Nätverksalternativ för Azure VM Image Builder
Gäller för: ✔️ Flexibla skalningsuppsättningar för virtuella Linux-datorer ✔️
Med Azure VM Image Builder väljer du att distribuera tjänsten med eller utan ett befintligt virtuellt nätverk. Följande avsnitt innehåller mer information om det här valet.
Distribuera utan att ange ett befintligt virtuellt nätverk
Om du inte anger ett befintligt virtuellt nätverk skapar VM Image Builder en, tillsammans med ett undernät, i resursgruppen för mellanlagring. Tjänsten använder en offentlig IP-resurs med en nätverkssäkerhetsgrupp för att begränsa inkommande trafik. Den offentliga IP-adressen underlättar kanalen för kommandon under avbildningsversionen. När bygget är klart tas den virtuella datorn (VM), offentliga IP-adresser, diskar och virtuella nätverk bort. Om du vill använda det här alternativet anger du inga egenskaper för virtuella nätverk.
Distribuera med ett befintligt VNET
Om du anger ett virtuellt nätverk och undernät distribuerar VM Image Builder den virtuella byggdatorn till det valda virtuella nätverket. Du kan komma åt resurser som är tillgängliga i ditt virtuella nätverk. Du kan också skapa ett siloanslutet virtuellt nätverk som inte är kopplat till något annat virtuellt nätverk. Om du anger ett virtuellt nätverk använder vm Image Builder inte någon offentlig IP-adress. Kommunikation från VM Image Builder till den virtuella byggdatorn använder Azure Private Link.
Mer information finns i något av följande exempel:
- Använda Azure VM Image Builder för virtuella Windows-datorer som ger åtkomst till ett befintligt virtuellt Azure-nätverk
- Använda Azure VM Image Builder för virtuella Linux-datorer som ger åtkomst till ett befintligt virtuellt Azure-nätverk
Vad är Azure Privat Link?
Azure Private Link tillhandahåller privata anslutningar från ett virtuellt nätverk till Azure Platform as a Service (PaaS) eller till kundägda eller Microsoft-partnertjänster. Det förenklar nätverksarkitekturen och skyddar anslutningen mellan slutpunkter i Azure genom att eliminera dataexponering för det offentliga Internet. Mer information finns i Private Link-dokumentationen.
Nödvändiga behörigheter för ett befintligt virtuellt nätverk
Vm Image Builder kräver specifika behörigheter för att använda ett befintligt virtuellt nätverk. Mer information finns i Konfigurera Azure VM Image Builder-behörigheter med hjälp av Azure CLI eller Konfigurera Azure VM Image Builder-behörigheter med hjälp av PowerShell.
Vad distribueras under en avbildningsversion?
Om du använder ett befintligt virtuellt nätverk distribuerar VM Image Builder ytterligare en virtuell dator (en virtuell proxydator ) och en lastbalanserare (Azure Load Balancer). Dessa är anslutna till Private Link. Trafik från den virtuella datorn Image Builder-tjänsten går via den privata länken till lastbalanseraren. Lastbalanseraren kommunicerar med den virtuella proxydatorn med hjälp av port 60001 för Linux eller port 60000 för Windows. Proxyn vidarebefordrar kommandon till den virtuella byggdatorn med hjälp av port 22 för Linux eller port 5986 för Windows.
Kommentar
Det virtuella nätverket måste finnas i samma region som vm Image Builder-tjänstregionen.
Viktigt!
Azure VM Image Builder-tjänsten ändrar WinRM-anslutningskonfigurationen i alla Windows-versioner för att använda HTTPS på port 5986 i stället för http-standardporten på 5985. Den här konfigurationsändringen kan påverka arbetsflöden som förlitar sig på WinRM-kommunikation.
Varför distribuerar du en virtuell proxydator?
När en virtuell dator utan en offentlig IP-adress ligger bakom en intern lastbalanserare har den inte internetåtkomst. Lastbalanseraren som används för det virtuella nätverket är intern. Den virtuella proxydatorn tillåter internetåtkomst för den virtuella byggdatorn under bygget. Du kan använda de associerade nätverkssäkerhetsgrupperna för att begränsa åtkomsten till den virtuella datorn.
Storleken på den distribuerade virtuella proxydatorn är Standard A1_v2, utöver den virtuella datorn för bygge. Vm Image Builder-tjänsten använder den virtuella proxydatorn för att skicka kommandon mellan tjänsten och den virtuella byggdatorn. Du kan inte ändra egenskaperna för den virtuella proxydatorn (den här begränsningen omfattar storleken och operativsystemet).
Bildmallsparametrar som stöder det virtuella nätverket
"vnetConfig": {
"subnetId": ""
},
| Inställning | beskrivning |
|---|---|
subnetId |
Resurs-ID för ett befintligt undernät där den virtuella byggdatorn och den virtuella valideringsdatorn distribueras. |
Private Link kräver en IP-adress från det angivna virtuella nätverket och undernätet. För närvarande har Azure inte stöd för nätverksprinciper på dessa IP-adresser. Därför måste du inaktivera nätverksprinciper i undernätet. Mer information finns i Private Link-dokumentationen.
Checklista för att använda ditt virtuella nätverk
- Tillåt att Azure Load Balancer kommunicerar med den virtuella proxydatorn i en nätverkssäkerhetsgrupp.
- Inaktivera principen för privat tjänst i undernätet.
- Tillåt att VM Image Builder skapar en lastbalanserare och lägger till virtuella datorer i det virtuella nätverket.
- Tillåt att VM Image Builder läser och skriver källavbildningar och skapar avbildningar.
- Se till att du använder ett virtuellt nätverk i samma region som tjänstregionen för VM Image Builder.