Поделиться через

Создание виртуальной машины на основе утвержденной базы

В этой статье описано, как с помощью Azure создать виртуальную машину, содержащую предварительно настроенную и рекомендуемую операционную систему. Если это не совместимо с вашим решением, вы можете создать и настроить локальную виртуальную машину, использующую утвержденную операционную систему.


Примечание.

Перед началом этой процедуры ознакомьтесь с техническими требованиями для предложений виртуальных машин Azure, включая требования к виртуальному жесткому диску (VHD).

Выберите утвержденный базовый образ

Выберите в качестве базы один из следующих образов Windows или Linux.

Виндоус

  • Windows Server
  • SQL Server 2019, 2014, 2012
  • Windows 11 Корпоративная (этот базовый образ утвержден только для использования с Microsoft Dev Box)

Линукс

Azure предлагает широкий диапазон утвержденных дистрибутивов Linux. Текущий список см. в статье Дистрибутивы Linux, рекомендованные для использования в Azure.

Создание виртуальной машины с помощью портала Azure

  1. Войдите на портал Azure.
  2. Выберите Виртуальные машины.
  3. Выберите + Создать и + Виртуальная машина в раскрывающемся меню, чтобы открыть экран Создать виртуальную машину.
  4. Выберите изображение из раскрывающегося списка или выберите "Просмотреть все образы " для поиска или просмотра всех доступных образов виртуальных машин. Вы также можете настроить создание образа виртуальной машины в зависимости от выбранного образа.
  5. Выберите размер виртуальной машины для развертывания.
  6. Укажите другие необходимые сведения для создания виртуальной машины.
  7. Выберите Просмотр и создание, чтобы проверить выбранные параметры. Когда отобразится сообщение Проверка пройдена, выберите Создать.

Azure начнет подготовку указанной вами виртуальной машины. Ход выполнения можно отслеживать, выбрав вкладку Виртуальные машины в меню слева. После завершения создания состояние виртуальной машины изменится на Выполняется.

Настройка виртуальной машины

В этом разделе описано, как задать размер, обновить и подготовить виртуальную машину Azure. Эти шаги нужны для того, чтобы подготовить виртуальную машину к развертыванию в Azure Marketplace.

Подключение к виртуальной машине

Следуйте инструкциям в указанных статьях для подключения к виртуальной машине Windows или Linux.

Установка самых свежих обновлений

Базовые образы виртуальных машин с операционной системой должны содержать последние обновления операционной системы по дату их публикации. Перед публикацией обязательно примените все обновления безопасности и обслуживания для операционной системы и всех установленных служб.

  • В ОС Windows Server для этого следует запустить команду Проверить наличие обновлений.
  • Для дистрибутивов Linux обновления обычно скачиваются и устанавливаются с помощью средства командной строки или графической программы. Например, в Ubuntu Linux для обновления операционной системы есть команда apt-get и средство Менеджер обновления.

Выполнение дополнительных проверок безопасности

Обеспечение высокого уровня безопасности образов решений в Azure Marketplace. Контрольный список конфигураций и процедур безопасности смотрите в Рекомендациях по безопасности для образов Azure Marketplace.

Настройка образа виртуальной машины

Теперь установите необходимое программное обеспечение и внесите изменения пользовательской конфигурации на виртуальной машине для правильной работы решения, включая все запланированные задачи, которые должны выполняться после развертывания. При внесении пользовательских изменений следует учитывать следующее:

  • Если это запланированная задача, которая выполняется один раз, задача должна самостоятельно удалиться после успешного завершения.
  • Конфигурации должны базироваться лишь на дисках C или D, так как всегда гарантируется наличие только этих двух дисков (диск C является диском операционной системы, а диск D — временным локальным диском).
  • Внесите любые изменения технической конфигурации, необходимые для решения. Позже вы пометите конфигурации, которые вы делаете на виртуальной машине, в разделе "Свойства " страницы технической конфигурации в Центре партнеров. Это покажет клиентам, какие сценарии поддерживаются на основе внесенных изменений конфигурации. Выберите из следующих свойств технической конфигурации во время публикации:
    • Поддержка резервного копирования
    • Поддерживает ускоренное сетевое соединение
    • Поддерживает конфигурацию cloud-init
    • Поддержка расширений
    • Является сетевым виртуальным устройством
    • Удаленный рабочий стол или SSH отключены
    • Требуется пользовательский шаблон ARM

Дополнительные сведения о настройке Linux см. в обзоре расширений и компонентов виртуальной машины для Linux.

