Хранение и предоставление общего доступа к ресурсам в коллекции вычислений Azure

Применимо к: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows ✔️ Гибкие масштабируемые наборы ✔️ Однородные масштабируемые наборы

Галерея вычислительных ресурсов Azure помогает упорядочивать и управлять вашими ресурсами Azure, такими как образы и приложения. Галерея вычислений предлагает:

• Глобальная репликация.¹
• Управление версиями и группировка ресурсов для более эффективного администрирования.
• Ресурсы с высокой доступностью с учётными записями хранилища ZRS (зоновая избыточность) в регионах, поддерживающих зоны доступности. ZRS обеспечивает устойчивость к зональным сбоям.
• Поддержка хранилища класса Premium с локальным избыточным хранилищем (LRS).
• Предоставление доступа сообществу, между подписками и между арендаторами Active Directory.
• Масштабирование развертываний с репликацией ресурсов в каждом регионе.

С помощью коллекции вы можете поделиться своими ресурсами со всеми пользователями. Кроме того, вы можете ограничить общий доступ определенным пользователям, субъектам-службам или группам Active Directory в организации. Вы можете реплицировать ресурсы в несколько регионов, чтобы ускорить масштабирование развертываний.

¹ Служба коллекции вычислений Azure не является глобальным ресурсом. Для сценариев аварийного восстановления рекомендуется иметь по крайней мере две коллекции в отдельных регионах.

Изображения

Дополнительные сведения о хранении образов в Azure Compute Gallery см. в разделе "Сохранение и совместное использование образов в Azure Compute Gallery".

Приложения виртуальной машины

Хотя вы можете создать образ виртуальной машины с предварительно установленными приложениями, необходимо обновлять образ при каждом изменении приложения. Разделение установки приложения от образов виртуальных машин означает, что не нужно публиковать новый образ для каждой строки изменения кода.

Дополнительные сведения о хранении приложений в коллекции вычислений Azure см. в разделе "Приложения виртуальных машин".

Региональная поддержка

Все общедоступные регионы могут быть целевыми, но некоторые регионы требуют, чтобы клиенты проходили процесс запроса для получения доступа. Чтобы запросить добавление подписки в список разрешений для такого региона, как Центральная Австралия или Центральная Австралия 2, отправьте запрос на доступ.

Ограничения

Следующие ограничения применяются при развертывании ресурсов с помощью коллекции вычислений Azure.

• В каждой подписке и в каждом регионе может быть не более 100 коллекций.
• В одной подписке может быть не более 1000 определений изображений на каждый регион.
• В каждой подписке и каждом регионе может быть максимум 10 000 версий образов.
• У вас может быть не более 100 реплик на версию образа. Однако для большинства вариантов использования должно быть достаточно 50 реплик.
• Размер изображения должен быть меньше 2 ТБ, но можно использовать неглубокую репликацию для поддержки больших размеров изображений (до 32 ТБ).
• Перемещение ресурсов не поддерживается для ресурсов Azure Compute Gallery.

Дополнительные сведения и примеры проверки текущего использования см. в разделе "Проверка использования ресурсов в отношении ограничений".

Если вы достигнете ограничений по умолчанию для ресурсов коллекции вычислений Azure, вы можете запросить увеличение. Для этого откройте инцидент поддержки на портале Azure.

Масштабирование

Галерея вычислений Azure позволяет указать количество реплик, которые требуется сохранить. В сценариях развертывания с несколькими виртуальными машинами можно распространить развертывания виртуальных машин на другие реплики. Это действие снижает вероятность того, что перегрузка одной реплики замедляет процесс создания экземпляра.

С помощью галереи вычислений можно развернуть до 1000 экземпляров виртуальных машин в наборе масштабирования. Для каждого целевого региона можно установить собственное число реплик в зависимости от потребностей данного региона в плане масштабирования. Так как каждая реплика является копией ресурса, этот подход помогает линейно масштабировать развертывания с каждой дополнительной репликой.

Хотя мы понимаем, что нет двух одинаковых ресурсов или регионов, ниже представлены общие рекомендации по использованию реплик в регионе:

• Для каждой 20 виртуальных машин, создаваемых одновременно, рекомендуется сохранить одну реплику. Например, если вы создаете одновременно 1000 виртуальных машин с помощью одного образа в регионе, мы рекомендуем сохранить не менее 50 реплик образа.
• Для каждого создаваемого масштабируемого набора рекомендуется сохранить одну реплику.

Мы всегда рекомендуем увеличивать количество реплик из-за таких факторов, как размер ресурса, содержимое и тип операционной системы (ОС).

Высокая доступность

Azure ZRS обеспечивает устойчивость к сбою зоны доступности в регионе. Общедоступная функция Azure Compute Gallery позволяет вам выбирать, где хранить образы в учетных записях ZRS в регионах с зонами доступности.

