Поделиться через

Хранение и предоставление общего доступа к ресурсам в коллекции вычислений Azure

Применимо к: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows ✔️ Универсальные масштабируемые наборы

Коллекция вычислений Azure помогает создавать структуру и организацию вокруг ресурсов Azure, таких как изображения и приложения. Коллекция вычислений предоставляет:

  • Глобальная репликация.1
  • Управление версиями и группировка ресурсов для более эффективного администрирования.
  • Высокодоступные ресурсы с учетными записями хранилища с избыточностью между зонами (ZRS) в регионах, поддерживающих зоны доступности. ZRS обеспечивает устойчивость к зональным сбоям.
  • Поддержка хранилища класса Premium с локальным избыточным хранилищем (LRS).
  • Общий доступ к сообществу, между подписками и между клиентами Active Directory.
  • Масштабирование развертываний с репликацией ресурсов в каждом регионе.

С помощью коллекции вы можете поделиться своими ресурсами со всеми пользователями. Кроме того, вы можете ограничить общий доступ определенным пользователям, субъектам-службам или группам Active Directory в организации. Вы можете реплицировать ресурсы в несколько регионов, чтобы ускорить масштабирование развертываний.

1 Служба коллекции вычислений Azure не является глобальным ресурсом. Для сценариев аварийного восстановления рекомендуется иметь по крайней мере две коллекции в отдельных регионах.

Изображения

Дополнительные сведения о хранении образов в коллекции вычислений Azure см. в разделе "Магазин и совместное использование образов в коллекции вычислений Azure".

Приложения виртуальной машины

Хотя вы можете создать образ виртуальной машины с предварительно установленными приложениями, необходимо обновлять образ при каждом изменении приложения. Разделение установки приложения от образов виртуальных машин означает, что не нужно публиковать новый образ для каждой строки изменения кода.

Дополнительные сведения о хранении приложений в коллекции вычислений Azure см. в разделе "Приложения виртуальных машин".

Региональная поддержка

Все общедоступные регионы могут быть целевыми, но некоторые регионы требуют, чтобы клиенты проходили процесс запроса для получения доступа. Чтобы запросить добавление подписки в список разрешений для такого региона, как Центральная Австралия или Центральная Австралия 2, отправьте запрос на доступ.

Ограничения

Следующие ограничения применяются при развертывании ресурсов с помощью коллекции вычислений Azure.

  • В каждой подписке может быть не более 100 коллекций.
  • В каждой подписке может быть не более 1000 определений изображений.
  • В каждой подписке может быть не более 10 000 версий образов.
  • У вас может быть не более 100 реплик на версию образа. Однако для большинства вариантов использования должно быть достаточно 50 реплик.
  • Размер изображения должен быть меньше 2 ТБ, но можно использовать неглубокую репликацию для поддержки больших размеров изображений (до 32 ТБ).
  • Перемещение ресурсов не поддерживается для ресурсов коллекции вычислений Azure.

Дополнительные сведения и примеры проверки текущего использования см. в разделе "Проверка использования ресурсов в отношении ограничений".

Масштабирование

Коллекция вычислений Azure позволяет указать количество реплик, которые требуется сохранить. В сценариях развертывания с несколькими виртуальными машинами можно распространить развертывания виртуальных машин на другие реплики. Это действие снижает вероятность того, что перегрузка одной реплики регулирует процесс создания экземпляра.

С помощью коллекции вычислений можно развернуть до 1000 экземпляров виртуальных машин в масштабируемом наборе. Для каждого целевого региона можно установить собственное число реплик в зависимости от потребностей данного региона в плане масштабирования. Так как каждая реплика является копией ресурса, этот подход помогает линейно масштабировать развертывания с каждой дополнительной репликой.

Хотя мы понимаем, что два ресурса или регионы одинаковы, ниже приведены общие рекомендации по использованию реплик в регионе:

  • Для каждой 50 виртуальных машин, создаваемых одновременно, рекомендуется сохранить одну реплику. Например, если вы одновременно создаете 500 виртуальных машин с помощью одного образа в регионе, рекомендуется сохранить не менее 10 реплик образа.
  • Для каждого создаваемого масштабируемого набора рекомендуется сохранить одну реплику.

