Erstellen eines virtuellen Computers mit einer genehmigten Basis

In diesem Artikel wird beschrieben, wie Sie mit Azure eine VM mit einem vorkonfigurierten, unterstützten Betriebssystem erstellen. Falls dies nicht mit Ihrer Lösung kompatibel ist, können Sie eine lokale VM mit einem genehmigten Betriebssystem erstellen und konfigurieren.


Hinweis

Bevor Sie beginnen, überprüfen Sie die technischen Anforderungen für Azure-VM-Angebote, einschließlich der Anforderungen an virtuelle Festplatten (Virtual Hard Disks, VHDs).

Auswählen eines genehmigten Basisimages

Wählen Sie eines der folgenden Windows- oder Linux-Images als Basis aus.

Windows

Linux

Azure bietet eine Reihe von genehmigten Linux-Distributionen. Eine aktuelle Liste finden Sie unter Linux auf von Azure unterstützten Distributionen.

Erstellen der VM im Azure-Portal

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie Virtuelle Computer aus.
  3. Wählen Sie im Dropdownmenü die Optionen + Erstellen und + Virtueller Computer aus, um den Bildschirm Virtuellen Computer erstellen zu öffnen.
  4. Wählen Sie das Image in der Dropdownliste oder Alle Images anzeigen aus, um nach allen verfügbaren VM-Images zu suchen. Je nach ausgewähltem Image können Sie auch die VM-Generation Ihres Images konfigurieren.
  5. Wählen Sie die Größe der bereitzustellenden VM aus.
  6. Geben Sie die anderen Details ein, die zum Erstellen der VM erforderlich sind.
  7. Wählen Sie Bewerten + erstellen aus, um Ihre Auswahl zu überprüfen. Wenn die Meldung Überprüfung erfolgreich angezeigt wird, wählen Sie Erstellen aus.

Azure beginnt mit der Bereitstellung der von Ihnen angegebenen VM. Sie können den Fortschritt nachverfolgen, indem Sie im linken Menü die Registerkarte Virtuelle Computer auswählen. Nach der Erstellung ändert sich der Status des virtuellen Computers in Wird ausgeführt.

Konfigurieren der VM

In diesem Abschnitt wird beschrieben, wie Sie die Größe einer Azure-VM anpassen, sie aktualisieren und generalisieren. Diese Schritte sind erforderlich, um Ihre VM für die Bereitstellung in Azure Marketplace vorzubereiten.

Herstellen einer Verbindung mit Ihrer VM

In der folgenden Dokumentation erfahren Sie, wie Sie eine Verbindung mit einer Windows- oder Linux-VM herstellen.

Installieren der aktuellsten Updates

Die Basisimages von Betriebssystem-VMs müssen die aktuellen Updates bis zum Veröffentlichungsdatum enthalten. Vor der Veröffentlichung müssen Sie das Betriebssystem und alle installierten Dienste mit sämtlichen aktuellen Sicherheits- und Wartungspatches aktualisieren.

  • Führen Sie für Windows Server den Befehl Nach Updates suchen aus.
  • Für Linux-Distributionen werden Updates normalerweise mit einem Befehlszeilentool oder grafischen Hilfsprogramm heruntergeladen und installiert. Unter Ubuntu Linux können beispielsweise der Befehl apt-get und das Tool Update Manager zum Aktualisieren des Betriebssystems verwendet werden.

Durchführen von zusätzlichen Sicherheitsüberprüfungen

Stellen Sie sicher, dass Ihre Lösungsimages im Azure Marketplace über ein hohes Maß an Sicherheit verfügen. Eine Prüfliste mit Sicherheitskonfigurationen und -verfahren finden Sie unter Sicherheitsempfehlungen für Azure Marketplace-Images.

