Устранение неполадок сертификации виртуальной машины

Проверьте, поддерживает ли ваш образ расширения VM.

Чтобы включить расширения VM, выполните следующие действия.

1. Выберите виртуальную машину Linux.

2. Перейдите в раздел Параметры диагностики.

3. Включите базовые матрицы, обновив учетную запись хранения.

4. Выберите Сохранить.

   

Чтобы убедиться, что расширения VM должным образом активированы, выполните следующие действия.

1. На виртуальной машине перейдите на вкладку расширений VM и проверьте состояние расширения системы диагностики Linux.

2. Проверьте состояние подготовки.

   • Если состояние подготовлено успешно, тестовый случай расширений прошел.
   • Если состояние подготовлено сбоем, тестовый случай расширений завершился сбоем, и необходимо задать флаг "Затверденный".

   

   Если происходит сбой расширения VM, сведения о его включении см. в разделе Использование диагностического расширения Linux для мониторинга метрик и журналов. Если вы не хотите, чтобы расширение VM было включено, обратитесь в службу технической поддержки и попросите его отключить.

Перед отправкой предложения убедитесь, что вы следовали процессу подготовки виртуальной машины. О том, как просмотреть сведения о подготовке VM в формате JSON, см. в разделе Тестирование образа виртуальной машины.

Проблемы подготовки могут включать следующие сценарии сбоя.

Спецификации VHD

Файлы cookie conectix и другие спецификации VHD

Строка "conectix" является частью спецификации VHD. Она определяется как 8-байтовый файл cookie в нижнем колонтитуле VHD, который определяет автора файла. Все VHD-файлы, созданные корпорацией Майкрософт, имеют этот файл cookie.

BLOB-объект в формате VHD должен иметь 512-байтовый нижний колонтитул в следующем формате.

Чтобы публикация произошла без проблем, ваш VHD должен соответствовать следующим условиям.

• Файл cookie содержит строку conectix.
• Диск имеет фиксированный тип.
• Виртуальный размер VHD составляет не менее 20 МБ.
• VHD выровнен. Виртуальный размер должен быть кратен 1 МБ.
• Длина BLOB-объекта VHD равна сумме виртуального размера и длины нижнего колонтитула VHD (512).

Загрузить спецификацию VHD.

Если запрос на образ Windows отклонен из-за проблемы с соответствием программного обеспечения, возможно, вы создали образ Windows с установленным экземпляром SQL Server. Вместо этого необходимо взять соответствующий базовый образ версии SQL Server из Azure Marketplace.

Не создавайте собственный образ Windows с установленным в нем SQL Server. Используйте утвержденные базовые образы SQL Server (Enterprise/Standard/Web) из Azure Marketplace.

Если вы пытаетесь установить Visual Studio или любой другой продукт с лицензией Office, обратитесь в службу технической поддержки для получения предварительного утверждения.

Дополнительные сведения о выборе утвержденной базы см. в разделе Создание виртуальной машины из утвержденной базы.

Набор средств сертификации Майкрософт помогает выполнить тестовые случаи и проверить совместимость VHD или образа со средой Azure.

Загрузите набор средств сертификации Майкрософт.

Тестовые случаи Linux

В следующей таблице перечислены тестовые случаи Linux, которые выполняет набор средств. Тестовая проверка указывается в описании.

Распространенные ошибки тестовых случаев

В следующей таблице приведены распространенные ошибки, которые могут возникать при выполнении тестовых случаев.

Тестовые случаи Windows

В следующей таблице перечислены тестовые случаи Windows, которые запускает набор средств, а также описание проверки теста:

Если вы столкнетесь с какими-либо сбоями в приведенных выше тестовых случаях, смотрите решение в столбце Description этой таблицы. Для получения дополнительных сведений обратитесь в службу технической поддержки.

Запросы дисков данных размером более 1023 ГБ не будут утверждены. Это правило относится и к Linux, и к Windows.

Повторно отправьте запрос размером не более 1023 ГБ.

Ограничения размера диска ОС см. в следующих правилах. При отправке любого запроса убедитесь, что размер диска ОС находится в пределах ограничений для Linux или Windows.