Мы всегда рекомендуем перепродать количество реплик из-за таких факторов, как размер ресурса, содержимое и тип ОС.

Схема, показывающая, как можно масштабировать изображения.

Высокая доступность

Azure ZRS обеспечивает устойчивость к сбою зоны доступности в регионе. Общедоступная коллекция вычислений Azure позволяет хранить образы в учетных записях ZRS в регионах с зонами доступности.

Вы также можете выбрать тип учетной записи для каждого целевого региона. Тип учетной записи хранения по умолчанию — Standard LRS, но для регионов с зонами доступности можно выбрать стандартный ZRS. Дополнительные сведения о региональной доступности ZRS см. в статье о избыточности службы хранилища Azure.

Схема, показывающая хранилище, избыточное между зонами.

Репликация

Коллекция вычислений Azure также позволяет автоматически реплицировать ресурсы в других регионах Azure. Вы можете реплицировать каждую версию образа в разные регионы в зависимости от того, что имеет смысл для вашей организации. Одним из примеров является всегда репликация последнего образа в нескольких регионах, а все старые версии образов доступны только в одном регионе. Этот подход поможет сэкономить затраты на хранение.

После создания можно обновить регионы, в которые реплицируется ресурс. Время репликации в другие регионы зависит от объема копируемых данных и количества регионов, в которые реплицируется версия. Этот процесс может занять несколько часов в некоторых случаях.

Во время репликации можно просмотреть его состояние в каждом регионе. После завершения репликации образа в регионе можно развернуть виртуальную машину или масштабируемый набор с помощью этого ресурса в регионе.

Схема, показывющая репликацию изображения в разных регионах.

Проверка доверенного запуска для образов коллекции вычислений Azure сейчас доступна в предварительной версии. Эта предварительная версия предназначена только для тестирования, оценки и обратной связи. Мы не рекомендуем использовать ее при нагрузках, обычных для рабочих средах.

При регистрации для предварительной версии вы соглашаетесь с дополнительными условиями использования. Некоторые аспекты этой функции могут измениться с общедоступной доступностью.

Что меняется

Начиная с API 2025-03-03, все новые определения образов коллекции вычислений по умолчанию:

  • hyperVGeneration: V2
  • SecurityType: TrustedLaunchSupported

Как работает проверка доверенного запуска

При указании TrustedLaunchSupported или TrustedLaunchandConfidentialVMSupported определении образа коллекции вычислений платформа автоматически проверяет, поддерживает ли образ доверенным запуском. Платформа добавляет результат проверки в свойство версии образа. Это действие гарантирует, что развертывания виртуальной машины и масштабируемого набора, использующие эти образы, по умолчанию могут выполнять доверенный запуск, если проверка выполнена успешно.

Включение предварительной версии

Чтобы проверить проверку доверенного запуска для образов коллекции вычислений, выполните следующие действия.

  1. Зарегистрируйтесь для доверенного запуска в качестве функции по умолчанию.
  2. Зарегистрируйтесь для предварительной версии проверки доверенного запуска.

После включения двух функций все новые развертывания виртуальных машин и масштабируемых наборов, использующие версии образов коллекции вычислений, и которые успешно проверены для доверенного запуска по умолчанию для типа безопасности доверенного запуска.

В следующих разделах сравниваются текущие и новые поведения развертываний виртуальных машин из образов коллекции вычислений в зависимости от проверки доверенного запуска.