Вы также можете выбрать тип учетной записи для каждого целевого региона. Тип учетной записи хранения по умолчанию — Standard LRS, но для регионов с зонами доступности можно выбрать стандартный ZRS. Дополнительные сведения о региональной доступности ZRS см. в статье о избыточности службы хранилища Azure.

Репликация

Галерея вычислений Azure также позволяет автоматически реплицировать ресурсы в другие регионы Azure. Вы можете реплицировать каждую версию образа в разные регионы в зависимости от того, что имеет смысл для вашей организации. Одним из примеров является всегда репликация последнего образа в нескольких регионах, а все старые версии образов доступны только в одном регионе. Этот подход поможет сэкономить затраты на хранение.

После создания можно обновить регионы, в которые реплицируется ресурс. Время репликации в другие регионы зависит от объема копируемых данных и количества регионов, в которые реплицируется версия. Этот процесс может занять несколько часов в некоторых случаях.

Во время репликации можно просмотреть его состояние в каждом регионе. После завершения репликации образа в регионе можно развернуть виртуальную машину или масштабируемый набор с помощью этого ресурса в регионе.

Проверка Trusted Launch для образов Azure Compute Gallery (предварительная версия)

Проверка доверенного запуска для образов коллекции вычислений Azure сейчас доступна в предварительной версии. Эта предварительная версия предназначена только для тестирования, оценки и обратной связи. Мы не рекомендуем его для продуктивных рабочих нагрузок.

При регистрации для предварительной версии вы соглашаетесь с дополнительными условиями использования. Некоторые аспекты этой функции могут измениться с общедоступностью.

Что меняется

Начиная с API 2025-03-03, все новые определения изображений в галерее вычислений по умолчанию:

• hyperVGeneration: V2
• SecurityType: TrustedLaunchSupported

Как работает проверка доверенного запуска

При указании TrustedLaunchSupported или TrustedLaunchandConfidentialVMSupported в определении образа в Галерее вычислений платформа автоматически проверяет, поддерживает ли образ функцию доверенного запуска. Платформа добавляет результат проверки в свойство версии образа. Это действие гарантирует, что развертывания виртуальной машины и набора масштабирования, использующие эти образы, по умолчанию могут запускаться в доверенном режиме, если проверка выполнена успешно.

Включение предварительной версии

Чтобы выполнить проверку доверительного запуска для образов в галерее вычислений, выполните следующие действия.

1. Зарегистрируйтесь для доверенного запуска в качестве функции по умолчанию.
2. Зарегистрируйтесь для предварительной версии проверки доверенного запуска.

После включения двух функций все новые развертывания виртуальных машин и масштабируемых наборов, использующие версии образов из коллекции вычислений и прошедшие проверку для доверенного запуска, по умолчанию используют тип безопасности доверенного запуска.

Развертывания виртуальных машин из образов Галереи вычислений Azure

В следующих разделах сравниваются текущее и новое поведение развертываний виртуальных машин из образов галереи вычислений в зависимости от проверки Trusted Launch.

Текущее поведение без проверки доверенного запуска

Чтобы создать определение образа ОС поколения Gen2 с поддержкой доверенного запуска для Compute Gallery, необходимо добавить следующий элемент features в развертывании:

"features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchSupported"
    }
],
"hyperVGeneration": "V2"

Новое поведение при проверке "доверенного запуска"

TrustedLaunchSupported включается по умолчанию для новых определений образов галереи вычислений, если развертывание соответствует любому из следующих критериев:

• Использование API версии 2025-03-03 или более поздней для Microsoft.Compute/galleries ресурса
• Отсутствие SecurityType функции
• null Значение функции SecurityType

Кроме того, платформа Azure активирует проверку образа ОС, чтобы обеспечить поддержку надежных возможностей запуска. Проверка занимает не менее одного часа. Результаты доступны в качестве свойства версии образа:

"validationsProfile": {
  "executedValidations": [
      {
        "type": "TrustedLaunch",
        "status": "Succeeded",
        "version": "0.0.2",
        "executionTime": "2025-07-10T21:27:33.0113984+00:00"
      }
    ],
}

Вы можете обойти значение по умолчанию для новых определений образов в Галерее вычислений, задав Standard в качестве значения для SecurityType в разделе features.

"features": [
    {
      "name": "SecurityType",
      "value": "Standard"
    }
],
"hyperVGeneration": "V2"

Совместное использование

Существует три основных способа совместного использования образов в коллекции вычислений Azure в зависимости от того, с какими пользователями вы хотите предоставить общий доступ:

RBAC

Так как коллекция, определение и версия являются всеми ресурсами, их можно совместно использовать с помощью встроенных ролей Azure RBAC. С помощью ролей Azure RBAC эти ресурсы можно совместно использовать с другими пользователями, субъектами-службами и группами. Вы даже можете совместно использовать доступ с отдельными лицами за пределами клиента, где вы создали ресурсы.