Так как виртуальными машинами разрешен доступ к базовой операционной системе, убедитесь, что размер виртуального жесткого диска достаточно велик. Диски невозможно расширить без простоя. Используйте размер диска от 30 ГБ до 50 ГБ.

Для предотвращения возможных атак, связанных с вирусом WannaCry, необходимо обновить все запросы образа Windows с использованием последнего исправления.

Проверить версию файла образа можно в C:\windows\system32\drivers\srv.sys или srv2.sys.

В следующей таблице приведены минимальные исправленные версии Windows Server.

При отправке образа Linux запрос может быть отклонен из-за проблем с версией ядра.

Обновите ядро, используя утвержденную версию, и отправьте запрос повторно. Утвержденную версию ядра можно найти в следующей таблице. Номер версии должен быть не ниже указанной в таблице.

Если в вашем образе не используется одна из следующих версий ядра, обновите его с помощью соответствующих исправлений. После обновления образа с помощью этих обязательных исправлений запросите необходимое утверждение в группе технической поддержки.

• CVE-2019-11477
• CVE-2019-11478
• CVE-2019-11479

Все виртуальные жесткие диски в Azure должны иметь виртуальный размер, кратный 1 мегабайту (МБ). Если ваш VHD не соответствует рекомендуемому виртуальному размеру, ваш запрос может быть отклонен.

Следуйте рекомендациям при преобразовании неподготовленного диска в VHD. Убедитесь, что размер неподготовленного диска кратен 1 МБ. Дополнительные сведения см. в разделе "Сведения о неиндерсированных дистрибутивах".

Проблема отказа в доступе для запуска тестового случая на виртуальной машине может быть вызвана недостаточными привилегиями.

Убедитесь, что вы включили правильный доступ для учетной записи, в которой выполняются случаи самостоятельного тестирования. Разрешите доступ для запуска тестовых случаев, если он не включен. Если вы не хотите предоставлять доступ, можно отправить результаты самостоятельного выполнения тестовых случаев в службу технической поддержки.

Чтобы отправить запрос с образом, где отключен SSH, для процесса сертификации, выполните следующие действия.

1. Запустите новейшее средство проверки для сертификации виртуальных машин Azure на своем образе.

2. Отправьте запрос в службу поддержки. Обязательно прикрепите отчет набора средств и предоставьте следующие сведения о предложении.

   • Название предложения
   • Имя издателя
   • Идентификатор плана / номер SKU и версия

3. Повторно отправьте запрос на сертификацию.

В следующей таблице представлены проблемы, которые могут возникнуть при скачивании образа виртуальной машины с подписанным URL-адресом (SAS).

Если вы публикуете образ в Azure (с разделом GPT), настоятельно рекомендуется сохранить первые 2048 секторов (1 МБ) диска ОС пустым. Это требование заключается в том, чтобы Разрешить Azure добавлять важные метаданные в образ (например, метаданные для улучшения времени загрузки для клиентов, выставления счетов и других сведений). Это рекомендация, которая рекомендуется, если вы уже используете утвержденный базовый образ , а образ имеет допустимый тег выставления счетов. Однако если образ не имеет допустимого тега выставления счетов, публикация может завершиться ошибкой, если первая МБ диска ОС не пуста.

Если вы создаете собственный образ, который не имеет допустимого тега выставления счетов, убедитесь, что первые 2048 секторов (1 МБ) диска ОС пусты. В противном случае публикация завершится ошибкой. Это требование относится только к диску ОС (не к дискам данных). Если вы создаете образ из утвержденной базы, он уже будет иметь первые 1 МБ пустые. Следовательно, вам не нужно работать над ним отдельно.

Чтобы сохранить первые МБ МБ на диске ОС, выполните действия, описанные в следующем разделе.

Как сохранить 1 МБ свободного места в начале пустого виртуального жесткого диска (2048 секторов, каждый сектор 512 байт)

Эти действия применяются только к Linux.

1. Создайте любую виртуальную машину Linux, например Ubuntu, CentOS или другую. Заполните обязательные поля и нажмите кнопку "Далее: Диски".

   

2. Создайте неуправляемый диск для своей виртуальной машины. Используйте значения по умолчанию или укажите любое значение для полей, таких как размер диска ОС, тип диска ОС и тип шифрования.

   

3. После создания виртуальной машины в левой области выберите диски.

