Opções de rede do Construtor de Imagens de VM do Azure
Aplica-se a: ✔️ VMs do Linux ✔️ Conjuntos de dimensionamento flexíveis
Com o Construtor de Imagens de VM do Azure, você opta por implantar o serviço com ou sem uma rede virtual existente. As seções a seguir fornecem mais detalhes sobre essa opção.
Implantar sem especificar uma rede virtual existente
Se você não especificar uma rede virtual existente, o Construtor de Imagens de VM criará uma, juntamente com uma sub-rede, no grupo de recursos de preparo. O serviço usa um recurso de IP público com um grupo de segurança de rede para restringir o tráfego de entrada. O IP público facilita o canal para comandos durante a compilação da imagem. Após a conclusão do build, serão excluídos a VM (máquina virtual), o IP público, os discos e a rede virtual. Para usar essa opção, não especifique nenhuma propriedade de rede virtual.
Implantar usando uma VNET existente
Se você especificar uma rede virtual e uma sub-rede, o Construtor de Imagens de VM implantará a VM de compilação na rede virtual escolhida. Você pode acessar recursos acessíveis em sua rede virtual. Você também pode criar uma rede virtual em silos, não conectada a qualquer outra. Se você especificar uma rede virtual, o Construtor de Imagens de VM não usará um endereço IP público. A comunicação do Construtor de Imagens de VM com a máquina virtual de build usa o Link Privado do Azure.
Para obter mais informações, consulte um dos seguintes exemplos:
- Usar o Construtor de Imagens de VM do Azure para VMs do Windows permitindo o acesso a uma rede virtual do Azure existente
- Usar o Construtor de Imagens de VM do Azure para VMs do Linux permitindo o acesso a uma rede virtual do Azure existente
O que é o Link Privado do Azure?
O Link Privado do Azure fornece conectividade privada de uma rede virtual para a PaaS (plataforma como serviço) do Azure ou para serviços de propriedade do cliente ou da Microsoft. Ele simplifica a arquitetura de rede e protege a conexão entre os pontos de extremidade no Azure eliminando a exposição de dados à Internet pública. Para obter mais informações, consulte a documentação de link privado.
Permissões necessárias para uma rede virtual existente
O Construtor de Imagens de VM requer permissões específicas para usar uma rede virtual existente. Para mais informações, consulte Configurar permissões do Construtor de Imagens de VM do Azure usando a CLI do Azure ou Configurar permissões do Construtor de Imagens de VM do Azure usando o PowerShell.
O que é implantado durante um build de imagem?
Se você usar uma rede virtual existente, o Construtor de Imagens de VM implantará uma VM adicional (uma VM proxy) e um balanceador de carga (Azure Load Balancer). Eles estão conectados a Link Privado. O tráfego do serviço Construtor de Imagens de VM passa pelo link privado para o balanceador de carga. O balanceador de carga conecta-se à VM do proxy usando a porta 60001 (para sistemas operacionais Linux) ou a porta 60000 (para sistemas operacionais Windows). O proxy encaminha os comandos à VM de compilação usando a porta 22 (para sistemas operacionais Linux) ou 5986 (para sistemas operacionais Windows).
Observação
A rede virtual deve estar na mesma região que a região de serviço do Construtor de Imagens de VM.
Importante
O serviço Construtor de Imagens de VM do Azure modifica a configuração de conexão do WinRM em todas as compilações do Windows para usar HTTPS na porta 5986 em vez da porta HTTP padrão no 5985. Essa alteração de configuração pode afetar os fluxos de trabalho que dependem da comunicação do WinRM.
Por que implantar uma VM do proxy?
Quando uma VM sem IP público está atrás de um balanceador de carga interno, ela não tem acesso à Internet. O balanceador de carga usado para a rede virtual é interno. A VM do proxy permite à VM da compilação o acesso à Internet durante as compilações. Você pode usar os grupos de segurança de rede associados para restringir o acesso à VM de compilação.
O tamanho da VM do proxy implantado é Standard A1_v2, além da VM da compilação. A VM do proxy é usada pelo Construtor de Imagens de VM para enviar comandos entre o serviço e a VM da compilação. Você não pode alterar as propriedades da VM do proxy (essa restrição inclui tamanho e sistema operacional).
Parâmetros de modelo de imagem para oferecer suporte à rede virtual
"vnetConfig": {
"subnetId": ""
},
Configuração | Descrição |
---|---|
subnetId |
ID de recurso de uma sub-rede pré-existente na qual a VM de build e a VM de validação são implantadas. |
Um Link Privado requer um IP da rede virtual e da sub-rede especificadas. No momento, o Azure não oferece suporte a políticas de rede nesses IPs. Portanto, você deve desabilitar as políticas de rede na sub-rede. Para obter mais informações, consulte a documentação de link privado.
Lista de verificação para usar sua rede virtual
- Permitir que o Azure Load Balancer se comunique com a VM do proxy em um grupo de segurança de rede.
- Desabilitar a política de serviço privado na sub-rede.
- Permita que o Construtor de Imagens de VM crie um balanceador de carga e adicione VMs à rede virtual.
- Permita que o Construtor de Imagens de VM leia e grave imagens de origem e crie imagens.
- Verifique se você está usando uma rede virtual na mesma região que a região que o serviço do Construtor de Imagens de VM.