Обобщите изображение

Все изображения в Azure Marketplace должны использоваться повторно в универсальном режиме. Для достижения этого, виртуальный жесткий диск операционной системы необходимо обобщить. Эта операция удаляет с виртуальной машины все специфические для экземпляра идентификаторы и программные драйверы.

Для Windows

Для обобщения дисков ОС Windows используется средство sysprep. Если вы позднее обновите операционную систему или измените ее конфигурацию, потребуется снова запустить sysprep.

Предупреждение

После запуска sysprep отключите виртуальную машину, пока она не будет развернута, так как обновления могут выполняться автоматически. Это завершение работы не позволит последующим обновлениям вносить в операционную систему или установленные службы изменения, относящиеся к конкретному экземпляру. Дополнительные сведения о запуске sysprep см. в разделе об обобщении виртуальной машины Windows.

Примечание.

Если вы включили Microsoft Defender для облака (Azure Defender) в подписке, где создается виртуальная машина, которую нужно зафиксировать, и не хотите, чтобы какая-либо виртуальная машина, созданная с этого образа, была зарегистрирована в портале Defender для конечной точки, убедитесь, что отключили Microsoft Defender для облака в подписке или для самой виртуальной машины. Если это не отключено, любая виртуальная машина, созданная на основе этого образа, будет зарегистрирована на портале Defender для конечной точки, даже если виртуальная машина развернута в другом клиенте без Microsoft Defender для облака.

Для Linux

  1. Удалите агент Linux для Azure.

    1. Подключитесь к виртуальной машине Linux c помощью клиента SSH.
    2. В окне SSH введите следующую команду: sudo waagent –deprovision+user.
    3. Для продолжения введите Y (можно добавить параметр -force в предыдущую команду, чтобы предотвратить появление запроса на подтверждение).
    4. После выполнения команды введите Exit, чтобы закрыть SSH-клиент.

  2. Если на образе установлен Microsoft Defender для конечной точки (MDE), удалите MDE, выполнив следующие команды в зависимости от ОС образа:

    • RHEL, CentOS и Oracle: sudo yum remove mdatp

    • SLES и варианты: sudo zypper remove mdatp

    • Ubuntu и Debian: sudo apt-get purge mdatp

    • Моряк: sudo dnf remove mdatp

  3. Остановите виртуальную машину.

    1. На портале Azure выберите нужную группу ресурсов (RG) и отмените распределение виртуальной машины.
    2. Ваша виртуальная машина теперь обобщена, и вы можете создать новую виртуальную машину, используя этот диск виртуальной машины.

Захват изображения

Примечание.

Подписка Azure, содержащая Azure Compute Gallery, должна находиться в том же клиенте, что и учетная запись издателя, чтобы можно было публиковать. Кроме того, учетная запись издателя должна иметь по крайней мере доступ уровня участника к подписке, содержащей Галерею вычислений Azure.

Когда виртуальная машина будет готова, ее можно записать в Галерею вычислений Azure (ранее известную как Общая коллекция образов). Выполните следующие действия для записи:

  1. На портале Azure перейдите на страницу вашей виртуальной машины.
  2. Выберите Запись.
  3. В разделе "Опубликовать образ в галерее вычислений Azure" выберите "Да", чтобы опубликовать его в галерее как версию образа.
  4. В разделе Состояние операционной системы выберите "Обобщенная".
  5. Выберите целевую галерею изображений или создайте новую галерею.
  6. Выберите определение целевого образа или создайте новое.
  7. Укажите номер версии для образа.
  8. Выберите Просмотр и создание, чтобы проверить выбранные параметры.
  9. Когда проверка будет пройдена, нажмите кнопку Создать.

Для публикации образов виртуальных машин в Azure Marketplace из галереи вычислений Azure необходимо задать разрешения, чтобы Центр партнеров смог получить образы, размещенные в вашей галерее.

Внимание

Microsoft переводит процесс получения изображений из галереи вычислительных ресурсов на более безопасный. Чтобы продолжить обновление предложений виртуальной машины, убедитесь, что следующие приложения Майкрософт предоставляются для доступа, выполнив следующие действия. Эти действия необходимо выполнить один раз для каждой Compute Gallery, используемой для публикации в Azure Marketplace.

