Criar uma máquina virtual usando uma base aprovada

Este artigo descreve como usar o Azure para criar uma máquina virtual (VM) contendo um sistema operacional endossado pré-configurado. Se isso não for compatível com sua solução, é possível criar e configurar uma VM local usando um sistema operacional aprovado.

Selecione uma imagem base aprovada

Selecione uma das seguintes imagens do Windows ou Linux como base.

Windows

• Windows Server:
• SQL Server 2019, 2014, 2012
• Windows 11 Enterprise (Esta imagem base só é aprovada para uso com o Microsoft Dev Box)

Linux

O Azure oferece uma variedade de distribuições Linux aprovadas. Para obter uma lista atual, consulte Linux em distribuições endossadas pelo Azure.

Criar VM no portal do Azure

1. Inicie sessão no portal do Azure.
2. Selecione Máquinas virtuais.
3. Selecione + Criar e + Máquina virtual no menu suspenso para abrir a tela Criar uma máquina virtual.
4. Selecione a imagem na lista suspensa ou selecione Ver todas as imagens para pesquisar ou procurar todas as imagens de máquina virtual disponíveis. Você também pode configurar a geração de VM da sua imagem dependendo da imagem selecionada.
5. Selecione o tamanho da VM a implementar.
6. Forneça os outros detalhes necessários para criar a VM.
7. Selecione Rever + criar para rever as suas escolhas. Quando a mensagem Validação passada for exibida, selecione Criar.

O Azure começa a provisionar a máquina virtual que você especificou. Acompanhe seu progresso selecionando a guia Máquinas Virtuais no menu à esquerda. Depois de criada, o status da Máquina Virtual muda para Em Execução.

Configurar a VM

Esta seção descreve como dimensionar, atualizar e generalizar uma VM do Azure. Estas etapas são necessárias para preparar sua VM para ser implantada no Azure Marketplace.

Ligar à sua VM

Consulte a documentação a seguir para se conectar à sua VM Windows ou Linux .

Instalar as atualizações mais recentes

As imagens base das VMs do sistema operacional devem conter as atualizações mais recentes até a data de publicação. Antes de publicar, certifique-se de que atualizou o SO e todos os serviços instalados com todos os patches de segurança e manutenção mais recentes.

• Para o Windows Server, execute o comando Verificar atualizações.
• Para distribuições Linux, as atualizações são comumente baixadas e instaladas por meio de uma ferramenta de linha de comando ou um utilitário gráfico. Por exemplo, o Ubuntu Linux fornece o comando apt-get e a ferramenta Update Manager para atualizar o sistema operacional.

Realizar verificações de segurança adicionais

Mantenha um alto nível de segurança para as imagens da sua solução no Azure Marketplace. Para obter uma lista de verificação de configurações e procedimentos de segurança, consulte Recomendações de segurança para imagens do Azure Marketplace.

Personalize sua imagem de VM

Agora, instale o software necessário e faça quaisquer alterações de configuração personalizadas em sua VM para que sua solução funcione corretamente, incluindo quaisquer tarefas agendadas que precisem ser executadas após a implantação. Considere o seguinte ao fazer suas alterações personalizadas:

• Se for uma tarefa agendada de execução única, a tarefa deverá ser excluída após ser concluída com êxito.
• As configurações não devem depender de unidades diferentes de C ou D, porque apenas essas duas unidades têm sempre garantia de existir (a unidade C é o disco do sistema operacional e a unidade D é o disco local temporário).
• Faça as alterações de configuração técnica necessárias para a sua solução. Mais tarde, você sinalizará as configurações feitas em sua VM na seção Propriedades da página Configuração Técnica no Partner Center. Isso mostrará aos seus clientes quais cenários são suportados com base nas alterações de configuração feitas agora. Selecione uma das seguintes propriedades de configuração técnica durante a publicação:
  • Suporta backup
  • Suporta rede acelerada
  • Suporta configuração cloud-init
  • Suporta extensões
  • É um dispositivo virtual de rede
  • Área de trabalho remota ou SSH desativado
  • Requer modelo ARM personalizado

Para obter mais informações sobre personalizações do Linux, consulte Extensões e recursos de máquina virtual para Linux.

Generalizar a imagem

Todas as imagens no Azure Marketplace devem ser reutilizáveis de forma genérica. Para conseguir isso, o VHD do sistema operacional deve ser generalizado, uma operação que remove todos os identificadores específicos da instância e drivers de software de uma VM.

Para Windows

Os discos do sistema operacional Windows são generalizados com a ferramenta sysprep . Se você atualizar ou reconfigurar o sistema operacional posteriormente, deverá executar o sysprep novamente.

Para Linux

1. Remova o agente Linux do Azure.

   1. Conecte-se à sua VM Linux usando um cliente SSH.
   2. Na janela SSH, digite este comando: sudo waagent –deprovision+user.
   3. Digite Y para continuar (você pode adicionar o parâmetro -force ao comando anterior para evitar a etapa de confirmação).
   4. Após a conclusão do comando, digite Exit para fechar o cliente SSH.

