Opções de rede do Azure VM Image Builder

Aplica-se a: ✔️ Linux VMs ✔️ Conjuntos de escala flexível

Com o Azure VM Image Builder, você opta por implantar o serviço com ou sem uma rede virtual existente. As seções a seguir fornecem mais detalhes sobre essa escolha.

Implantar sem especificar uma rede virtual existente

Se você não especificar uma rede virtual existente, o Construtor de Imagens de VM criará uma, juntamente com uma sub-rede, no grupo de recursos de preparo. O serviço usa um recurso IP público com um grupo de segurança de rede para restringir o tráfego de entrada. O IP público facilita o canal para comandos durante a construção da imagem. Após a conclusão da compilação, a máquina virtual (VM), o IP público, os discos e a rede virtual são excluídos. Para usar essa opção, não especifique nenhuma propriedade de rede virtual.

Implantar usando uma VNET existente

Se você especificar uma rede virtual e uma sub-rede, o VM Image Builder implantará a VM de compilação na rede virtual escolhida. Você pode acessar recursos acessíveis em sua rede virtual. Você também pode criar uma rede virtual isolada, desconectada a qualquer outra rede virtual. Se você especificar uma rede virtual, o Construtor de Imagens de VM não usará um endereço IP público. A comunicação do Construtor de Imagens de VM para a máquina virtual de compilação usa o Azure Private Link.

Para obter mais informações, consulte um dos seguintes exemplos:

O Azure Private Link fornece conectividade privada de uma rede virtual para a plataforma Azure como serviço (PaaS) ou para serviços de propriedade do cliente ou de parceiros da Microsoft. Ele simplifica a arquitetura de rede e protege a conexão entre pontos de extremidade no Azure, eliminando a exposição de dados à Internet pública. Para obter mais informações, consulte a documentação do Link privado.

Permissões necessárias para uma rede virtual existente

O Construtor de Imagens de VM requer permissões específicas para usar uma rede virtual existente. Para obter mais informações, consulte Configurar permissões do Construtor de Imagens de VM do Azure usando a CLI do Azure ou Configurar permissões do Construtor de Imagens de VM do Azure usando o PowerShell.

O que é implantado durante uma compilação de imagem?

Se você usar uma rede virtual existente, o Construtor de Imagens de VM implantará uma VM adicional (uma VM proxy ) e um balanceador de carga (Azure Load Balancer). Estes estão ligados ao Private Link. O tráfego do serviço VM Image Builder atravessa o link privado para o balanceador de carga. O balanceador de carga se comunica com a VM proxy usando a porta 60001 para Linux ou a porta 60000 para Windows. O proxy encaminha comandos para a VM de compilação usando a porta 22 para Linux ou a porta 5986 para Windows.

Nota

A rede virtual deve estar na mesma região que a região de serviço do Construtor de Imagens de VM.

Importante

O serviço Azure VM Image Builder modifica a configuração de conexão do WinRM em todas as compilações do Windows para usar HTTPS na porta 5986 em vez da porta HTTP padrão na 5985. Essa alteração de configuração pode afetar fluxos de trabalho que dependem da comunicação do WinRM.

Por que implantar uma VM proxy?

Quando uma VM sem um IP público está atrás de um balanceador de carga interno, ela não tem acesso à Internet. O balanceador de carga usado para a rede virtual é interno. A VM proxy permite o acesso à Internet para a VM de compilação durante as compilações. Você pode usar os grupos de segurança de rede associados para restringir o acesso à VM de compilação.

O tamanho da VM de proxy implantada é Standard A1_v2, além da VM de compilação. O serviço VM Image Builder usa a VM proxy para enviar comandos entre o serviço e a VM de compilação. Não é possível alterar as propriedades da VM proxy (essa restrição inclui o tamanho e o sistema operacional).

Parâmetros de modelo de imagem para suportar a rede virtual

"vnetConfig": {
        "subnetId": ""
        },
Definição Descrição
subnetId ID de recurso de uma sub-rede pré-existente na qual a VM de compilação e a VM de validação são implantadas.

O Private Link requer um IP da rede virtual e da sub-rede especificadas. Atualmente, o Azure não oferece suporte a políticas de rede nesses IPs. Portanto, você deve desabilitar as diretivas de rede na sub-rede. Para obter mais informações, consulte a documentação do Link privado.

Lista de verificação para usar sua rede virtual

  1. Permita que o Balanceador de Carga do Azure se comunique com a VM proxy em um grupo de segurança de rede.
  2. Desative a política de serviço privado na sub-rede.
  3. Permita que o VM Image Builder crie um balanceador de carga e adicione VMs à rede virtual.
  4. Permita que o VM Image Builder leia e grave imagens de origem e crie imagens.
  5. Verifique se você está usando uma rede virtual na mesma região da região de serviço do Construtor de Imagens de VM.

Próximos passos

Visão geral do Azure VM Image Builder