   

4. Подключите VHD в качестве диска данных к виртуальной машине, чтобы создать таблицу разделов.

   1. Выберите " Подключить существующие диски":

      

      

   2. Найдите свою учетную запись хранения VHD.

   3. Выберите контейнер и выберите виртуальный жесткий диск.

   4. Нажмите ОК.

      

      Ваш VHD будет добавлен как диск данных LUN 0.

5. Перезапустите виртуальную машину.

6. После перезапуска виртуальной машины войдите на нее с помощью Putty или другого клиента и выполните команду sudo -i, чтобы получить доступ с правами root.

   

7. Создайте раздел на своем VHD.

   1. Введите команду fdisk /dev/sdb.

   2. Чтобы просмотреть список существующих разделов на VHD, введите p.

   3. Введите d, чтобы удалить все существующие разделы, доступные на вашем VHD. Если этот шаг не требуется, его можно пропустить.

      

   4. Введите n, чтобы создать новый раздел, и выберите p (основной раздел).

   5. Введите 2048 в качестве значения первого сектора. Значение последнего сектора можно оставить принятым по умолчанию.

      Важно!

      Все существующие данные будут удалены до 2048 секторов (каждый сектор 512 байт). Создайте резервную копию виртуального жесткого диска перед созданием новой секции.

      

   6. Введите w, чтобы подтвердить создание раздела.

      

   7. Вы можете проверить таблицу разделов, выполнив команду n fdisk /dev/sdb и введя p. Вы увидите, что раздел создан со значением смещения 2048.

      

8. Отключите VHD от виртуальной машины и удалите виртуальную машину.

Никогда не отправляйте учетные данные по умолчанию с отправленным VHD. Добавление учетных данных по умолчанию делает VHD более уязвимым для угроз безопасности. Вместо этого создайте собственные учетные данные при отправке VHD.

Проблема сопоставления может возникнуть при отправке запроса с несколькими непоследовательными дисками данных. Например, для трех дисков данных порядок нумерации должен быть 0, 1, 2. При любом другом порядке сопоставление считается неверным.

Повторно отправьте запрос с соответствующей последовательностью дисков данных.

Созданному образу может быть сопоставлена или назначена неправильная метка ОС. Например, если в качестве части имени ОС выбрано Windows, то во время создания образа диск ОС должен быть установлен только с Windows. Это же требование относится и к Linux.

Если все образы, взятые из Azure Marketplace, предстоит использовать повторно, VHD операционной системы должен быть обобщенным.

• Для Linux следующий процесс обобщает виртуальную машину Linux и повторно развертывает ее как отдельную VM.

  В окне SSH введите следующую команду: sudo waagent -deprovision+user.

• Для Windows образы Windows обобщается с помощью sysreptool.

  Дополнительные сведения о средстве sysreptool см. в разделе Обзор подготовки системы (Sysprep).

Для устранения ошибок, связанных с диском данных, используйте следующую таблицу.

Эта ошибка возникает, если для образа Windows не включен параметр "Протокол удаленного рабочего стола" (RDP).

Включите доступ по протоколу RDP для образов Windows, перед их отправкой.

Эта ошибка возникает, если размер журнала Bash в отправленном образе превышает 1 КБ. Размер журнала ограничен 1 КБ, чтобы этот файл не мог содержать потенциально конфиденциальную информацию.

Чтобы удалить журнал Bash, выполните следующие действия.

1. Разверните виртуальную машину и выберите пункт Run Command (Выполнение команд) на портале Azure.

   

2. Выберите первый пункт RunShellScript и выполните команду cat /dev/null > ~/.bash_history && history -c.

   

3. После успешного выполнения команды перезапустите виртуальную машину.

4. Обобщите виртуальную машину, возьмите образ VHD и завершите работу виртуальной машины.

5. Повторно отправьте обобщенный образ.

Во время сертификации образов Marketplace предложение виртуальной машины, которое является сетевым виртуальным устройством (NVA), проверяется с помощью тестов, которые являются универсальными для любого предложения виртуальных машин, и тестовые случаи NVA, перечисленные в таблице ниже. Цель этих конкретных проверок NVA заключается в том, чтобы проверить, насколько хорошо образЫ NVA оркестрируется с стеком SDN.