Текущее поведение без проверки доверенного запуска

Чтобы создать поддерживаемое доверенным запуском определение образа ОС 2-го поколения для коллекции вычислений, необходимо добавить следующий features элемент в развертывание:

"features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchSupported"
    }
],
"hyperVGeneration": "V2"

Новое поведение при проверке "доверенного запуска"

TrustedLaunchSupported Включен по умолчанию для новых определений образов коллекции вычислений, если развертывание соответствует любому из следующих критериев:

  • Использование API версии 2025-03-03 или более поздней для Microsoft.Compute/galleries ресурса
  • Отсутствие SecurityType функции
  • null Значение функции SecurityType

Кроме того, платформа Azure активирует проверку образа ОС, чтобы обеспечить поддержку надежных возможностей запуска. Проверка занимает не менее одного часа. Результаты доступны в качестве свойства версии образа:

"validationsProfile": {
  "executedValidations": [
      {
        "type": "TrustedLaunch",
        "status": "Succeeded",
        "version": "0.0.2",
        "executionTime": "2025-07-10T21:27:33.0113984+00:00"
      }
    ],
}

Вы можете явным образом обойти значения по умолчанию для новых определений изображений коллекции вычислений, задав Standard значение в SecurityType разделе :features

"features": [
    {
      "name": "SecurityType",
      "value": "Standard"
    }
],
"hyperVGeneration": "V2"

Совместное использование

Существует три основных способа совместного использования образов в коллекции вычислений Azure в зависимости от того, с какими пользователями вы хотите предоставить общий доступ:

Совместное использование: Люди Группы Принципал службы Все пользователи в определенной подписке или клиенте Общедоступный доступ ко всем пользователям в Azure
Общий доступ на основе ролей (RBAC) Да Да Да No No
RBAC + прямая общая коллекция Да Да Да Да No
RBAC + коллекция сообщества Да Да Да No Да

Примечание.

Образы можно использовать с разрешениями на чтение для развертывания виртуальных машин и дисков.

При использовании прямой общей коллекции образы распределяются широко всем пользователям в подписке или клиенте. Коллекция сообщества распространяет изображения публично. При совместном использовании изображений, содержащих интеллектуальную собственность, используйте осторожность, чтобы предотвратить широкое распространение.

RBAC

Так как коллекция, определение и версия являются всеми ресурсами, их можно совместно использовать с помощью встроенных ролей Azure RBAC. С помощью ролей Azure RBAC эти ресурсы можно совместно использовать с другими пользователями, субъектами-службами и группами. Вы даже можете совместно использовать доступ с отдельными лицами за пределами клиента, где вы создали ресурсы.

После того как пользователи имеют доступ к версии ресурса, они могут использовать его для развертывания виртуальной машины или масштабируемого набора виртуальных машин. Ниже приведена матрица общего доступа, которая поможет понять, к чему пользователи получают доступ:

Общий доступ пользователям Коллекция вычислений Определение изображения Версия образа
Коллекция вычислений Да Да Да
Определение изображения No Да Да

Мы рекомендуем предоставлять общий доступ на уровне коллекции для лучшего взаимодействия. Предоставлять доступ к отдельным версиям образов не рекомендуется. Дополнительные сведения о Azure RBAC см. в статье "Назначение ролей Azure и общий доступ с помощью RBAC".

Прямой доступ к клиенту или подписке

Вы можете предоставить определенным подпискам или клиентам доступ к прямой общей коллекции. Совместное использование коллекции с арендаторами и подписками предоставляет им доступ к коллекции только для чтения. Дополнительные сведения см. в статье "Предоставление общего доступа ко всем пользователям в подписке или клиенте".

Важные замечания

  • Функция прямых общих коллекций в настоящее время находится в предварительной версии и имеет условия предварительной версии для коллекции вычислений Azure.

  • Чтобы опубликовать изображения в прямой общей коллекции во время предварительной версии, необходимо зарегистрировать для предварительной версии. Создавать виртуальные машины из коллекции, к которой предоставлен прямой доступ, могут все пользователи Azure.

  • Во время предварительной версии необходимо создать новую коллекцию с заданным GroupsсвойствомsharingProfile.permissions. При использовании Azure CLI для создания коллекции используйте --permissions groups этот параметр. Вы не можете использовать существующую коллекцию, а свойство в настоящее время не может быть обновлено.

  • В настоящее время нельзя создать гибкий масштабируемый набор виртуальных машин из образа, совместного с вами другого клиента.

