Opzioni di rete di Image Builder per macchine virtuali di Azure
Si applica a: ✔️ macchine virtuali di Linux ✔️ set di scalabilità flessibili
Con Image Builder di macchine virtuali di Azure si sceglie di distribuire il servizio con o senza una rete virtuale esistente. Le sezioni seguenti forniscono altri dettagli su questa scelta.
Distribuire senza specificare una rete virtuale esistente
Se non si specifica una rete virtuale esistente, Image Builder ne crea uno, insieme a una subnet, nel gruppo di risorse di staging. Il servizio usa una risorsa IP pubblica con un gruppo di sicurezza di rete per limitare il traffico in ingresso. L'INDIRIZZO IP pubblico facilita il canale per i comandi durante la compilazione dell'immagine. Al termine della compilazione, la macchina virtuale (VM), l'indirizzo IP pubblico, i dischi e la rete virtuale vengono eliminati. Per usare questa opzione, non specificare alcuna proprietà della rete virtuale.
Distribuire usando una rete virtuale esistente
Se si specifica una rete virtuale e una subnet, Image Builder di macchine virtuali distribuisce la macchina virtuale di compilazione nella rete virtuale scelta. È possibile accedere alle risorse accessibili nella rete virtuale. È anche possibile creare una rete virtuale silo, non connessa a qualsiasi altra rete virtuale. Se si specifica una rete virtuale, Image Builder di macchine virtuali non usa un indirizzo IP pubblico. La comunicazione da Image Builder della macchina virtuale alla macchina virtuale di compilazione usa collegamento privato di Azure.
Per altre informazioni, vedere uno degli esempi seguenti:
- Usare Image Builder di macchine virtuali di Azure per macchine virtuali Windows che consentono l'accesso a una rete virtuale di Azure esistente
- Usare Image Builder di macchine virtuali di Azure per macchine virtuali Linux che consentono l'accesso a una rete virtuale di Azure esistente
Che cos'è Collegamento privato di Azure?
collegamento privato di Azure fornisce connettività privata da una rete virtuale alla piattaforma distribuita come servizio (PaaS) di Azure o ai servizi partner Microsoft o di proprietà del cliente. Semplifica l'architettura di rete e protegge la connessione tra gli endpoint in Azure eliminando l'esposizione dei dati alla rete Internet pubblica. Per altre informazioni, vedere la documentazione di collegamento privato.
Autorizzazioni necessarie per una rete virtuale esistente
Image Builder di macchine virtuali richiede autorizzazioni specifiche per l'uso di una rete virtuale esistente. Per altre informazioni, vedere Configurare le autorizzazioni di Image Builder di macchine virtuali di Azure usando l'interfaccia della riga di comando di Azure o Configurare le autorizzazioni di Image Builder di macchine virtuali di Azure usando PowerShell.
Cosa viene distribuito durante una compilazione di immagini?
Se si usa una rete virtuale esistente, Image Builder di macchine virtuali distribuisce una macchina virtuale aggiuntiva (una macchina virtuale proxy ) e un servizio di bilanciamento del carico (Azure Load Balancer). Questi sono connessi a collegamento privato. Il traffico proveniente dal servizio Image Builder della macchina virtuale passa attraverso il collegamento privato al servizio di bilanciamento del carico. Il servizio di bilanciamento del carico comunica con la macchina virtuale proxy usando la porta 60001 per Linux o la porta 60000 per Windows. Il proxy inoltra i comandi alla macchina virtuale di compilazione usando la porta 22 per Linux o la porta 5986 per Windows.
Nota
La rete virtuale deve trovarsi nella stessa area dell'area del servizio Image Builder della macchina virtuale.
Importante
Il servizio Image Builder di macchine virtuali di Azure modifica la configurazione della connessione WinRM in tutte le build di Windows per usare HTTPS sulla porta 5986 anziché sulla porta HTTP predefinita sulla porta 5985. Questa modifica di configurazione può influire sui flussi di lavoro che si basano sulla comunicazione WinRM.
Perché distribuire una macchina virtuale proxy?
Quando una macchina virtuale senza un indirizzo IP pubblico si trova dietro un servizio di bilanciamento del carico interno, non ha accesso a Internet. Il servizio di bilanciamento del carico usato per la rete virtuale è interno. La macchina virtuale proxy consente l'accesso a Internet per la macchina virtuale di compilazione durante le compilazioni. È possibile usare i gruppi di sicurezza di rete associati per limitare l'accesso alla macchina virtuale di compilazione.
Le dimensioni della macchina virtuale proxy distribuita sono standard A1_v2, oltre alla macchina virtuale di compilazione. Il servizio Image Builder della macchina virtuale usa la macchina virtuale proxy per inviare comandi tra il servizio e la macchina virtuale di compilazione. Non è possibile modificare le proprietà della macchina virtuale proxy( questa restrizione include le dimensioni e il sistema operativo).
Parametri del modello di immagine per supportare la rete virtuale
"vnetConfig": {
"subnetId": ""
},
Impostazione | Descrizione |
---|---|
subnetId |
ID risorsa di una subnet preesistente in cui viene distribuita la macchina virtuale di compilazione e la vm di convalida. |
collegamento privato richiede un indirizzo IP dalla rete virtuale e dalla subnet specificati. Attualmente, Azure non supporta i criteri di rete in questi indirizzi IP. Di conseguenza, è necessario disabilitare i criteri di rete nella subnet. Per altre informazioni, vedere la documentazione di collegamento privato.
Elenco di controllo per l'uso della rete virtuale
- Consentire a Azure Load Balancer di comunicare con la macchina virtuale proxy in un gruppo di sicurezza di rete.
- Disabilitare i criteri del servizio privato nella subnet.
- Consentire a Image Builder di vm di creare un servizio di bilanciamento del carico e aggiungere macchine virtuali alla rete virtuale.
- Consentire a Image Builder di vm di leggere e scrivere immagini di origine e di creare immagini.
- Assicurarsi di usare una rete virtuale nella stessa area dell'area del servizio Image Builder della macchina virtuale.