Дополнительные сведения или вопросы см. в случае поддержки Azure.

Обзор Netcat:

Netcat — это команда, способная установить подключение TCP или UDP между двумя компьютерами, то есть она может записывать и считывать через открытый порт. Во время проверки NVA мы выполняем команду Netcat из виртуальной машины, которая находится в той же виртуальной сети, что и виртуальная машина NVA, чтобы проверить, доступен ли TCP-порт 22. Синтаксис команды: nc <destination_ip_address> <destination_port>где

• destination_ip_address — это частный IP-адрес, назначенный сетевому адаптеру виртуальной машины.
• destination_port номер порта в NVA. Мы используем 22 в тестовых случаях NVA.

Пример: nc 192.168.1.1 22

Издатели могут запрашивать исключения для нескольких тестов, выполняемых во время сертификации VM. Исключения предоставляются в редких случаях, когда издатель предоставляет убедительные свидетельства в обоснование запроса. Команда сертификации оставляет за собой право отклонять или утверждать исключения в любое время.

В этом разделе описаны общие сценарии, в которых издатели запрашивают исключение, и порядок запроса таких исключений.

Сценарии для исключения

Издатели обычно запрашивают исключения в следующих случаях.

• Исключение для одного или нескольких тестовых случаев. Чтобы запросить исключения для тестовых случаев, обратитесь в службу поддержки Центра партнеров.

• Заблокированные виртуальные машины / Нет прав доступа root. У некоторых издателей возникают ситуации, когда виртуальные машины должны быть заблокированы, так как на них установлено такое ПО, как брандмауэры. В этом случае скачайте сертифицированное средство тестирования и отправьте отчет в службу поддержки Центра партнеров.

• Пользовательские шаблоны. Некоторые издатели публикуют образы VM, для развертывания которых требуется пользовательский шаблон Azure Resource Manager (ARM). В этом случае отправьте настраиваемые шаблоны в службу поддержки Центра партнеров, которые будут использоваться командой сертификации для проверки.

Сведения, которые необходимо предоставить для исключений

Обратитесь в службу поддержки Центра партнеров, чтобы запросить исключение для одного из сценариев и включите следующие сведения.

• Идентификатор издателя. Введите свой идентификатор издателя портала Центра партнеров.

• ИД или название предложения. Введите идентификатор или название предложения.

• Номер SKU или ИД плана. Введите номер SKU или идентификатор плана предложения VM.

• Версия. Введите версию предложения VM, для которого требуется исключение.

• Тип исключения. Выберите тесты, заблокированные виртуальные машины или пользовательские шаблоны.

• Причина запроса. Укажите причину запроса исключения и любые сведения об исключениях тестов.

• Продолжительность. Введите дату окончания для вашего исключения.

• Вложение. Прикрепленные важные документы свидетельств.

  • Для заблокированных VM прикрепите тестовый отчет.
  • Для пользовательских шаблонов предоставьте во вложении пользовательский шаблон ARM.

  Если эти вложения отсутствуют, запрос будет отклонен.

В этом разделе описано, как предоставить новый образ VM при обнаружении уязвимости или эксплойта с помощью одного из ваших образов VM. Это относится только к предложениям виртуальных машин Azure, публикуемым в Azure Marketplace.

Выполните одно из следующих действий.

• Если у вас есть новый образ VM для замены уязвимого образа, см. раздел Предоставление исправленного образа VM.
• Если у вас нет нового образа VM для замены единственного образа VM в плане или если вы закончили работу с планом, прекратите распространение плана.
• Если вы не планируете заменять единственный образ VM в предложении, рекомендуется прекратить распространение этого предложения.

Предоставление исправленного образа VM

Чтобы предоставить исправленный образ VM для замены образа VM с уязвимостью или эксплойтом, выполните следующие действия.

1. Предоставьте новый образ VM для устранения уязвимости системы безопасности или эксплойта.
2. Удалите образ VM с уязвимостью системы безопасности или эксплойтом.
3. Повторно опубликуйте предложение.

Предоставление нового образа VM для устранения уязвимости системы безопасности или эксплойта

Чтобы выполнить эти действия, подготовьте технические ресурсы для образа VM, который вы хотите добавить. Дополнительные сведения см. в разделах Создание виртуальной машины с помощью утвержденной базы или Создание виртуальной машины с помощью собственного образа и Создание URI SAS для образа виртуальной машины.