Ограничения

На этапе предварительной версии:

  • Вы можете совместно использовать только подписки, которые также находятся в предварительной версии.

  • Вы можете предоставить общий доступ до 30 подписок и 5 клиентов.

  • Коллекция, к которой предоставлен прямой доступ, не может содержать зашифрованные версии образа.

  • Только владелец подписки, пользователь или субъект-служба, назначенный роли администратора общего доступа к коллекции вычислений на уровне подписки или коллекции, может включить общий доступ на основе групп.

Чтобы предоставить общий доступ ко всем пользователям Azure, можно создать коллекцию сообщества. Любой пользователь, у которого есть подписка Azure, может использовать коллекции сообщества. Пользователь, создающий виртуальную машину, может просматривать образы, предоставляемые сообществом, с помощью портала Azure, REST API или Azure CLI. Совместное использование образов для сообщества — это новая возможность в коллекции вычислений.

Вы можете сделать коллекции образов общедоступными и поделиться ими с клиентами Azure. Когда коллекция помечена как коллекция сообщества, все изображения в ней становятся доступными всем клиентам Azure в качестве нового типа ресурсов в разделе Microsoft.Compute/communityGalleries. Клиенты Azure могут просматривать коллекции и использовать их для создания виртуальных машин. Исходные ресурсы типа Microsoft.Compute/galleries по-прежнему находятся под подпиской и частными.

Дополнительные сведения см. в разделе "Общий доступ к изображениям" с помощью коллекции сообщества.

Журнал действий

В журнале действий отображаются последние действия в коллекции, образе или версии. Эти сведения включают любые изменения конфигурации и при создании и удалении элемента.

Вы можете просмотреть журнал действий на портале Azure или создать параметр диагностики для отправки журнала в рабочую область Log Analytics. В рабочей области можно просматривать события с течением времени или анализировать их с другими собранными данными.

В следующей таблице приведено несколько примеров операций, которые связаны с коллекцией и регистрируются в журнале действий. Полный список возможных записей журнала см. в параметрах поставщика ресурсов Microsoft.Compute.

Операция Description
Microsoft.Compute/galleries/write Создает новую коллекцию или обновляет существующую.
Microsoft.Compute/galleries/delete Удаляет коллекцию
Microsoft.Compute/galleries/share/action Общий доступ к коллекции с различными областями
Microsoft.Compute/galleries/images/read Возвращает свойства образа коллекции
Microsoft.Compute/galleries/images/write Создает новый образ коллекции или обновляет существующий.
Microsoft.Compute/galleries/images/versions/read Возвращает свойства версии образа коллекции

Выставление счетов

Плата за использование службы коллекции вычислений Azure не взимается. Однако плата взимается за следующие ресурсы:

  • Затраты на хранение для каждой реплики. Для изображений плата за хранение взимается как моментальный снимок. Он основан на занятом размере версии образа, количестве реплик версии образа и количестве регионов, в которых реплицируется версия.
  • Плата за исходящий трафик для репликации первой версии ресурса из исходного региона в реплицируемые. Обработка последующих реплик ведется в пределах одного региона, поэтому дополнительные расходы при этом не возникают.

Например, предположим:

  • У вас есть образ диска ОС размером 127 ГБ, который занимает только 10 ГБ хранилища, и у вас есть один пустой диск данных размером 32 ГБ. Размер каждого изображения составит всего 10 ГБ.
  • Изображение реплицируется в три региона, и каждый регион имеет две реплики. Существует шесть общих моментальных снимков, каждый из которых использует 10 ГБ.

В этом примере взимается плата за стоимость хранения каждого моментального снимка на основе занятого размера 10 ГБ. Плата за исходящий трафик сети взимается за копирование первой реплики в дополнительные два региона.

Дополнительные сведения о ценах на моментальные снимки в каждом регионе см. на странице Цены на управляемые диски. Дополнительные сведения об исходящем трафике сети см. на странице Сведения о стоимости пропускной способности.

Рекомендации

  • Чтобы предотвратить случайное удаление изображений, используйте блокировки ресурсов на уровне коллекции. Дополнительные сведения см. в статье "Блокировка ресурсов Azure для защиты инфраструктуры".

