Поделиться через

Рекомендации по построителю образов виртуальных машин Azure

  • Статья

Применимо к: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows ✔️ Универсальные масштабируемые наборы

В этой статье описаны рекомендации по использованию построителя образов виртуальных машин Azure (AIB).

  • Чтобы предотвратить случайное удаление шаблонов изображений, используйте блокировки ресурсов на уровне ресурса шаблона образа. Дополнительные сведения см. в статье Защита ресурсов Azure с помощью блокировки.
  • Убедитесь, что шаблоны образов настроены для аварийного восстановления, следуя рекомендациям по надежности для AIB.
  • Настройте триггеры AIB , чтобы автоматически перестроить образы и сохранить их обновленными.
  • Включите оптимизацию загрузки виртуальной машины в AIB, чтобы улучшить время создания виртуальных машин.
  • Укажите собственную виртуальную машину сборки и подсети ACI для более жесткого контроля над развертыванием сетевых ресурсов, связанных с AIB в вашей подписке. Указание этих подсетей также приводит к более быстрому времени сборки образа. Дополнительные сведения об указании этих параметров см . в справочнике по шаблону.
  • Следуйте принципу наименьших привилегий для ресурсов AIB.
    • Шаблон изображения: субъект, имеющий доступ к шаблону образа, может выполнять, удалять или вмешиваться в него. Имея этот доступ, в свою очередь, субъект может изменить изображения, созданные этим шаблоном.
    • Промежуточная группа ресурсов: AIB использует промежуточную группу ресурсов в подписке для настройки образа виртуальной машины. Эту группу ресурсов необходимо учитывать как конфиденциальную и ограничить доступ к этой группе ресурсов только необходимым субъектам. Так как процесс настройки образа происходит в этой группе ресурсов, субъект с доступом к группе ресурсов может скомпрометировать процесс сборки образа, например путем внедрения вредоносных программ в образ. AIB также делегирует привилегии, связанные с удостоверением шаблона и сборкой удостоверения виртуальной машины ресурсам в этой группе ресурсов. Поэтому субъект с доступом к группе ресурсов может получить доступ к этим удостоверениям. Кроме того, AIB сохраняет копию артефактов настройщика в этой группе ресурсов. Таким образом, субъект с доступом к группе ресурсов может проверить эти копии.
    • Удостоверение шаблона: субъект с доступом к удостоверению шаблона может получить доступ ко всем ресурсам, для которыми имеется удостоверение. К ним относятся артефакты настройщика (например, скрипты оболочки и PowerShell), целевые объекты распространения (например, версия образа коллекции вычислений Azure) и виртуальная сеть. Поэтому необходимо предоставить только минимальные необходимые привилегии этому удостоверению.
    • Создание удостоверения виртуальной машины. Субъект с доступом к удостоверению виртуальной машины сборки может получить доступ ко всем ресурсам, для которыми имеется удостоверение. Это включает в себя все артефакты и виртуальная сеть, которые могут использоваться в виртуальной машине сборки с помощью этого удостоверения. Поэтому необходимо предоставить только минимальные необходимые привилегии этому удостоверению.
  • Если вы распространяете ресурсы ACG в коллекцию вычислений Azure (ACG), также следуйте рекомендациям по ресурсам ACG.