После того как пользователи имеют доступ к версии ресурса, они могут использовать его для развертывания виртуальной машины или масштабируемого набора виртуальных машин. Ниже приведена матрица общего доступа, которая поможет понять, к чему пользователи получают доступ:

Мы рекомендуем предоставлять общий доступ на уровне коллекции для лучшего взаимодействия. Предоставлять доступ к отдельным версиям образов не рекомендуется. Дополнительные сведения о Azure RBAC см. в статье "Назначение ролей Azure и общий доступ с помощью RBAC".

Прямой обмен с арендатором или подпиской

Вы можете предоставить определенным подпискам или арендаторам доступ к галерее прямого общего доступа. Предоставление доступа к галерее арендаторам и подписчикам дает им возможность только просмотра. Дополнительные сведения см. в инструкции "Предоставление общего доступа пользователям в подписке или клиенте".

Важные замечания

• Функция прямого доступа к общим галереям в настоящее время находится в предварительном просмотре и регулируется условиями предварительного просмотра для галереи вычислений Azure.

• Чтобы опубликовать изображения в прямой общей коллекции во время предварительной версии, необходимо зарегистрировать для предварительной версии. Создавать виртуальные машины из коллекции, к которой предоставлен прямой доступ, могут все пользователи Azure.

• Во время предварительной версии необходимо создать новую галерею с заданным свойством sharingProfile.permissions, установленным на Groups. При использовании Azure CLI для создания галереи используйте этот параметр --permissions groups. Вы не можете использовать существующую галерею, и свойство на данный момент не может быть обновлено.

• В настоящее время нельзя создать гибкий набор виртуальных машин с автоматическим масштабированием из образа, которым поделился с вами другой клиент.

Ограничения

На этапе предварительной версии:

• Вы можете делиться только подписками, которые также находятся в предварительном просмотре.

• Вы можете предоставить совместный доступ к 30 подпискам и 5 арендаторам.

• Совместная галерея не может содержать зашифрованные версии изображений.

• Только владелец подписки, пользователь или служебный принципал, назначенный на роль администратора общего доступа к галерее вычислений на уровне подписки или галереи, может включить групповое совместное использование.

Галерея сообщества

Чтобы предоставить общий доступ ко всем пользователям Azure, можно создать коллекцию сообщества. Любой пользователь, у которого есть подписка Azure, может использовать коллекции сообщества. Пользователь, создающий виртуальную машину, может просматривать образы, предоставляемые сообществом, с помощью портала Azure, REST API или Azure CLI. Новая возможность в галерее вычислений — общий доступ к изображениям для сообщества.

Вы можете сделать коллекции образов общедоступными и поделиться ими с клиентами Azure. Когда коллекция помечена как коллекция сообщества, все изображения в ней становятся доступными всем клиентам Azure в качестве нового типа ресурсов в разделе Microsoft.Compute/communityGalleries. Клиенты Azure могут просматривать коллекции и использовать их для создания виртуальных машин. Исходные ресурсы типа Microsoft.Compute/galleries по-прежнему находятся в вашей подписке и остаются приватными.

Для получения более подробной информации см. Отправка изображений с использованием галереи сообщества.

Журнал действий

В журнале действий отображаются последние действия в коллекции, образе или версии. Эти сведения включают любые изменения конфигурации и при создании и удалении элемента.

Вы можете просмотреть журнал действий на портале Azure или создать параметр диагностики для отправки журнала в рабочую область Log Analytics. В рабочей области можно просматривать события с течением времени или анализировать их с другими собранными данными.

В следующей таблице перечислены примеры операций, связанных с работой галереи, которые регистрируются в журнале действий. Полный список возможных записей журнала см. в параметрах поставщика ресурсов Microsoft.Compute.

Выставление счетов

Плата за использование службы Azure Compute Gallery не взимается. Однако плата взимается за следующие ресурсы:

• Затраты на хранение для каждой реплики. Для изображений плата за хранение взимается как за снапшот. Основывается на размере занятой версии образа, количестве её реплик и количестве регионов, куда она реплицируется.
• Плата за исходящий трафик сети для репликации первой версии ресурса из исходного региона в реплицируемые регионы. Обработка последующих реплик ведется в пределах одного региона, поэтому дополнительные расходы при этом не возникают.

Например, предположим:

• У вас есть образ диска ОС размером 127 ГБ, который занимает только 10 ГБ хранилища, и у вас есть один пустой диск данных размером 32 ГБ. Размер каждого изображения составит всего 10 ГБ.
• Изображение реплицируется в три региона, и каждый регион имеет две реплики. Всего шесть моментальных снимков, каждый из которых использует 10 ГБ.

