Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: ✔️ Maszyny wirtualne Linux ✔️ Maszyny wirtualne Windows ✔️ Elastyczne zestawy skalowania ✔️ Jednolite zestawy skalowania
W tym artykule opisano najlepsze rozwiązania, które należy zastosować podczas korzystania z narzędzia Azure VM Image Builder.
Używanie blokad zasobów dla szablonów obrazów
Aby zapobiec przypadkowemu usunięciu szablonów obrazów, użyj na nich blokad zasobów. Aby uzyskać więcej informacji, zobacz Blokowanie zasobów platformy Azure w celu ochrony infrastruktury.
Konfigurowanie szablonów obrazów na potrzeby odzyskiwania po awarii
Upewnij się, że szablony obrazów zostały skonfigurowane na potrzeby odzyskiwania po awarii, postępując zgodnie z zaleceniami dotyczącymi niezawodności dla konstruktora obrazów maszyny wirtualnej.
Konfigurowanie wyzwalaczy
Skonfiguruj wyzwalacze konstruktora obrazów maszyny wirtualnej, aby automatycznie ponownie kompilować obrazy i aktualizować je.
Włączanie optymalizacji rozruchu maszyny wirtualnej
Włącz optymalizację rozruchu maszyny wirtualnej w narzędziu Vm Image Builder, aby poprawić czas tworzenia maszyn wirtualnych.
Użyj własnych podsieci
Określ własne podsieci maszyn wirtualnych kompilacji (subnetId) i podsieci usługi Azure Container Instances (containerInstanceSubnetId) w celu uzyskania ściślejszej kontroli nad wdrażaniem zasobów związanych z siecią przez narzędzie VM Image Builder w ramach subskrypcji. Określenie tych podsieci prowadzi również do szybszych i bardziej niezawodnych kompilacji obrazów.
Więcej informacji na temat tej topologii sieci można przeczytać w sekcji Izolowane kompilacje obrazów.
Przestrzegaj zasady najniższych uprawnień
Postępuj zgodnie z zasadą najniższych uprawnień dla zasobów narzędzia Image Builder maszyny wirtualnej.
Szablon obrazu
Podmiot mający dostęp do szablonu obrazu może go uruchamiać, usuwać lub modyfikować. Ten dostęp umożliwia głównej osobie zmianę obrazów utworzonych przez szablon.
Upewnij się, że tylko właściwe osoby mogą mieć dostęp do szablonów obrazów.
Grupa zasobów testowych
Konstruktor obrazów maszyny wirtualnej używa tymczasowej grupy zasobów w ramach subskrypcji, aby dostosować obraz maszyny wirtualnej. Należy rozważyć tę grupę zasobów jako poufną i ograniczyć dostęp tylko do wymaganych podmiotów. Należy pamiętać o następujących zagrożeniach:
Proces dostosowywania obrazu odbywa się w tej grupie zasobów, dlatego podmiot, który ma dostęp do grupy zasobów, może zagrozić procesowi budowy obrazu. Na przykład taki podmiot może wprowadzić złośliwe oprogramowanie do obrazu.
Konstruktor obrazów maszyny wirtualnej deleguje uprawnienia skojarzone z tożsamością szablonu i tożsamością maszyny wirtualnej kompilacji do zasobów w tej grupie zasobów. Podmiot zabezpieczeń, który ma dostęp do grupy zasobów, może uzyskać dostęp do tych tożsamości.
Twórca obrazów VM utrzymuje kopię artefaktów konfiguracyjnych w tej grupie zasobów. Podmiot, który ma dostęp do grupy zasobów, może sprawdzić te kopie.
Tożsamość szablonu
Podmiot, który ma dostęp do tożsamości szablonu, może uzyskać dostęp do wszystkich zasobów, do których tożsamość ma uprawnienia. Ten zestaw zasobów obejmuje artefakty konfiguracyjne (na przykład skrypty shell i PowerShell), przeznaczenia dystrybucji (na przykład wersję obrazu w Azure Compute Gallery) oraz sieć wirtualną.
Musisz podać tylko minimalne wymagane uprawnienia dla tej tożsamości.
Tworzenie tożsamości maszyny wirtualnej
Podmiot, który ma dostęp do tożsamości maszyny wirtualnej używanej do kompilacji, może uzyskać dostęp do wszystkich zasobów, do których tożsamość ma uprawnienia. Ten zestaw zasobów obejmuje wszystkie artefakty i sieci wirtualne, których można używać z poziomu maszyny wirtualnej kompilacji za pośrednictwem tej tożsamości.
Musisz podać tylko minimalne wymagane uprawnienia dla tej tożsamości.
Credentials
Nie umieszczaj żadnych poświadczeń w szablonie obrazu ani w plikach używanych dla Shella, programu PowerShell i konfiguratorów plików oraz modułów weryfikacji. Przykład:
- Podczas określania wbudowanych poleceń dla konfiguratorów i modułów sprawdzania poprawności nie należy określać żadnego hasła ani innych poświadczeń logowania. Zamiast tego takie poświadczenia powinny być przechowywane w usłudze Azure Key Vault, a następnie dostępne z maszyny wirtualnej kompilacji przy użyciu jej tożsamości.
- Podczas udostępniania plików w konfiguratorach i modułach sprawdzania poprawności nie należy określać żadnych poświadczeń w plikach. Zamiast tego takie poświadczenia powinny być przechowywane w usłudze Azure Key Vault, a następnie dostępne z maszyny wirtualnej kompilacji przy użyciu jej tożsamości.
- Podczas określania skryptów lub źródłowych identyfikatorów URI dla konfiguratorów i walidatorów w szablonie obrazu nie należy używać SAS URI ani identyfikatorów URI zawierających poświadczenia (takie jak osobiste tokeny dostępu). Zamiast tego przechowuj takie pliki na koncie usługi Azure Storage i użyj tożsamości szablonu, aby uzyskać do nich dostęp.
Chociaż Kreator Obrazów Maszyn Wirtualnych platformy Azure nie zabrania określania takich poświadczeń, zdecydowanie odradza się ich używanie. W przypadku, gdy takie poświadczenie jest rzeczywiście określone, upewnij się, że nie zapewnia dostępu do żadnych uprzywilejowanych zasobów i jest zmieniane tak szybko, jak to możliwe.
Postępuj zgodnie z najlepszymi praktykami dla Azure Compute Gallery
Jeśli rozpowszechniasz usługę Azure Compute Gallery, zapoznaj się również z najlepszymi rozwiązaniami dotyczącymi zasobów usługi Azure Compute Gallery.