Solucionar problemas de certificação de máquina virtual

Verifique se sua imagem dá suporte a extensões de VM.

Para habilitar extensões de VM:

1. Selecione sua VM do Linux.

2. Vá para configurações de diagnóstico.

3. Habilite matrizes base atualizando a Conta de armazenamento.

4. Selecione Salvar.

   

Para verificar se as extensões de VM estão ativadas corretamente:

1. Na VM, selecione a guia extensões de VM e verifique o status da Extensão de Diagnóstico do Linux.

2. Verifique o status de provisionamento.

   • Se o status for Provisionamento bem-sucedido, o caso de teste de extensões foi aprovado.
   • Se o status for Falha no provisionamento, o caso de teste de extensões falhou e você precisará definir o sinalizador Protegido.

   

   Se a extensão da VM falhar, consulte Usar a extensão de diagnóstico do Linux para monitorar as métricas e os logs para habilitá-la. Se você não quiser que a extensão de VM seja habilitada, entre em contato com a equipe de suporte e peça para desabilitá-la.

Verifique se você seguiu rigorosamente o processo de provisionamento da VM antes de enviar sua oferta. Para exibir o formato JSON para provisionar a VM, consulte testar uma imagem de máquina virtual.

Os problemas de provisionamento podem incluir os seguintes cenários de falha:

Especificações de VHD

Conectix cookie e outras especificações de VHD

A cadeia de caracteres 'conectix' é parte da especificação do VHD. Ele é definido como o cookie de 8 bytes no rodapé do VHD que identifica o criador do arquivo. Todos os arquivos VHD criados pela Microsoft têm esse cookie.

Um blob formatado por VHD deve ter um rodapé de 512 bytes neste formato:

Para garantir uma experiência de publicação suave, verifique se o VHD atende aos seguintes critérios:

• O cookie contém a string 'conectix'.
• O tipo de disco é fixo.
• O tamanho virtual do VHD é de, pelo menos, 20 MB.
• O VHD está alinhado. O tamanho virtual deve ser um múltiplo de 1 MB.
• O comprimento do blob VHD é igual ao tamanho virtual mais o comprimento do rodapé VHD (512).

Baixe a especificação do VHD.

Se a solicitação de imagem do Windows for rejeitada devido a um problema de conformidade de software, pode ser que você tenha criado uma imagem do Windows com uma instância do SQL Server instalada. Em vez disso, você deve obter a imagem base da versão do SQL Server relevante do Azure Marketplace.

Não crie sua própria imagem do Windows com o SQL Server instalado. Use as imagens base SQL Server aprovadas (Enterprise/Standard/Web) do Azure Marketplace.

Se você estiver tentando instalar o Visual Studio ou qualquer produto licenciado pelo Office, entre em contato com a equipe de suporte para aprovação prévia.

Para obter mais informações sobre como selecionar uma base aprovada, consulte criar uma máquina virtual de uma base aprovada.

O Microsoft Certification Toolkit pode ajudá-lo a executar casos de teste e verificar se o VHD ou a imagem é compatível com o ambiente do Azure.

Baixe o Microsoft Certification Toolkit.

Casos de teste do Linux

A tabela a seguir lista os casos de teste do Linux que o kit de ferramentas executa. A validação de teste é indicada na descrição.

Erros comuns de casos de teste

Consulte a tabela a seguir para ver os erros comuns que podem ser exibidos durante a execução de casos de teste:

Casos de teste do Windows

A tabela a seguir lista os casos de teste do Windows que o kit de ferramentas executa, juntamente com uma descrição da validação de teste:

Se você entrar em qualquer falha com os casos de teste anteriores, consulte a coluna Descrição na tabela da solução. Para obter mais informações, entre em contato com a equipe de suporte.

As solicitações de disco de dados com um tamanho maior que 1023 gigabytes (GB) não serão aprovadas. Essa regra se aplica ao Linux e ao Windows.

Envie novamente a solicitação com um tamanho menor ou igual a 1023 GB.

Consulte as regras a seguir para obter limitações no tamanho do disco do sistema operacional. Ao enviar qualquer solicitação, verifique se o tamanho do disco do sistema operacional está dentro da limitação do Linux ou do Windows.