  • Используйте ZRS везде, где оно доступно, для обеспечения высокой доступности. Вы можете настроить ZRS на вкладке репликации при создании версии образа или приложения виртуальной машины. Сведения о том, какие регионы поддерживают ZRS, см. в списке регионов Azure.

  • Не менее трех реплик для рабочих образов. Для каждой 20 виртуальных машин, создаваемых одновременно, рекомендуется сохранить одну реплику.

    Например, при одновременном создании 1000 виртуальных машин следует хранить 50 реплик. (В каждом регионе может быть не более 50 реплик.) Чтобы обновить количество реплик, перейдите в коллекцию и выберитерепликацию обновленияверсии> образа определения> изображения.

  • Сохраняйте отдельные коллекции для рабочих и тестовых образов. Не помещайте оба типа изображений в одну коллекцию.

  • Для сценариев аварийного восстановления есть по крайней мере две коллекции в отдельных регионах. Вы по-прежнему можете использовать версии образов в других регионах, но если регион для одной коллекции выходит из строя, вы не можете создать новые ресурсы коллекции или обновить существующие.

  • При создании определения образа сохраните значения издателя, предложения и номера SKU в соответствии с образами Azure Marketplace, чтобы легко определить версии ОС.

    Например, если вы настраиваете образ Windows Server 2019 из Azure Marketplace и храните его как образ коллекции вычислений, используйте те же значения издателя, предложения и номера SKU , которые вы использовали в образе Azure Marketplace.

  • Если вы хотите исключить определенную версию образа во время создания виртуальной машины или масштабируемого набора, используйте excludeFromLatest при публикации образов. См. статью "Версии образов коллекции" — создание или обновление.

  • Если вы хотите исключить версию в определенном регионе, используйте regionalExcludeFromLatest вместо глобального флага excludeFromLatest. Вы можете задать как глобальный, так и региональный excludeFromLatest флаг, но региональный флаг имеет приоритет.

      "publishingProfile": {
    "targetRegions": [
      {
        "name": "brazilsouth",
        "regionalReplicaCount": 1,
        "regionalExcludeFromLatest": false,
        "storageAccountType": "Standard_LRS"
      },
      {
        "name": "canadacentral",
        "regionalReplicaCount": 1,
        "regionalExcludeFromLatest": true,
        "storageAccountType": "Standard_LRS"
      }
    ],
    "replicaCount": 1,
    "excludeFromLatest": true,
    "storageAccountType": "Standard_LRS"
  }

  • Чтобы предотвратить случайное удаление реплицированных регионов и предотвратить сбои, установите значение safetyProfile.allowDeletionOfReplicatedLocationsfalse в версиях образа. Это свойство также можно задать с помощью allow-replicated-location-deletion Azure CLI.

    {
"properties": { 
  "publishingProfile": { 
    "targetRegions": [ 
      { 
        "name": "West US", 
        "regionalReplicaCount": 1, 
        "storageAccountType": "Standard_LRS", 
        // encryption info         
      }
    ], 
     "replicaCount": 1, 
     "publishedDate": "2018-01-01T00:00:00Z", 
     "storageAccountType": "Standard_LRS" 
  }, 
  "storageProfile": { 
     "source": { 
       "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Compute/images/{imageName}" 
    }, 
  }, 
  "safetyProfile": { 
     "allowDeletionOfReplicatedLocations" : false 
   }, 
}, 
"location": "West US", 
"name": "1.0.0" 
}

  • Чтобы заблокировать удаление образа до даты окончания поддержки, задайте .BlockDeletionBeforeEndOfLife Эта функция помогает защитить от случайного удаления. Вы задали его с помощью blockdeletionbeforeendoflife REST API.

Поддержка пакета SDK

Следующие пакеты SDK поддерживают создание коллекций:

Шаблоны

Ресурсы коллекции вычислений Azure можно создать с помощью шаблонов быстрого запуска:

Связанный контент

  • Last updated on