Usando o Construtor de Imagens de VM do Azure
O Construtor de Imagens de VM é um serviço do Azure totalmente gerenciado que pode ser acessado pelos provedores de recursos do Azure. Os provedores de recursos a configuram especificando uma imagem de origem, uma personalização a ser executada e onde a nova imagem deve ser distribuída. Um fluxo de trabalho de alto nível é ilustrado no diagrama:
Você pode passar configurações de modelo usando o Azure PowerShell, a CLI do Azure ou modelos do Azure Resource Manager ou usando uma tarefa de DevOps do Construtor de Imagens de VM. Quando você envia a configuração para o serviço, o Azure cria um recurso de modelo de imagem. Quando o recurso de modelo de imagem é criado, um grupo de recursos de preparo é criado em sua assinatura, no formato IT_\<DestinationResourceGroup>_\<TemplateName>_\(GUID). O grupo de recursos de preparo contém arquivos e scripts, que são referenciados na personalização File, Shell e PowerShell na propriedade ScriptURI.
Para executar a compilação, invoque Executar no recurso de modelo do Construtor de Imagens de VM. Em seguida, o serviço implanta outros recursos para a compilação, como uma VM, rede, disco e adaptador de rede.
Se você criar uma imagem sem usar uma rede virtual existente, o VM Image Builder também implantará um IP público e um grupo de segurança de rede. O Construtor de Imagens de VM se conecta à VM de compilação usando o protocolo Secure Shell (SSH) ou o Windows Remote Management (WinRM).
Se você selecionar uma rede virtual existente, o serviço será implantado por meio do Azure Private Link e um endereço IP público não será necessário. Para obter mais informações, consulte Visão geral da rede do VM Image Builder.
Quando a compilação é concluída, todos os recursos são excluídos, exceto o grupo de recursos de preparo e a conta de armazenamento. Você pode removê-los excluindo o recurso de modelo de imagem ou pode deixá-los no lugar para executar a compilação novamente.
Para obter vários exemplos, guias passo a passo, modelos de configuração e soluções, vá para o repositório GitHub do VM Image Builder.
Segurança
Para ajudar a manter suas imagens seguras, o VM Image Builder:
- Permite criar imagens de linha de base (ou seja, sua segurança mínima e configurações corporativas) e permite que outros departamentos as personalizem ainda mais. Você pode ajudar a manter essas imagens seguras e compatíveis usando o VM Image Builder para reconstruir rapidamente uma imagem dourada que usa a versão corrigida mais recente de uma imagem de origem. O Construtor de Imagens de VM também facilita a criação de imagens que atendem à linha de base de segurança do Windows do Azure. Para obter mais informações, consulte VM Image Builder - modelo de linha de base do Windows.
- Permite que você busque seus artefatos de personalização sem precisar torná-los acessíveis publicamente. O Construtor de Imagens de VM pode usar sua Identidade Gerenciada do Azure para buscar esses recursos, e você pode restringir os privilégios dessa identidade tão rigorosamente quanto necessário usando o controle de acesso baseado em função do Azure (Azure RBAC). Você pode manter seus artefatos em segredo e impedir a adulteração por atores não autorizados.
- Armazena com segurança cópias de artefatos de personalização, recursos transitórios de computação e armazenamento e suas imagens resultantes em sua assinatura, porque o acesso é controlado pelo RBAC do Azure. Esse nível de segurança, que também se aplica à VM de compilação usada para criar a imagem personalizada, ajuda a impedir que seus scripts e arquivos de personalização sejam copiados para uma VM desconhecida em uma assinatura desconhecida. E você pode obter um alto grau de separação das cargas de trabalho de outros clientes usando ofertas de VM isolada para a VM de compilação.
- Permite conectar o VM Image Builder às suas redes virtuais existentes, para que você possa se comunicar com servidores de configuração existentes, como DSC (servidor pull de configuração de estado desejado), Chef e Puppet, compartilhamentos de arquivos ou quaisquer outros servidores e serviços roteáveis.
- Pode ser configurado para atribuir suas identidades atribuídas pelo usuário à VM de compilação do Construtor de Imagens de VM (ou seja, a VM que o serviço Construtor de Imagens de VM cria em sua assinatura e usa para criar e personalizar a imagem). Em seguida, você pode usar essas identidades no momento da personalização para acessar recursos do Azure, incluindo segredos, em sua assinatura. Não há necessidade de atribuir acesso direto ao VM Image Builder a esses recursos.w
Suporte de SO
O Construtor de Imagens de VM foi concebido para funcionar com todas as imagens do sistema operativo base do Azure Marketplace.
Nota
Comece a criar e validar imagens personalizadas dentro do portal.
VM confidencial e suporte de inicialização confiável
O VM Image Builder estendeu o suporte para imagens TrustedLaunchSupported e ConfidentialVMSupported, com certas restrições. Abaixo está a lista de restrições:
| Tipo de Segurança | Estado do suporte |
|---|---|
| TrustedLaunchSupported | Suporte como imagem de origem para compilações de imagens |
| ConfidentialVMSupported | Suporte como imagem de origem para compilações de imagens |
| TrustedLaunch | Não suportado como imagem de origem |
| VM confidencial | Não suportado como imagem de origem |
Nota
Ao usar imagens TrustedLaunchSupported, é importante que a origem e a distribuição sejam ambas TrustedLaunchSupported para que ela seja suportada. Se a fonte for normal e a distribuição for TrustedLaunchSupported, ou se a fonte for TrustedLaunchSupported e a distribuição for Gen2 normal, ela não será suportada.