Como as VMs permitem acesso ao sistema operacional subjacente, verifique se o tamanho do VHD é suficientemente grande para o VHD. Os discos não são expansíveis sem tempo de inatividade. Use um tamanho de disco de 30 GB a 50 GB.

Para evitar um ataque potencial relacionado ao vírus WannaCry, verifique se todas as solicitações de imagem do Windows foram atualizadas com o patch mais recente.

Você pode verificar a versão do arquivo de imagem de C:\windows\system32\drivers\srv.sys ou srv2.sys.

A tabela a seguir mostra a versão mínima com patch do Windows Server:

Ao enviar uma imagem do Linux, sua solicitação pode ser rejeitada devido a problemas de versão do kernel.

Atualize o kernel com uma versão aprovada e envie a solicitação novamente. Você pode encontrar a versão de kernel aprovada na tabela a seguir. O número de versão deve ser igual ou maior que o número listado aqui.

Se a imagem não estiver instalada com uma das seguintes versões de kernel, atualize-a com os patches corretos. Solicite a aprovação necessária da equipe de suporte depois que a imagem for atualizada com estes patches necessários:

• CVE-2019-11477
• CVE-2019-11478
• CVE-2019-11479

Todos os VHDs no Azure devem ter um tamanho virtual alinhado a múltiplos de 1 megabyte (MB). Se o VHD não aderir ao tamanho virtual recomendado, sua solicitação poderá ser rejeitada.

Siga as diretrizes ao converter de um disco bruto para VHD. Verifique se o tamanho do disco bruto é um múltiplo de 1 MB. Para obter mais informações, consulte Informações para distribuições não endossadas.

Um problema de acesso negado para executar um caso de teste na VM pode ser causado por privilégios insuficientes.

Verifique se você habilitou o acesso adequado para a conta na qual os casos de teste automático estão em execução. Habilite o acesso para executar casos de teste se ele não estiver habilitado. Se não quiser habilitar o acesso, você poderá compartilhar os resultados do caso de teste automático com a equipe de suporte.

Para enviar sua solicitação com a imagem de SSH desabilitada para o processo de certificação:

1. Execute a última ferramenta de teste de certificação para VMs do Azure em sua imagem.

2. Registre um tíquete de suporte. Certifique-se de anexar o relatório do kit de ferramentas e fornecer detalhes da oferta:

   • Nome da oferta
   • Nome do editor
   • ID do plano/SKU e versão

3. Envie novamente sua solicitação de certificação.

Consulte a tabela a seguir para quaisquer problemas que surgirem ao baixar a imagem da VM com uma URL de assinatura de acesso compartilhado (SAS).

Se você estiver publicando sua imagem no Azure (com partição GPT), é altamente recomendável manter os primeiros 2.048 setores (1 MB) do disco do sistema operacional vazios. Esse requisito tem como objetivo permitir que o Azure adicione metadados importantes à imagem (exemplos, incluem metadados para melhorar o tempo de inicialização para clientes, cobrança e outros detalhes). Esta é uma recomendação de práticas recomendadas se você já estiver usando uma imagem de base aprovada e sua imagem tiver uma tag de faturamento válida. No entanto, se sua imagem não tiver uma marca de cobrança válida, sua publicação poderá falhar se o primeiro 1 MB do disco do sistema operacional não estiver vazio.

Se você estiver criando sua própria imagem que não tenha nenhuma marca de cobrança válida, verifique se os primeiros 2.048 setores (1 MB) do disco do sistema operacional estão vazios. Caso contrário, a publicação falhará. Esse requisito é aplicável somente ao disco do sistema operacional (não discos de dados). Se você estiver construindo sua imagem a partir de uma base aprovada, ela já terá o primeiro 1 MB vazio. Portanto, você não precisará trabalhar nele separadamente.

Para manter os primeiros 1 MB livres no disco do sistema operacional, conclua as etapas na próxima seção.

Como manter 1 MB de espaço livre no início em um VHD vazio (2.048 setores, cada setor de 512 bytes)

Essas etapas se aplicam apenas ao Linux.

1. Crie qualquer tipo de VM do Linux, como Ubuntu, CentOS ou outro. Preencha os campos obrigatórios, e em seguida, selecione Avançar: discos.