Anpassen Ihres VM-Images

Installieren Sie nun die erforderliche Software, und nehmen Sie benutzerdefinierte Konfigurationsänderungen auf Ihrer VM vor, damit Ihre Lösung ordnungsgemäß funktioniert. Dazu gehören auch geplante Aufgaben, die nach der Bereitstellung ausgeführt werden müssen. Beachten Sie Folgendes bei benutzerdefinierten Änderungen:

  • Wenn es sich um eine geplante Aufgabe mit einmaliger Ausführung handelt, sollte sie nach der erfolgreichen Ausführung automatisch gelöscht werden.
  • Für Konfigurationen sollten keine anderen Laufwerke als C oder D verwendet werden, da nur für diese beiden Laufwerke garantiert ist, dass sie immer vorhanden sind (Laufwerk C ist der Betriebssystemdatenträger, und Laufwerk D ist der temporäre lokale Datenträger).
  • Nehmen Sie alle Änderungen an der technischen Konfiguration vor, die für Ihre Lösung erforderlich sind. Später kennzeichnen Sie die auf Ihrer VM vorgenommenen Konfigurationen in Partner Center auf der Seite Technische Konfiguration im Abschnitt Eigenschaften. Dies zeigt Ihren Kunden, welche Szenarien auf Grundlage der von Ihnen jetzt vorgenommenen Konfigurationsänderungen unterstützt werden. Wählen Sie während der Veröffentlichung die folgenden technischen Konfigurationseigenschaften aus:
    • Unterstützt die Sicherung
    • Unterstützt beschleunigten Netzwerkbetrieb
    • Unterstützt die cloud-init-Konfiguration
    • Unterstützt Erweiterungen
    • Ist ein virtuelles Netzwerkgerät
    • Remotedesktop oder SSH deaktiviert
    • Erfordert benutzerdefinierte ARM-Vorlage

Weitere Informationen zu Linux-Anpassungen finden Sie unter Erweiterungen und Features für virtuelle Computer für Linux.

Generalisieren des Images

Alle Images im Azure Marketplace müssen allgemein wiederverwendbar sein. Um dies zu erreichen, muss die Betriebssystem-VHD generalisiert werden. Dies ist ein Vorgang, bei dem alle instanzspezifischen Bezeichner und Softwaretreiber von einer VM entfernt werden.

Für Windows

Windows-Betriebssystemdatenträger werden mit dem Sysprep-Tool generalisiert. Wenn Sie das Betriebssystem später aktualisieren oder neu konfigurieren, müssen Sie Sysprep erneut ausführen.

Warnung

Nachdem Sie sysprep ausgeführt haben, deaktivieren Sie den virtuellen Computer, bis er bereitgestellt wird, da Updates möglicherweise automatisch ausgeführt werden. Dadurch verhindern Sie, dass durch nachfolgende Updates instanzspezifische Änderungen am Betriebssystem oder den installierten Diensten vorgenommen werden. Weitere Informationen zum Ausführen von Sysprep finden Sie unter Generalisieren einer Windows-VM.

Hinweis

Wenn Sie Microsoft Defender für Cloud (Azure Defender) für das Abonnement aktiviert haben, in dem Sie den virtuellen Computer erstellen, der erfasst werden soll, und Sie nicht möchten, dass aus diesem Image erstellte VMs beim Defender für Endpunkt-Portal registriert werden, deaktivieren Sie Microsoft Defender für Cloud im Abonnement oder für die VM selbst. Wenn dies nicht deaktiviert ist, wird jeder von diesem Image erstellte virtuelle Computer im Defender für Endpunkt-Portal registriert, auch wenn der virtuelle Computer in einem anderen Mandanten ohne Microsoft Defender für Cloud bereitgestellt wird.