Предварительные условия

Чтобы предоставить разрешение Центра партнеров, необходимо убедиться, что выполнены следующие предварительные требования:

  1. Ваша коллекция "Azure Compute Gallery" должна находиться в том же клиенте Microsoft Entra, который связан с вашей учетной записью в Партнёрском центре.
  2. Вы должны быть Владельцем подписки, в которой присутствует Галерея вычислений.

Совет

Рекомендуется использовать выделенную Compute Gallery в целях публикации в Центре партнеров и предоставлять разрешение только этой выделенной галерее. Вам не нужно предоставлять разрешения на уровне подписки.

Шаг 1. Подготовка субъектов-служб

Сначала необходимо создать служебные принципалы в вашей подписке Azure, для чего необходимо зарегистрировать поставщика ресурсов Microsoft Partner Center (RP). Служебный принципал — это идентификатор, который затем будет использоваться для предоставления Центру партнеров доступа к вашей галерее вычислительных ресурсов для извлечения ваших образов. Этот шаг не предоставляет доступ.

PowerShell
# Connect to your Azure account
Connect-AzAccount

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
Set-AzContext -Subscription <SubscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
Register-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion

# Ensure the Resource Principal is registered successfully.
Get-AzResourceProvider -ProviderNamespace Microsoft.PartnerCenterIngestion
Azure CLI (Интерфейс командной строки для Azure)
# Connect to your Azure account
Az login

# Set the subscription to use in the current session. Use the subscription that contains your Azure Compute Gallery.
az account set --subscription <subscriptionId>

# Register the Microsoft Partner Center Resource Provider (RP). This creates the Service Principals in your tenant. 
az provider register --namespace

# Ensure the Resource Principal is registered successfully.
az provider show --namespace Microsoft.PartnerCenterIngestion

После создания служебных учётных записей им должны быть предоставлены явные права доступа на чтение образов из определенной Галереи вычислений. Центр партнеров находится в процессе перехода на более безопасный процесс получения изображений. Во время этого перехода мы просим временно предоставить доступ к двум приложениям Майкрософт, чтобы вы могли продолжить обновление предложений виртуальной машины.

PowerShell
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
Get-AzGallery -ResourceGroupName <resource-group> -GalleryName <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
Get-AzADServicePrincipal -SearchString "Microsoft Partner Center Resource Provider"

# Create a role assignment to the first Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id1> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
Get-AzADServicePrincipal -SearchString "Compute Image Registry"

# Create a role assignment to the second Microsoft application.
New-AzRoleAssignment -ObjectId <sp-id2> -RoleDefinitionId cf7c76d2-98a3-4358-a134-615aa78bf44d -Scope <gallery-id>
Azure CLI (Интерфейс командной строки для Azure)
# Get the Resource Id of your Azure Compute Gallery. The result is the <gallery-id>.
az sig show --resource-group <resource-group> --gallery-name <gallery-name>

# Get the service principal object Id for the first Microsoft application. The result is the <sp-id1>.
az ad sp list --display-name "Microsoft Partner Center Resource Provider" --query '[].id'

# Create a role assignment to the first Microsoft application.
az role assignment create --assignee-object-id <sp-id1> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>

# Get the service principal for the second Microsoft application. The result is the <sp-id2>.
az ad sp list --display-name "Compute Image Registry" --query '[].id'

# Create a role assignment to the second Microsoft application.
az role assignment create --assignee-object-id <sp-id2> --assignee-principal-type ServicePrincipal --role cf7c76d2-98a3-4358-a134-615aa78bf44d –scope <gallery-id>
Портал Azure
  1. Вход в портал Azure
  2. Перейдите в коллекцию вычислений Azure, содержащую образ виртуальной машины.
  3. Перейдите на вкладку управление доступом в коллекции вычислений Azure.
  4. Выберите Добавить>Добавить назначение ролей.
  5. Выберите роль Читатель изображений в галерее вычислений и нажмите Далее.
  6. Выберите, чтобы назначить доступ пользователю, группе или сервисному принципалу.
  7. Нажмите + Выбрать членов, затем найдите и выберите основные объекты службы «Поставщик ресурсов, Центра партнеров Майкрософт» и «Реестр вычислительных образов». Нажмите кнопку Далее.
  8. Нажмите Рецензирование + Назначение.

Войдите в центр партнеров для публикации образа.

Связанный контент