Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows ✔️ Groupes d'échelle flexibles ✔️ Groupes d'échelle uniformes
Cet article décrit les meilleures pratiques à suivre lors de l’utilisation du Générateur d’images de machine virtuelle Azure.
Utiliser des verrous de ressources pour les modèles d’image
Pour empêcher la suppression accidentelle de modèles d’image, utilisez des verrous de ressources sur eux. Pour plus d’informations, consultez Verrouiller vos ressources Azure pour protéger votre infrastructure.
Configurer des modèles d’image pour la récupération d’urgence
Assurez-vous que vos modèles d’image sont configurés pour la récupération d’urgence en suivant les recommandations de fiabilité pour vm Image Builder.
Configurer des déclencheurs
Configurez les déclencheurs du Générateur d’images de machine virtuelle pour reconstruire automatiquement vos images et les mettre à jour.
Activer l’optimisation du démarrage des machines virtuelles
Activez l’optimisation du démarrage de machine virtuelle dans le Générateur d’images de machine virtuelle pour améliorer le temps de création de vos machines virtuelles.
Apportez vos propres sous-réseaux
Spécifiez vos propres sous-réseaux de machines virtuelles de build (subnetId) et les sous-réseaux Azure Container Instances (containerInstanceSubnetId) pour un contrôle plus étroit sur le déploiement des ressources liées au réseau par VM Image Builder dans votre abonnement. La spécification de ces sous-réseaux entraîne également des builds d’images plus rapides et plus fiables.
Vous pouvez en savoir plus sur cette topologie de réseau dans la section Constructions d’images isolées.
Suivez le principe du privilège minimum
Suivez le principe de privilège minimum pour vos ressources Du Générateur d’images de machine virtuelle.
Modèle d’image
Un principal qui a accès à votre modèle d’image peut exécuter, supprimer ou falsifier celui-ci. Cet accès permet ensuite au principal de modifier les images créées par le modèle d’image.
Vérifiez que seuls les utilisateurs requis peuvent accéder aux modèles d’image.
Groupe de ressources intermédiaire
Vm Image Builder utilise un groupe de ressources intermédiaire dans votre abonnement pour personnaliser votre image de machine virtuelle. Vous devez considérer ce groupe de ressources comme sensible et restreindre l’accès uniquement aux entités/personnes requises. Gardez ces risques à l’esprit :
Étant donné que le processus de personnalisation de votre image se produit dans ce groupe de ressources, un principal qui a accès au groupe de ressources peut compromettre le processus de génération d’images. Par exemple, un tel principal peut injecter des programmes malveillants dans l’image.
Vm Image Builder délègue les privilèges associés à l’identité du modèle et l’identité de build de machine virtuelle aux ressources de ce groupe de ressources. Un principal qui a accès au groupe de ressources peut accéder à ces identités.
Vm Image Builder gère une copie de vos artefacts de personnalisateur dans ce groupe de ressources. Un principal qui a accès au groupe de ressources peut inspecter ces copies.
Identité du modèle
Un principal qui a accès à l’identité de votre modèle peut accéder à toutes les ressources pour lesquelles l’identité a des autorisations. Cet ensemble de ressources inclut vos artefacts de personnalisateur (par exemple, les scripts Shell et PowerShell), vos cibles de distribution (par exemple, une version d’image Azure Compute Gallery) et votre réseau virtuel.
Vous devez fournir uniquement les privilèges minimum requis à cette identité.
Créer une identité de machine virtuelle
Un principal qui a accès à votre identité de machine virtuelle de build peut accéder à toutes les ressources pour lesquelles l’identité a des autorisations. Cet ensemble de ressources inclut tous les artefacts et réseaux virtuels que vous utilisez peut-être à partir de la machine virtuelle de build via cette identité.
Vous devez fournir uniquement les privilèges minimum requis à cette identité.
Credentials
Ne placez pas d’informations d’identification dans le modèle d’image ou dans les fichiers utilisés pour shell, PowerShell et les personnalisateurs de fichiers et les validateurs. Par exemple:
- Lors de la spécification de commandes inline pour les personnalisateurs et les validateurs, ne spécifiez pas de mot de passe ni d’autres informations d’identification de connexion. Au lieu de cela, ces informations d’identification doivent être stockées dans un coffre de clés Azure, puis accessibles à partir de la machine virtuelle de build à l’aide de l’identité de la machine virtuelle de build.
- Lors de la fourniture de fichiers dans des personnalisateurs et des validateurs, ne spécifiez pas d’informations d’identification dans les fichiers. Au lieu de cela, ces informations d’identification doivent être stockées dans un coffre de clés Azure, puis accessibles à partir de la machine virtuelle de build à l’aide de l’identité de la machine virtuelle de build.
- Lors de la spécification d’URI de script ou de source pour les personnalisateurs et les validateurs dans un modèle d’image, ne spécifiez pas d’URI ou d’URI SAS avec des informations d’identification (comme des jetons d’accès personnels). Au lieu de cela, stockez ces fichiers dans le compte de stockage Azure et utilisez l’identité de modèle pour y accéder.
Bien qu’Azure VM Image Builder n’interdit pas de spécifier ces informations d’identification, cette utilisation est fortement déconseillée. Dans le cas où de tels identifiants sont spécifiés, assurez-vous qu’ils ne permettent pas l’accès à des ressources privilégiées et qu'ils sont renouvelés dès que possible.
Suivez les meilleures pratiques de la galerie de calcul Azure
Si vous distribuez à Azure Compute Gallery, veillez également à suivre les meilleures pratiques pour les ressources azure Compute Gallery.