   

2. Crie um disco não gerenciado para sua VM. Use os valores padrão ou especifique qualquer valor para campos como tamanho do disco do sistema operacional, tipo de disco do sistema operacional e Tipo de criptografia.

   

3. Depois de criar a VM, no painel esquerdo, selecione Discos.

   

4. Anexe o VHD como um disco de dados à sua VM para criar uma tabela de partição.

   1. Selecione Anexar discos existente:

      

      

   2. Localize sua conta de armazenamento VHD.

   3. Selecione Contêiner e, em seguida, selecione seu VHD.

   4. Selecione OK.

      

      Seu VHD será adicionado como disco de dados LUN 0.

5. Reinicie a VM.

6. Depois de reiniciar a VM, faça logon na VM usando a reinicialização ou outro cliente e execute o sudo -i comando para obter acesso à raiz.

   

7. Crie uma partição em seu VHD.

   1. Insira o fdisk /dev/sdb comando.

   2. Para exibir a lista de partições existente do VHD, insira p.

   3. Insira d para excluir todas as partições existentes disponíveis no seu VHD. É possível ignorar esta etapa, se ela não for necessária.

      

   4. Insira n para criar uma nova partição e selecione p para (partição primária).

   5. Insira o 2048 como primeiro valor de setor. Você pode deixar o último setor como o valor padrão.

      Importante

      Todos os dados existentes serão apagados até 2.048 setores (cada setor de 512 bytes). Backup do VHD antes de criar uma nova partição.

      

   6. Digite w para confirmar a criação da partição.

      

   7. Você pode verificar a tabela de partição executando o comando n fdisk /dev/sdb e digitando p. Você verá que a partição é criada com o valor de deslocamento de 2048.

      

8. Desanexe o VHD da VM e exclua a VM.

Nunca envie credenciais padrão com o VHD enviado. Adicionar credenciais padrão torna o VHD mais vulnerável a ameaças de segurança. Em vez disso, crie suas próprias credenciais ao enviar o VHD.

Um problema de mapeamento pode ocorrer quando uma solicitação é enviada com vários discos de dados que não estão em sequência. Por exemplo, a ordem de numeração de três discos de dados deve ser 0, 1, 2. Qualquer outra ordem é tratada como um problema de mapeamento.

Envie novamente a solicitação com o sequenciamento adequado de discos de dados.

Quando uma imagem é criada, ela pode ser mapeada ou atribuída ao rótulo de sistema operacional errado. Por exemplo, ao selecionar Windows como parte do nome do sistema operacional enquanto estiver criando a imagem, o disco do sistema operacional deve ser instalado somente com o Windows. O mesmo requisito se aplica ao Linux.

Se todas as imagens obtidas do Azure Marketplace forem reutilizadas, o VHD do sistema operacional deverá ser generalizado.

• Para oLinux, o processo a seguir generaliza uma VM Linux e a reimplanta novamente como uma VM separada.

  Na janela SSH, digite o seguinte comando: sudo waagent -deprovision+user.

• Para o Windows, você generaliza as imagens do Windows usando o sysreptool.

  Para obter mais informações sobre a sysreptool ferramenta, consulte visão geral do Sysprep (preparação do sistema).

Para obter soluções para erros relacionados ao disco de dados, use a seguinte tabela:

Você receberá esse erro se a opção protocolo do RDP (Remote Desktop Protocol) não estiver habilitada para a imagem do Windows.

Habilite o acesso RDP para imagens do Windows antes de enviá-las.

Você verá esse erro se o tamanho do histórico de bash em sua imagem enviada tiver mais de 1 quilobyte (KB). O tamanho é restrito a 1 KB para restringir o arquivo que contém informações potencialmente confidenciais.

Para excluir o histórico do bash:

1. Implante a VM e selecione a opção executar comando no portal do Azure.

   

2. Selecione a primeira opção RunShellScript e execute o comando: cat /dev/null > ~/.bash_history && history -c.

   

3. Depois que o comando for executado com êxito, reinicie a VM.

4. Generalizar a VM, pegar o VHD da imagem e parar a VM.

5. Reenvie a imagem generalizada.

Durante a certificação de imagem do Marketplace, uma oferta de VM que é uma NVA (Solução de Virtualização de Rede) é validada usando testes genéricos para qualquer oferta de VM e casos de teste de NVA listados na tabela abaixo. O objetivo dessas validações específicas de NVA é verificar o quão bem a imagem NVA é orquestrada com a pilha SDN.