2. Se o Microsoft Defender for Endpoint (MDE) estiver instalado na sua imagem, desinstale o MDE executando os seguintes comandos, dependendo do SO da sua imagem:

   • RHEL, CentOS e Oracle: sudo yum remove mdatp

   • SLES e variantes: sudo zypper remove mdatp

   • Ubuntu e Debian: sudo apt-get purge mdatp

   • Marítimo: sudo dnf remove mdatp

3. Pare a máquina virtual.

   1. No portal do Azure, selecione seu grupo de recursos (RG) e desaloque a VM.
   2. Sua VM agora está generalizada e você pode criar uma nova VM usando esse disco de VM.

Capturar imagem

Quando sua VM estiver pronta, você poderá capturá-la em uma Galeria de Computação do Azure (anteriormente conhecida como Galeria de Imagens Compartilhadas). Siga as etapas abaixo para capturar:

1. No portal do Azure, vá para a página da sua Máquina Virtual.
2. Selecione Capturar.
3. Em Partilhar imagem na Galeria de Computação do Azure, selecione Sim, partilhá-la numa galeria como uma versão de imagem.
4. Em Estado do sistema operacional, selecione Generalizado.
5. Selecione uma galeria de imagens de destino ou Criar novo.
6. Selecione uma definição de imagem de destino ou Criar nova.
7. Forneça um número de versão para a imagem.
8. Selecione Rever + criar para rever as suas escolhas.
9. Depois que a validação for aprovada, selecione Criar.

Fornecer permissão ao Partner Center para sua Galeria de Computação do Azure

A publicação das imagens da Máquina Virtual no Azure Marketplace a partir da Galeria de Computação do Azure exige que defina permissões para que o Partner Center possa adquirir as imagens alojadas na sua galeria.

Pré-requisitos

Para conceder permissão ao Partner Center, você precisa garantir que os seguintes pré-requisitos sejam atendidos:

1. Sua Galeria de Computação do Azure deve estar no mesmo locatário do Microsoft Entra vinculado à sua conta do Partner Center
2. Você deve ser um proprietário da assinatura onde a Galeria de Computação está presente.

Etapa 1: Provisionar as entidades de serviço

Primeiro, você precisa provisionar entidades de serviço em sua assinatura do Azure, o que é feito registrando o Microsoft Partner Center Resource Provider (RP). Uma entidade de serviço é uma identidade que será usada para fornecer ao Partner Center acesso à sua Galeria de Computação para adquirir suas imagens. Esta etapa não está concedendo acesso.

PowerShell

# Connect to your Azure account
Connect-AzAccount

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
Set-AzContext -Subscription <SubscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
Register-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

# Ensure the Resource Principal is registered successfully.
Get-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

CLI do Azure

# Connect to your Azure account
Az login

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
az account set --subscription <subscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
az provider register --namespace

# Ensure the Resource Principal is registered successfully.
az provider show --namespace Microsoft.PartnerCenterIngestion

Etapa 2: conceder acesso ao Partner Center à sua Galeria de Computação do Azure

Depois que as entidades de serviço são provisionadas, elas devem receber permissões explícitas para ler imagens de uma Galeria de Computação específica. O Partner Center está em processo de transição para um processo mais seguro de aquisição de suas imagens. Durante essa transição, pedimos que você conceda temporariamente acesso a dois aplicativos da Microsoft para que possa continuar atualizando suas ofertas de Máquina Virtual.

PowerShell

# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
Get-AzGallery -ResourceGroupName <resource-group> -GalleryName <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
Get-AzADServicePrincipal -SearchString "Microsoft Partner Center Resource Provider"

# Create a role assignment to the first Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id1> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
Get-AzADServicePrincipal -SearchString "Compute Image Registry"

# Create a role assignment to the second Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id2> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

CLI do Azure

# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
az sig show --resource-group <resource-group> --gallery-name <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
az ad sp list --display-name "Microsoft Partner Center Resource Provider" --query '[].id'

# Create a role assignment to the first Microsoft application.
az role assignment create --assignee-object-id <sp-id1> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
az ad sp list --display-name "Compute Image Registry" --query '[].id'

# Create a role assignment to the second Microsoft application.
az role assignment create --assignee-object-id <sp-id2> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

Portal do Azure

1. Lo gin para o portal do Azure

2. Navegue até a Galeria de Computação do Azure que contém a imagem da Máquina Virtual.

3. Navegue até a guia Controle de acesso na Galeria de Computação do Azure.

4. Selecione Adicionar>Adicionar atribuição de função.

5. Selecione a função Leitor de Imagens da Galeria de Computação e clique em Avançar.

6. Selecione esta opção para atribuir acesso a Usuário, grupo ou entidade de serviço.

7. Clique em + Selecionar membros e procure e selecione as entidades de serviço "Microsoft Partner Center Resource Provider" e "Compute Image Registry". Clique em Next.

8. Clique em Rever + Atribuir.

Conteúdos relacionados

• Próxima etapa recomendada: teste sua imagem de VM para garantir que ela atenda aos requisitos de publicação do Azure Marketplace. Isto é opcional.
• Se você não quiser testar sua imagem de VM, entre no Partner Center para publicar sua imagem.
• Se você encontrou dificuldades para criar seu novo VHD baseado no Azure, consulte Perguntas frequentes sobre VM para o Azure Marketplace.