Criar uma máquina virtual usando uma base aprovada

  • Artigo

Este artigo descreve como usar o Azure para criar uma VM (máquina virtual) contendo um sistema operacional previamente configurado e endossado. Se isso não for compatível com a sua solução, será possível criar e configurar uma VM local usando um sistema operacional aprovado.

Observação

Antes de iniciar este procedimento, examine os requisitos técnicos das ofertas de VM do Azure, incluindo os requisitos de VHD (disco rígido virtual).

Selecione uma imagem de base aprovada

Selecione como base uma das imagens a seguir do Windows ou do Linux.

Windows

Linux

O Azure oferece uma variedade de distribuições aprovadas do Linux. Para obter uma lista atual, consulte Linux em distribuições endossadas pelo Azure.

Criar VM no portal do Azure

  1. Entre no portal do Azure.
  2. Selecione Máquinas virtuais.
  3. Selecione + criar e + máquina virtual no menu suspenso para abrir a tela criar uma máquina virtual.
  4. Selecione a imagem da lista suspensa ou selecione Ver todas as imagens para pesquisar ou navegar por todas as imagens da máquina virtual disponíveis. Você também pode configurar a geração de VM de sua imagem dependendo da imagem selecionada.
  5. Selecione o tamanho da VM a ser implantada.
  6. Forneça os outros detalhes necessários para criar a VM.
  7. Selecione Examinar + criar para examinar suas opções. Quando a mensagem Validação aprovada for exibida, selecione Criar.

O Azure inicia o provisionamento da máquina virtual especificada. Acompanhe o progresso dela selecionando a guia Máquinas Virtuais no menu esquerdo. Depois de criado, o status da máquina virtual é alterado para Em execução.

Configurar a VM

Esta seção descreve como dimensionar, atualizar e generalizar uma VM do Azure. Essas etapas são necessárias para preparar a VM para ser implantada no Azure Marketplace.

Conectar-se à sua VM

Confira a documentação a seguir para se conectar à sua VM do Windows ou do Linux.

Instalar as atualizações mais atuais

As imagens de base das VMs do sistema operacional devem conter as atualizações mais recentes até a data publicada. Antes de publicar, certifique-se de atualizar o sistema operacional e todos os serviços instalados com todos os patches de segurança e manutenção mais recentes.

  • Para Windows Server, execute o comando Verificar se há atualizações.
  • Para distribuições Linux, as atualizações geralmente são baixadas e instaladas por meio de uma ferramenta de linha de comando ou de um utilitário gráfico. Por exemplo, o Ubuntu Linux fornece o comando apt-get e a ferramenta Gerenciador de Atualização para atualizar o SO.

Realizar verificações de segurança adicionais

Mantenha um alto nível de segurança para as imagens de solução no Azure Marketplace. Para obter uma lista de verificação de configurações e procedimentos de segurança, consulte Recomendações de segurança para imagens do Azure Marketplace.

Personalizar a imagem da VM

Agora, instale o software necessário e faça as alterações de configuração personalizadas em sua VM para que sua solução funcione corretamente, incluindo todas as tarefas agendadas que precisam ser executadas após a implantação. Considere o seguinte ao fazer suas alterações personalizadas:

  • Se for uma tarefa de execução única agendada, a tarefa deverá ser excluída após a conclusão ser realizada com êxito.
  • As configurações não devem depender de unidades diferentes de C ou D, pois apenas essas duas unidades sempre têm garantia de existência (a unidade C é o disco do sistema operacional e a unidade D é o disco local temporário).
  • Faça as alterações de configuração técnica necessárias para sua solução. Posteriormente, você irá sinalizar as configurações feitas em sua VM na seção Propriedades da página de Configuração técnica na Central de Parceiros. Isso mostrará a seus clientes quais cenários têm suporte com base nas alterações de configuração feitas agora. Selecione uma das seguintes propriedades de configuração técnica durante a publicação:
    • Dá suporte a backup
    • Dá suporte à rede acelerada
    • Dá suporte à configuração do cloud-Init
    • Oferece suporte a extensões
    • É um dispositivo virtual de rede
    • Área de trabalho remota ou SSH desabilitada
    • Requer modelo ARM personalizado

Para obter mais informações sobre personalizações do Linux, consulte Recursos e extensões da máquina virtual para Linux.