Para obter mais informações ou dúvidas, abra um caso de Suporte do Azure.

Visão geral do Netcat:

O Netcat é um comando capaz de estabelecer uma conexão TCP ou UDP entre dois computadores, o que significa que ele pode gravar e ler por meio de uma porta aberta. Durante as validações de NVA, executamos o comando Netcat de uma VM que está na mesma rede virtual que a VM NVA, para testar se a porta TCP 22 está acessível. A sintaxe do comando é nc <destination_ip_address> <destination_port>, em que

• destination_ip_address é o endereço IP privado atribuído à NIC da VM,
• destination_port é o número da porta na NVA. Usamos 22 em casos de teste da NVA.

Por exemplo, nc 192.168.1.1 22

Os Publicadores podem solicitar exceções para alguns testes executados durante a certificação da VM. As exceções são fornecidas em casos raros quando um Publicador fornece evidências para dar suporte à solicitação. A equipe de certificação reserva o direito de negar ou aprovar exceções a qualquer momento.

Esta seção descreve os cenários gerais nos quais os Publicadores solicitam uma exceção e como solicitar um.

Cenários para exceção

Os Publicadores geralmente solicitam exceções nos seguintes casos:

• Exceção para um ou mais casos de teste. Contate o suporte do Partner Center para solicitar exceções para casos de teste.

• VMs bloqueadas/sem acesso à raiz. Alguns Publicadores têm cenários em que as VMs precisam ser bloqueadas porque têm software como firewalls instalados na VM. Nesse caso, baixe a ferramenta de teste certificada e envie o relatório para o suporte do Partner Center.

• Modelos personalizados. Alguns Publicadores publicam imagens de VM que exigem um modelo de Azure Resource Manager personalizado (ARM) para implantar as VMs. Nesse caso, envie os modelos personalizados no suporte do Partner Center para serem usados pela equipe de Certificação para validação.

Informações a serem fornecidas para cenários de exceção

Contate o suporte do Partner Center para solicitar uma exceção para um dos cenários e inclua as seguintes informações:

• ID do Publicador. Digite a ID do publicador do portal central do parceiro.

• ID/nome da oferta. Insira o nome ou o ID da oferta.

• ID do plano/SKU. Digite o ID do plano de oferta de VM ou SKU.

• Versão. Insira a versão da oferta da VM que requer uma exceção.

• Tipo de exceção. Escolha entre testes, VM bloqueada ou modelos personalizados.

• Motivo da solicitação. Inclua o motivo da solicitação de exceção, além de quaisquer informações sobre isenções de teste.

• Linha do tempo. Insira a data de término da sua exceção.

• Anexo. Documentos de evidência importantes anexados:

  • Para VMs bloqueadas, anexe o relatório de teste.
  • Para modelos personalizados, forneça o modelo ARM personalizado como anexo.

  Se você não incluir esses anexos, sua solicitação será negada.

Esta seção descreve como fornecer uma nova imagem de VM quando uma vulnerabilidade ou exploração é descoberta com uma de suas imagens de VM. Ele se aplica somente às ofertas de VM do Azure publicadas no Azure Marketplace.

Execute uma dessas ações:

• Se você tiver uma nova imagem de VM para substituir a imagem de VM vulnerável, consulte fornecer uma imagem de VM fixa.
• Se você não tiver uma nova imagem de VM para substituir a única imagem de VM em um plano ou se tiver concluído o plano, pare de distribuir o plano.
• Se você não planeja substituir a única imagem de VM na oferta, recomendamos que você pare de distribuir a oferta.

Fornecer uma imagem de VM fixa

Para fornecer uma imagem de VM fixa para substituir uma imagem de VM que tenha uma vulnerabilidade ou exploração:

1. Forneça uma nova imagem de VM para resolver a vulnerabilidade ou exploração de segurança.
2. Remova a imagem da VM com a vulnerabilidade ou exploração de segurança.
3. Republicar a oferta.

