Azure VM 映像生成器网络选项

适用于:✔️ Linux VM ✔️ 灵活规模集

使用 Azure VM 映像生成器,可以选择使用或不使用现有虚拟网络来部署服务。 以下各部分提供了有关该选择的更多详细信息。

部署但不指定现有虚拟网络

如果未指定现有虚拟网络,Azure VM 映像生成器会在过渡资源组中创建一个虚拟网络以及一个子网。 该服务使用具有网络安全组的公共 IP 资源来限制入站流量。 公共 IP 让映像生成期间的命令通道更为方便。 生成完成后,将删除虚拟机 (VM)、公共 IP、磁盘和虚拟网络。 若要使用此选项,请不要指定任何虚拟网络属性。

使用现有 VNET 进行部署

如果指定虚拟网络和子网,Azure VM 映像生成器会将生成 VM 部署到所选的虚拟网络。 可以访问在虚拟网络中可访问的资源。 还可以创建未连接到任何其他虚拟网络的孤立虚拟网络。 如果指定虚拟网络,Azure VM 映像生成器不使用公共 IP 地址。 Azure VM 映像生成器与生成虚拟机之间的通信依赖于 Azure 专用链接。

有关详细信息,请参阅以下示例之一:

Azure 专用链接提供从虚拟网络到 Azure 平台即服务 (PaaS)、客户拥有的服务或 Microsoft 合作伙伴服务的 Azure 专用链接。 它简化了网络体系结构,并通过消除数据在公共 Internet 上的暴露来保护 Azure 中终结点之间的连接。 有关详细信息,请参阅专用终结点文档

现有虚拟网络的必需权限

Azure VM 映像生成器需要特定权限才能使用现有虚拟网络。 有关详细信息,请参阅使用 Azure CLI 配置 Azure VM 映像生成器服务权限使用 PowerShell 配置 Azure VM 映像生成器服务权限

映像生成过程中部署了哪些内容?

如果使用现有虚拟网络,Azure VM 映像生成器(代理 VM)部署额外的 VM,以及负载均衡器(Azure 负载均衡器)。 这些连接到 Azure 专用链接。 来自 Azure VM 映像生成器服务的流量通过 Azure 专用链接到达负载均衡器。 负载均衡器使用端口 60001(适用于 Linux)或端口 60000(适用于 Windows)与代理 VM 通信。 对于 Linux,代理使用端口 22 将命令转发到生成 VM;对于 Windows,则使用端口 5986。

注意

虚拟网络必须与 Azure VM 映像生成器服务区域在同一个区域中。

重要

Azure VM 映像生成器服务将所有 Windows 版本上的 WinRM 连接配置修改为在端口 5986 上使用 HTTPS,而不是在 5985 上使用默认 HTTP 端口。 此配置更改可能会影响依赖于 WinRM 通信的工作流。

为什么要部署代理 VM?

当没有公共 IP 的 VM 位于内部负载均衡器后面时,该 VM 无法访问 Internet。 用于虚拟网络的负载均衡器是内部的。 代理 VM 允许在生成期间对生成 VM 进行 Internet 访问。 可以使用关联的网络安全组来限制生成 VM 的访问。

除了生成 VM 外,部署的代理 VM 大小为标准 A1_v2。 Azure VM 映像生成器使用代理 VM 在服务与生成 VM 之间发送命令。 无法更改代理 VM 属性(此限制包括大小和操作系统)。

用于支持虚拟网络的图像模板参数

"VirtualNetworkConfig": {
        "name": "",
        "subnetName": "",
        "resourceGroupName": ""
        },
设置 说明
name (可选)先前存在的虚拟网络的名称。
subnetName 指定的虚拟网络中的子网名称。 必须指定此设置(仅当指定设置 name 时才指定)。
resourceGroupName 包含指定虚拟网络的资源组的名称。 必须指定此设置(仅当指定设置 name 时才指定)。

Azure 专用链接需要来自指定虚拟网络和子网的 IP。 目前,Azure 不支持这些 IP 上的网络策略。 因此,必须在子网上禁用网络策略。 有关详细信息,请参阅专用终结点文档

使用虚拟网络的清单

  1. 允许 Azure 负载均衡器与网络安全组中的代理 VM 进行通信。
  2. 在子网上禁用专用服务策略
  3. 允许 Azure VM 映像生成器创建负载均衡器,并将 VM 添加到虚拟网络。
  4. 允许 Azure VM 映像生成器读取/写入源映像并创建映像。
  5. 请确保在 Azure VM 映像生成器服务区域所在的同一区域中使用虚拟网络。

后续步骤

Azure VM 映像生成器概述