Generalizar a imagem

Todas as imagens no Azure Marketplace precisam ser reutilizáveis de um modo genérico. Para obter isso, o VHD do sistema operacional deve ser generalizado, uma operação que remove todos os identificadores específicos de instância e drivers de software de uma VM.

Para Windows

Os discos do sistema operacional do Windows são generalizados com a ferramenta sysprep. Se, mais tarde, você atualizar ou reconfigurar o sistema operacional, deverá executar novamente o sysprep.

Aviso

Depois de executar o sysprep, desative a VM até que ela seja implantada, pois as atualizações podem ser executadas automaticamente. Esse desligamento evitará atualizações subsequentes de alterações específicas da instância no sistema operacional ou serviços instalados. Para obter mais informações sobre como executar o sysprep, confira Generalizar uma VM Windows.

Observação

Se você tiver o Microsoft Defender para Nuvem (Azure Defender) habilitado na assinatura em que você está criando a VM a ser capturada e não quiser que nenhuma VM criada a partir dessa imagem seja inscrita no portal do Defender para Ponto de Extremidade, certifique-se de desabilitar o Microsoft Defender para Nuvem na assinatura ou para a própria VM. Se isso não estiver desabilitado, qualquer VM criada a partir dessa imagem será registrada no portal do Defender para Ponto de Extremidade, mesmo que a VM seja implantada em um locatário diferente sem Microsoft Defender para Nuvem.

Para Linux

  1. Remover o agente Linux do Azure

    1. Conecte-se à VM do Linux usando um cliente SSH.
    2. Na janela SSH, digite este comando: sudo waagent –deprovision+user.
    3. Digite Y para continuar (Você pode adicionar o parâmetro -force ao comando anterior para evitar essa etapa de confirmação).
    4. Depois de concluir o comando, insira Sair para fechar o cliente SSH.

  2. Se o Microsoft Defender para Ponto de Extremidade (MDE) estiver instalado em sua imagem, desinstale o MDE executando os seguintes comandos, dependendo do sistema operacional da imagem:

    • RHEL, CentOS e Oracle: sudo yum remove mdatp

    • SLES e variantes: sudo zypper remove mdatp

    • Ubuntu e Debian: sudo apt-get purge mdatp

    • Marujo: sudo dnf remove mdatp

  3. Interromper uma máquina virtual.

    1. No portal do Azure, selecione seu RG (grupo de recursos) e desaloque a VM.
    2. Sua VM agora está generalizada e você pode criar uma nova VM usando este disco VM.

Capturar a imagem

Observação

A assinatura do Azure que contém a Galeria de Computação do Azure precisa estar no mesmo locatário que a conta do editor para fazer a publicação. Além disso, a conta do editor precisa ter pelo menos acesso de colaborador à assinatura que contém a Galeria de Computação do Azure.

Quando a VM estiver pronta, você poderá capturá-la em uma Galeria de Computação do Azure (antiga Galeria de Imagens Compartilhadas). Siga as etapas abaixo para capturar:

  1. No portal do Azure, acesse a página da Máquina Virtual.
  2. Selecione Capturar.
  3. Em Compartilhar imagem com a Galeria de Computação do Azure selecione Sim, compartilhar com uma galeria como uma versão de imagem.
  4. Em Estado do sistema operacional, selecione Generalizado.
  5. Selecione uma Galeria de imagens de destino ou Criar uma nova.
  6. Selecione uma definição de imagem de destino ou Criar nova.
  7. Forneça um número de versão para a imagem.
  8. Selecione Examinar + criar para examinar suas opções.
  9. Quando a validação for aprovada, selecione Criar.