Forneça uma nova imagem de VM para resolver a vulnerabilidade ou exploração de segurança

Para concluir essas etapas, prepare os ativos técnicos para a imagem de VM que você deseja adicionar. Para obter mais informações, consulte criar uma máquina virtual usando uma base aprovada ou criar uma máquina virtual usando sua própria imagem e gerar um URI de SAS para a imagem da VM.

1. Entre no Partner Center.

2. Na home page, selecione o bloco Ofertas do Marketplace.

3. Na coluna Alias da oferta, selecione a oferta.

4. Selecione a guia Visão geral do plano e, em seguida, selecione o plano adequado.

5. Na guia configuração técnica, em imagens de VM, selecione + Adicionar imagem de VM.

   Observação

   Você pode adicionar apenas uma imagem de VM a um plano de cada vez. Para adicionar várias imagens de VM, publique a primeira antes de adicionar a próxima imagem de VM.

6. Nas caixas que aparecem, forneça uma nova versão de disco e a imagem de máquina virtual.

7. Selecione Salvar rascunho.

Em seguida, remova a imagem da VM com a vulnerabilidade de segurança.

Remover a imagem da VM com a vulnerabilidade ou exploração de segurança

1. Entre no Partner Center.
2. Na home page, selecione o bloco Ofertas do Marketplace.
3. Na coluna Alias da oferta, selecione a oferta.
4. Selecione a guia Visão geral do plano e, em seguida, selecione o plano adequado.
5. Na guia configuração técnica, em imagens de VM, ao lado da imagem de VM que você deseja remover, selecione remover imagem de VM.
6. Na caixa de diálogo, selecione continuar.
7. Selecione Salvar rascunho.

Em seguida, republique a oferta.

Republicar a oferta

1. Selecione examinar e publicar.
2. Se você precisar fornecer informações à equipe de certificação, adicione-as à caixa notas de certificação.
3. Selecione Publicar.

Para concluir o processo de publicação, consulte revisar e publicar ofertas.

Imagens de VM com acesso limitado ou que exigem modelos personalizados

Oferta bloqueada (ou) SSH desabilitada

Imagens publicadas com SSH desabilitado (para Linux) ou RDP desabilitado (para Windows) são tratadas como VMs bloqueadas. Há cenários de negócios especiais devido a quais Publicadores só permitem acesso restrito a um ou alguns usuários.

Durante as verificações de validação, as VMs bloqueadas podem não permitir a execução de determinados comandos de certificação.

Modelos personalizados

Em geral, todas as imagens publicadas em ofertas de VM única seguem o modelo padrão do ARM para implantação. No entanto, há cenários em que o Publicador pode exigir personalização durante a implantação de VMs (por exemplo, várias NICs a serem configuradas).

Dependendo dos cenários abaixo (não exaustivos), os editores usam modelos personalizados para implantar a VM:

• A VM requer sub-redes de rede extras.
• Mais metadados a serem inseridos no modelo do ARM.
• Comandos que são pré-requisitos para a execução do modelo ARM.

Extensões de VM

As extensões de VM (máquina virtual) do Azure são pequenos aplicativos que fornecem tarefas de configuração e automação pós-implantação nas VMs do Azure. Por exemplo, se uma máquina virtual exigir instalação de software, proteção antivírus ou executar um script dentro dela, uma extensão de VM poderá ser usada.

As validações de extensão de VM do Linux exigem que o seguinte seja parte da imagem:

• A versão suportada mínima, ou superior, do agente Linux do Azure deve ser instalada.] (https://learn.microsoft.com/troubleshoot/azure/virtual-machines/support-extensions-agent-version)
• Versão do Python acima da 2.6

Para obter mais informações, visite Extensão de VM.

Verificação da integridade da imagem

Se você estiver criando uma imagem e criando um disco fora da imagem para verificar a integridade da imagem, observe que o primeiro 1 MB é reservado para desempenho otimizado e os últimos 512 bytes são reservados para o rodapé VHD. Portanto, ignore-os ao verificar a integridade da imagem.

Conteúdo relacionado

• Configurar propriedades de oferta de VM
• Recompensas do Marketplace ativas
• Se você tiver dúvidas ou comentários para aprimoramento, entre em contato com o suporte do Partner Center