다음을 통해 공유

Azure VM Image Builder 모범 사례

  • 아티클

적용 대상: ✔️ Linux VM ✔️ Windows VM ✔️ 유연한 확장 집합 ✔️ 균일한 확장 집합

이 문서에서는 Azure VM Image Builder(AIB)를 사용할 때 따라야 할 모범 사례를 설명합니다.

  • 이미지 템플릿이 실수로 삭제되지 않도록 이미지 템플릿 리소스 수준에서 리소스 잠금을 사용합니다. 자세한 내용은 잠금을 사용하여 Azure 리소스 보호를 참조하세요.
  • AIB 안정성 권장 사항에 따라 이미지 템플릿에 재해 복구가 설정되었는지 확인합니다.
  • 이미지를 자동으로 다시 빌드하고 업데이트된 상태로 유지되도록 AIB 트리거를 설정합니다.
  • AIB에서 VM 부팅 최적화를 활성화하여 VM 만들기 시간을 개선합니다.
  • 사용자의 구독에서 AIB에 의한 네트워킹 관련 리소스 배포를 더욱 엄격하게 제어하기 위해 고유한 빌드 VM 및 ACI 서브넷을 지정합니다. 이러한 서브넷을 지정하면 이미지 빌드 시간도 단축됩니다. 이러한 옵션을 지정하는 방법에 관한 자세한 내용은 템플릿 참조를 확인하세요.
  • AIB 리소스에 대해 최소 권한 원칙을 따릅니다.
    • 이미지 템플릿: 이미지 템플릿에 대한 액세스 권한이 있는 보안 주체는 이미지 템플릿을 실행, 삭제 또는 변조할 수 있습니다. 이 액세스 권한이 있으면 보안 주체가 해당 이미지 템플릿에서 만든 이미지를 변경할 수 있습니다.
    • 준비 리소스 그룹: AIB는 사용자 구독의 스테이징 리소스 그룹을 사용하여 VM 이미지를 사용자 지정합니다. 이 리소스 그룹을 중요한 것으로 간주하고 필요한 보안 주체만으로 이 리소스 그룹에 대한 액세스를 제한해야 합니다. 이미지를 사용자 지정하는 프로세스가 이 리소스 그룹에서 이루어지므로 리소스 그룹에 액세스할 수 있는 보안 주체는 이미지에 맬웨어를 삽입하는 등의 방법으로 이미지 빌드 프로세스를 손상할 수 있습니다. 또한 AIB는 템플릿 ID 및 빌드 VM ID와 연결된 권한을 이 리소스 그룹에 있는 리소스에 위임합니다. 따라서 리소스 그룹에 액세스할 수 있는 보안 주체는 이러한 ID에도 액세스할 수 있습니다. 또 AIB는 이 리소스 그룹의 사용자 지정자 아티팩트 복사본을 유지 관리합니다. 따라서 리소스 그룹에 액세스할 수 있는 보안 주체는 이러한 복사본을 검사할 수 있습니다.
    • 템플릿 ID: 템플릿 ID에 액세스할 수 있는 보안 주체는 ID에 사용 권한이 있는 모든 리소스에 액세스할 수 있습니다. 여기에는 사용자 지정자 아티팩트(예: 셸 및 PowerShell 스크립트), 배포 대상(예: Azure Compute Gallery 이미지 버전) 및 사용자의 Virtual Network가 포함됩니다. 따라서 이 ID에는 필요한 최소 권한만 제공해야 합니다.
    • 빌드 VM ID: 빌드 VM ID에 대한 액세스 권한이 있는 보안 주체는 ID에 사용 권한이 있는 모든 리소스에 액세스할 수 있습니다. 여기에는 이 ID를 사용하여 빌드 VM에서 사용할 수 있는 모든 아티팩트와 Virtual Network가 포함됩니다. 따라서 이 ID에는 필요한 최소 권한만 제공해야 합니다.
  • ACG(Azure Compute Gallery)에 배포하는 경우 ACG 리소스 모범 사례도 따릅니다.