с помощью пользовательского защищенного образа, обратите внимание, что некоторые функции, связанные с автомасштабированием, будут ограничены. Будут ли правила масштабирования вручную продолжать работать должным образом, возможность автомасштабирования будет ограничена из-за безагентного пользовательского образа. Дополнительные сведения об ограничениях см. здесь для агента подготовки. Кроме того, вы можете перейти на вкладку метрик на портале Azure и подтвердить то же самое. Однако вы можете продолжать настраивать пользовательские правила на основе метрик подсистемы балансировки нагрузки, таких как число SYN, число подключений SNAT и т. д.

Дальнейшие действия

Из этой статьи вы узнали, как развернуть экземпляр масштабируемого набора виртуальных машин с защищенным образом Linux. Дополнительные сведения о CVM см. в разделе DCasv5 и ECasv5 серии конфиденциальных виртуальных машин.