В этом примере взимается плата за хранение каждого моментального снимка на основании занимаемого объема 10 ГБ. Вы платите за сетевые издержки на исходящий трафик, связанные с копированием первой реплики в два дополнительных региона.

Дополнительные сведения о ценах на моментальные снимки в каждом регионе см. в разделе цены на управляемые диски. Дополнительные сведения об исходящем трафике сети см. на странице Сведения о стоимости пропускной способности.

Лучшие практики

• Чтобы предотвратить случайное удаление изображений, используйте блокировки ресурсов на уровне коллекции. Дополнительные сведения см. в статье "Блокировка ресурсов Azure для защиты инфраструктуры".

• Используйте ZRS везде, где оно доступно, для обеспечения высокой доступности. Вы можете настроить ZRS на вкладке репликации при создании версии образа или приложения виртуальной машины. Сведения о том, какие регионы поддерживают ZRS, см. в списке регионов Azure.

• Следует сохранить не менее трех реплик для рабочих образов. Для каждой 20 виртуальных машин, создаваемых одновременно, рекомендуется сохранить одну реплику.

  Например, при одновременном создании 1000 виртуальных машин следует хранить 50 реплик. (В каждом регионе может быть не более 50 реплик.) Чтобы обновить количество реплик, перейдите в галерею и выберите Определение образа>Версия образа>Обновление репликации.

• Сохраняйте отдельные коллекции для рабочих и тестовых образов. Не помещайте оба типа изображений в одну коллекцию.

• Для сценариев аварийного восстановления имейте по крайней мере две галереи в отдельных регионах. Вы по-прежнему можете использовать версии образов в других регионах, но если регион для одной коллекции выходит из строя, вы не можете создать новые ресурсы коллекции или обновить существующие.

• При создании определения образа сохраните значения издателя, предложения и номера SKU в соответствии с образами Azure Marketplace, чтобы легко определить версии ОС.

  Например, если вы настраиваете образ Windows Server 2019 из Azure Marketplace и сохраняете его как образ в Галерее вычислений, используйте те же значения издателя, предложения и SKU, которые вы использовали в образе Azure Marketplace.

• Если вы хотите исключить определенную версию образа во время создания виртуальной машины или масштабируемого набора, используйте excludeFromLatest при публикации образов. См. статью "Версии образов коллекции" — создание или обновление.

• Если вы хотите исключить версию в определенном регионе, используйте regionalExcludeFromLatest вместо глобального флага excludeFromLatest. Вы можете задать как глобальный, так и региональный excludeFromLatest флаг, но региональный флаг имеет приоритет.

    "publishingProfile": {
      "targetRegions": [
        {
          "name": "brazilsouth",
          "regionalReplicaCount": 1,
          "regionalExcludeFromLatest": false,
          "storageAccountType": "Standard_LRS"
        },
        {
          "name": "canadacentral",
          "regionalReplicaCount": 1,
          "regionalExcludeFromLatest": true,
          "storageAccountType": "Standard_LRS"
        }
      ],
      "replicaCount": 1,
      "excludeFromLatest": true,
      "storageAccountType": "Standard_LRS"
    }
  

• Чтобы предотвратить случайное удаление реплицированных регионов и предотвратить сбои, установите значение safetyProfile.allowDeletionOfReplicatedLocationsfalse в версиях образа. Это свойство также можно задать с помощью allow-replicated-location-deletion Azure CLI.

  {
  "properties": { 
    "publishingProfile": { 
      "targetRegions": [ 
        { 
          "name": "West US", 
          "regionalReplicaCount": 1, 
          "storageAccountType": "Standard_LRS", 
          // encryption info         
        }
      ], 
       "replicaCount": 1, 
       "publishedDate": "2018-01-01T00:00:00Z", 
       "storageAccountType": "Standard_LRS" 
    }, 
    "storageProfile": { 
       "source": { 
         "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Compute/images/{imageName}" 
      }, 
    }, 
    "safetyProfile": { 
       "allowDeletionOfReplicatedLocations" : false 
     }, 
  }, 
  "location": "West US", 
  "name": "1.0.0" 
  } 
  

• Чтобы заблокировать удаление образа до даты окончания поддержки, задайте .BlockDeletionBeforeEndOfLife Эта функция помогает защитить от случайного удаления. Вы задали его с помощью blockdeletionbeforeendoflife REST API.

Поддержка пакета SDK

Следующие пакеты SDK поддерживают создание коллекций:

• .NET
• Java
• Node.js
• Python
• Go

Шаблоны

Ресурсы коллекции вычислений Azure можно создать с помощью шаблонов быстрого запуска:

• Создать коллекцию
• Создание определения образа в галерее
• Создание версии образа в галерее

Связанный контент

• Узнайте, как развертывать образы и приложения виртуальных машин с помощью коллекции вычислений Azure.