Für Linux

  1. Entfernen Sie den Azure Linux-Agent.

    1. Stellen Sie mit einem SSH-Client eine Verbindung mit Ihrer Linux-VM her.
    2. Geben Sie im SSH-Fenster den Befehl sudo waagent –deprovision+user ein.
    3. Geben Sie Y ein, um fortzufahren (Sie können dem vorherigen Befehl den Parameter -force hinzufügen, um diesen Bestätigungsschritt zu umgehen).
    4. Geben Sie nach der Ausführung des Befehls Exit ein, um den SSH-Client zu schließen.
  2. Wenn Microsoft Defender für Endpunkt (MDE) auf Ihrem Image installiert ist, deinstallieren Sie MDE, indem Sie die folgenden Befehle abhängig vom Betriebssystem Ihres Images ausführen:

    • RHEL, CentOS und Oracle: sudo yum remove mdatp

    • SLES und Varianten: sudo zypper remove mdatp

    • Ubuntu und Debian: sudo apt-get purge mdatp

    • Seemann: sudo dnf remove mdatp

  3. Beenden Sie die VM.

    1. Wählen Sie im Azure-Portal Ihre Ressourcengruppe (RG) aus, und heben Sie die Zuordnung der VM auf.
    2. Ihre VM ist jetzt generalisiert, und Sie können mit diesem VM-Datenträger eine neue VM erstellen.

Capture image

Hinweis

Zum Veröffentlichen muss sich das Azure-Abonnement, das die Azure Compute Gallery enthält, unter demselben Mandanten wie das Herausgeberkonto befinden. Darüber hinaus muss das Herausgeberkonto mindestens über einen Zugriff als Mitwirkender auf das Abonnement verfügen, das die Azure Compute Gallery enthält.

Sobald Ihr virtueller Computer bereit ist, können Sie ihn in einer Azure Compute Gallery (ehemals Shared Image Gallery) erfassen. Führen Sie hierzu die folgenden Schritte aus:

  1. Wechseln Sie auf der Azure-Portal zur Seite Ihres virtuellen Computers.
  2. Wählen Sie die Option Erfassen aus.
  3. Klicken Sie unter Image in Azure Compute Gallery freigeben auf Ja, als Imageversion für eine Galerie freigeben.
  4. Wählen Sie unter Betriebssystemstatus die Option „Generalized“ (Generalisiert) aus.
  5. Wählen Sie ein Image Gallery-Ziel aus, oder klicken Sie auf Neu erstellen.
  6. Wählen Sie eine Zielimagedefinition aus, oder klicken Sie auf Neu erstellen.
  7. Geben Sie eine Versionsnummer für das Image ein.
  8. Wählen Sie Bewerten + erstellen aus, um Ihre Auswahl zu überprüfen.
  9. Klicken Sie auf Erstellen, sobald die Überprüfung bestanden wurde.

Wenn Sie Ihre Images für virtuelle Computer aus Ihrem Azure Compute Gallery auf Azure Marketplace veröffentlichen, müssen Sie Berechtigungen festlegen, damit Partner Center die in Ihrem Katalog gehosteten Bilder erwerben kann.

Wichtig

Microsoft übergibt den Prozess zum Abrufen von Bildern aus Ihrem Compute Gallery zu einem sichereren Prozess. Um die Aktualisierung Ihrer Angebote für virtuelle Computer fortzusetzen, stellen Sie sicher, dass den folgenden Microsoft-Apps Zugriff gewährt wird, indem Sie die folgenden Schritte ausführen. Diese Schritte müssen einmal für jeden Computekatalog ausgeführt werden, der für die Veröffentlichung in Azure Marketplace verwendet wird.

Voraussetzungen

Um Partner Center-Berechtigungen zu erteilen, müssen Sie sicherstellen, dass die folgenden Voraussetzungen erfüllt sind:

  1. Ihr Azure Compute Gallery muss sich im gleichen Microsoft Entra-Mandanten befinden, der mit Ihrem Partner Center-Konto verknüpft ist.
  2. Sie müssen ein Besitzer des Abonnements sein, in dem der Compute Gallery vorhanden ist.

