Condividi tramite

Procedure consigliate per Image Builder per macchine virtuali di Azure

  • Articolo

Si applica a: ✔️ macchine virtuali Linux ✔️ macchine virtuali Windows ✔️ set di scalabilità flessibili ✔️ set di scalabilità uniformi

Questo articolo descrive le procedure consigliate da seguire durante l'uso di Image Builder (AIB) di macchine virtuali di Azure.

  • Per impedire l'eliminazione accidentale dei modelli di immagine, usare i blocchi delle risorse a livello di risorsa del modello di immagine. Per altre informazioni, vedere Proteggere le risorse di Azure con un blocco.
  • Assicurarsi che i modelli di immagine siano configurati per il ripristino di emergenza seguendo le indicazioni di affidabilità per AIB.
  • Configurare i trigger AIB per ricompilare automaticamente le immagini e mantenerle aggiornate.
  • Abilitare l'ottimizzazione dell'avvio della macchina virtuale in AIB per migliorare il tempo di creazione per le macchine virtuali.
  • Specificare le proprie subnet build VM e ACI per un maggiore controllo sulla distribuzione delle risorse correlate alla rete da parte di AIB nella sottoscrizione. La specifica di queste subnet comporta anche tempi di compilazione delle immagini più veloci. Per altre informazioni sulla specifica di queste opzioni, vedere informazioni di riferimento sul modello.
  • Seguire il principio dei privilegi minimi per le risorse AIB.
    • Modello di immagine: un'entità che ha accesso al modello di immagine può essere eseguita, eliminata o manomissione. Avere questo accesso, a sua volta, consente all'entità di modificare le immagini create da tale modello di immagine.
    • Gruppo di risorse di staging: AIB usa un gruppo di risorse di staging nella sottoscrizione per personalizzare l'immagine della macchina virtuale. È necessario considerare questo gruppo di risorse come sensibile e limitare l'accesso a questo gruppo di risorse solo alle entità necessarie. Poiché il processo di personalizzazione dell'immagine avviene in questo gruppo di risorse, un'entità con accesso al gruppo di risorse è in grado di compromettere il processo di compilazione dell'immagine, ad esempio inserendo malware nell'immagine. AIB delega anche i privilegi associati all'identità del modello e Compilare l'identità della macchina virtuale alle risorse in questo gruppo di risorse. Di conseguenza, un'entità con accesso al gruppo di risorse è in grado di ottenere l'accesso a queste identità. AIB gestisce inoltre una copia degli artefatti del personalizzatore in questo gruppo di risorse. Di conseguenza, un'entità con accesso al gruppo di risorse è in grado di esaminare queste copie.
    • Identità modello: un'entità con accesso all'identità del modello è in grado di accedere a tutte le risorse per cui l'identità dispone delle autorizzazioni. Sono inclusi gli artefatti del personalizzatore (ad esempio, shell e script di PowerShell), le destinazioni di distribuzione (ad esempio, una versione dell'immagine della raccolta di calcolo di Azure) e i Rete virtuale. Di conseguenza, è necessario fornire solo i privilegi minimi necessari per questa identità.
    • Compilare l'identità della macchina virtuale: un'entità con accesso all'identità della macchina virtuale di compilazione è in grado di accedere a tutte le risorse per cui l'identità dispone delle autorizzazioni. Sono inclusi tutti gli artefatti e Rete virtuale che è possibile usare dall'interno della macchina virtuale di compilazione usando questa identità. Di conseguenza, è necessario fornire solo i privilegi minimi necessari per questa identità.
  • Se si esegue la distribuzione in Azure Compute Gallery (ACG), seguire anche le procedure consigliate per le risorse ACG.