Publicar suas imagens de Máquina Virtual no Azure Marketplace da Galeria de Computação do Azure exige que você defina permissões para que o Partner Center possa adquirir as imagens hospedadas em sua galeria.

Importante

A Microsoft está fazendo a transição do processo de aquisição de imagens da Galeria de Computação para um processo mais seguro. Para continuar atualizando suas ofertas de Máquina Virtual, verifique se os seguintes aplicativos da Microsoft têm acesso seguindo estas etapas. Essas etapas devem ser executadas uma vez para cada Galeria de Computação usada para ser publicada no Azure Marketplace.

Pré-requisitos

Para conceder permissão ao Partner Center, você precisa garantir que os seguintes pré-requisitos sejam atendidos:

  1. Sua Galeria de Computação do Azure deve estar no mesmo locatário do Microsoft Entra vinculado à sua conta do Partner Center
  2. Você deve ser um proprietário da assinatura em que a Galeria de computação está presente.

Dica

É recomendável que você use uma Galeria de Computação dedicada para fins de publicação no Partner Center e que você conceda permissão apenas a essa galeria dedicada. Você não precisa conceder permissões no nível da assinatura.

Etapa 1: Provisionar as entidades de serviço

Primeiro, você precisa provisionar entidades de serviço em sua assinatura do Azure, o que é feito registrando o RP (Provedor de Recursos) do Microsoft Partner Center. Uma entidade de serviço é uma identidade que será usada para fornecer ao Partner Center acesso à sua Galeria de Computação para adquirir suas imagens. Esta etapa não está concedendo acesso.

PowerShell
# Connect to your Azure account
Connect-AzAccount

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
Set-AzContext -Subscription <SubscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
Register-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

# Ensure the Resource Principal is registered successfully.
Get-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion
CLI do Azure
# Connect to your Azure account
Az login

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
az account set --subscription <subscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
az provider register --namespace

# Ensure the Resource Principal is registered successfully.
az provider show --namespace Microsoft.PartnerCenterIngestion

Depois que as entidades de serviço são provisionadas, elas devem receber permissões explícitas para ler imagens de uma Galeria de Computação específica. O Partner Center está em processo de transição para um processo mais seguro de aquisição de imagens. Durante essa transição, solicitamos que você conceda temporariamente acesso a dois aplicativos da Microsoft para que possa continuar atualizando suas ofertas de Máquina Virtual.

PowerShell
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
Get-AzGallery -ResourceGroupName <resource-group> -GalleryName <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
Get-AzADServicePrincipal -SearchString "Microsoft Partner Center Resource Provider"

# Create a role assignment to the first Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id1> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
Get-AzADServicePrincipal -SearchString "Compute Image Registry"

# Create a role assignment to the second Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id2> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>
CLI do Azure
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
az sig show --resource-group <resource-group> --gallery-name <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
az ad sp list --display-name "Microsoft Partner Center Resource Provider" --query '[].id'

# Create a role assignment to the first Microsoft application.
az role assignment create --assignee-object-id <sp-id1> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
az ad sp list --display-name "Compute Image Registry" --query '[].id'

# Create a role assignment to the second Microsoft application.
az role assignment create --assignee-object-id <sp-id2> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>
Portal do Azure

  1. Lo gin to Azure portal

  2. Navegue até a Galeria de Computação do Azure que contém a imagem da Máquina Virtual.

  3. Navegue até a guia Controle de acesso na Galeria de Computação do Azure.

  4. Selecione Adicionar>Adicionar atribuição de função.

  5. Selecione a função Leitor de Imagens da Galeria de Computação e clique em Avançar.

  6. Selecione para atribuir acesso ao usuário, grupo ou entidade de serviço.

  7. Clique em + Selecionar membros e pesquise e selecione as entidades de serviço "Provedor de Recursos do Microsoft Partner Center" e "Registro de Imagem de Computação". Clique em Avançar.

  8. Clique em Revisar + Atribuir.

Conteúdo relacionado