Azure VM 映像生成器最佳做法
适用于:✔️ Linux VM ✔️ Windows VM ✔️ 灵活规模集 ✔️ 统一规模集
本文介绍在使用 Azure VM 映像生成器 (AIB) 时要遵循的最佳做法。
- 若要防止意外删除映像模板,请在映像模板资源级别使用资源锁。 有关详细信息,请参阅使用锁来保护 Azure 资源。
- 按照 AIB 的可靠性建议,确保已为灾难恢复设置映像模板。
- 在 AIB 中启用 VM 启动优化以加快 VM 的创建时间。
- 指定自己的生成 VM 和 ACI 子网,以便更严格地控制在订阅中按 AIB 部署网络相关资源。 指定这些子网还可以加快映像生成时间。 请参阅模板参考,详细了解如何指定这些选项。
- 针对 AIB 资源遵循最低特权原则。
- 映像模板:有权访问映像模板的主体能够运行、删除或篡改映像模板。 反过来,通过此访问权限,主体可以更改通过该映像模板创建的映像。
- 暂存资源组:AIB 使用订阅中的暂存资源组来自定义 VM 映像。 必须将此资源组视为敏感资源组,并将对此资源组的访问仅限于所需的主体。 由于自定义映像的过程发生在此资源组中,因此有权访问资源组的主体能够通过将恶意软件注入映像等方式破坏映像生成过程。 AIB 还会将与模板标识和生成 VM 标识关联的特权委托给此资源组中的资源。 因此,有权访问资源组的主体能够访问这些标识。 此外,AIB 会维护此资源组中定制器工件的副本。 因此,有权访问资源组的主体能够查看这些副本。
- 模板标识:有权访问模板标识的主体可以访问该标识有权访问的所有资源。 这包括定制器工件(例如 shell 和 PowerShell 脚本)、分发目标(例如 Azure Compute Gallery 映像版本)和虚拟网络。 因此,必须仅向此标识提供最低必要权限。
- 生成 VM 标识:有权访问生成 VM 标识的主体可以访问该标识有权访问的所有资源。 这包括通过此标识从生成 VM 内部使用的任何工件和虚拟网络。 因此,必须仅向此标识提供最低必要权限。
- 如果要分发到 Azure Compute Gallery (ACG),则还遵循 ACG 资源的最佳做法。