1. Войдите в Центр партнеров.

2. На домашней странице выберите плитку Предложения Marketplace.

3. В столбце Offer alias (Псевдоним предложения) выберите предложение.

4. На вкладке Обзор плана выберите соответствующий план.

5. На вкладке Technical configuration (Техническая конфигурация) в разделе VM Images (Образы VM) нажмите + Add VM Image (Добавить образ VM).

   Примечание.

   За один раз можно добавить только один образ VM в один план. Чтобы добавить несколько образов VM, сначала опубликуйте первый образ, а потом добавьте следующий.

6. В появившихся полях укажите новую версию диска и образ виртуальной машины.

7. Выберите элемент Сохранить черновик.

Затем удалите уязвимый образ VM.

Удаление образа VM с уязвимостью системы безопасности или эксплойтом

1. Войдите в Центр партнеров.
2. На домашней странице выберите плитку Предложения Marketplace.
3. В столбце Offer alias (Псевдоним предложения) выберите предложение.
4. На вкладке Обзор плана выберите соответствующий план.
5. На вкладке Technical configuration (Техническая конфигурация) в разделе VM Images (Образы VM) нажмите Remove VM Image (Удалить образ VM) рядом с образом, который нужно удалить.
6. В диалоговом окне нажмите Продолжить.
7. Выберите элемент Сохранить черновик.

Затем заново опубликуйте предложение.

Повторная публикация предложения

1. Нажмите Review and publish (Проверить и опубликовать).
2. Если необходимо предоставить какие-либо сведения для команды сертификации, добавьте их в поле примечаний для сертификации.
3. Выберите Опубликовать.

О том, как завершить процесс публикации, см. в разделе Просмотр и публикация предложений.

Образы VM с ограниченным доступом или требующие пользовательских шаблонов

Предложение заблокированных VM или с отключенным SSH

Образы, опубликованные с отключенными SSH (для Linux) или отключенными RDP (для Windows), обрабатываются как заблокированные виртуальные машины. Существуют особые бизнес-сценарии, в которых издатели не разрешают доступ или разрешают всего нескольким пользователям.

Во время проверок заблокированные виртуальные машины могут не разрешать выполнение определенных команд сертификации.

Пользовательские шаблоны

Как правило, все образы, опубликованные в рамках одной виртуальной машины, соответствуют стандартному шаблону ARM для развертывания. Однако существуют сценарии, в которых издателю может потребоваться настройка при развертывании виртуальных машин (например, нескольких сетевых адаптеров).

В зависимости от следующих сценариев (неисчерпаемых), издатели используют пользовательские шаблоны для развертывания виртуальной машины:

• Для виртуальной машины требуются дополнительные подсети сети.
• Дополнительные метаданные для вставки в шаблон ARM.
• До развертывания шаблона ARM необходимо выполнить некоторые команды.

Расширения виртуальной машины

Расширения виртуальных машин Azure — это небольшие приложения, которые выполняют задачи настройки и автоматизации после развертывания виртуальных машин Azure. Например, если на виртуальную машину требуется установить программное обеспечение, антивирусную защиту или выполнить сценарий внутри него, можно использовать расширение виртуальной машины.

Для проверки расширений VM Linux необходимо, чтобы в образ входили следующие компоненты:

• Необходимо установить минимальный поддерживаемый агент Azure Linux или более поздней версии.] (https://learn.microsoft.com/troubleshoot/azure/virtual-machines/support-extensions-agent-version)
• Версия Python выше 2.6+

Дополнительные сведения см . в расширении виртуальной машины.

Проверка целостности изображения

Если вы создаете образ и создаете диск из образа, чтобы проверить целостность образа, обратите внимание, что первые 1 МБ зарезервированы для оптимизированной производительности, а последние 512 байт зарезервированы для нижнего колонтитула VHD. Поэтому игнорируйте их при проверке целостности изображения.

Следующие шаги

• Настройка свойств предложения виртуальной машины
• Активные вознаграждения Marketplace
• Если у вас есть вопросы или предложения по улучшению, обратитесь в службу поддержки Центра партнеров.