Tipp

Es wird empfohlen, einen dedizierten Compute Gallery für die Veröffentlichung im Partner Center zu verwenden und nur die Berechtigung für diesen dedizierten Katalog zu erteilen. Sie müssen keine Berechtigungen auf Abonnementebene erteilen.

Schritt 1: Bereitstellen der Dienstprinzipale

Sie müssen zuerst Dienstprinzipale in Ihrem Azure-Abonnement bereitstellen, was durch Registrieren des Microsoft Partner Center-Ressourcenanbieters (RP) erfolgt. Ein Dienstprinzipal ist eine Identität, die dann verwendet wird, um Partner Center Zugriff auf Ihren Compute Gallery zum Abrufen Ihrer Bilder zu gewähren. Dieser Schritt gewährt keinen Zugriff.

PowerShell
# Connect to your Azure account
Connect-AzAccount

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
Set-AzContext -Subscription <SubscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
Register-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

# Ensure the Resource Principal is registered successfully.
Get-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion
Azure CLI
# Connect to your Azure account
Az login

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
az account set --subscription <subscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
az provider register --namespace

# Ensure the Resource Principal is registered successfully.
az provider show --namespace Microsoft.PartnerCenterIngestion

Nachdem die Dienstprinzipale bereitgestellt wurden, müssen sie expliziten Berechtigungen zum Lesen von Bildern aus einem bestimmten Compute Gallery erteilt werden. Partner Center ist dabei, zu einem sichereren Prozess für den Erwerb Ihrer Bilder zu wechseln. Während dieses Übergangs bitten wir Sie, vorübergehend Zugriff auf zwei Microsoft-Anwendungen zu gewähren, damit Sie ihre Angebote für virtuelle Computer weiterhin aktualisieren können.

PowerShell
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
Get-AzGallery -ResourceGroupName <resource-group> -GalleryName <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
Get-AzADServicePrincipal -SearchString "Microsoft Partner Center Resource Provider"

# Create a role assignment to the first Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id1> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
Get-AzADServicePrincipal -SearchString "Compute Image Registry"

# Create a role assignment to the second Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id2> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>
Azure CLI
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
az sig show --resource-group <resource-group> --gallery-name <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
az ad sp list --display-name "Microsoft Partner Center Resource Provider" --query '[].id'

# Create a role assignment to the first Microsoft application.
az role assignment create --assignee-object-id <sp-id1> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
az ad sp list --display-name "Compute Image Registry" --query '[].id'

# Create a role assignment to the second Microsoft application.
az role assignment create --assignee-object-id <sp-id2> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>
Azure-Portal
  1. Lo gin to Azure-Portal

  2. Navigieren Sie zu Ihrem Azure Compute Gallery, der Ihr Image des virtuellen Computers enthält.

  3. Navigieren Sie in Ihrem Azure Compute Gallery zur Registerkarte "Zugriffssteuerung ".

  4. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen.

  5. Wählen Sie die Rolle Compute Gallery Image Reader aus, und klicken Sie auf Weiter.

  6. Wählen Sie diese Option aus, um dem Benutzer, der Gruppe oder dem Dienstprinzipal Zugriff zuzuweisen.

  7. Klicken Sie auf +Mitglieder auswählen und suchen Sie nach den Dienstprinzipale "Microsoft Partner Center-Ressourcenanbieter" und "Compute Image Registry". Klicken Sie auf Weiter.

  8. Klicken Sie auf " Überprüfen" + "Zuweisen".

  • Empfohlener nächster Schritt: Testen Sie Ihr VM-Image , um sicherzustellen, dass es die Azure Marketplace-Veröffentlichungsanforderungen erfüllt. Das ist optional.
  • Wenn Sie Ihr VM-Image nicht testen möchten, melden Sie sich bei Partner Center an, um Ihr Image zu veröffentlichen.
  • Wenn beim Erstellen der neuen Azure-basierten VHD Probleme auftreten, informieren Sie sich in den FAQ zu VMs für Azure Marketplace.