确保天蓝色VMs上的防恶意软件

Question

我想确保在我们创建的任何新VM上都有一个反恶意代理，并且该代理供应商没有VM扩展，我是否应该从包含反恶意代理的基本VM中创建一个“托管映像”，并从该托管映像创建VM？

它工作得很好，但这是正确的事情，还是有一个更好的方式这样做？

https://docs.microsoft.com/en-us/azure/virtual-machines/windows/capture-image-resource

https://docs.microsoft.com/en-us/azure/virtual-machines/windows/create-vm-generalized-managed

Answer 1

如果没有VM扩展，那么您实际上有两个选项：

1. 使用您提到的自定义映像来预装代理。
2. 在VM中使用DSC或自定义脚本扩展来运行一些PowerShell脚本，或者使用自定义脚本来安装代理

这两种选择都会奏效，您的选择将取决于以下几点：

1. 如果您想管理自定义映像，这是大量的工作来创建新映像时，更新等，如果您这样做的唯一原因是AV代理，那么它可能是不值得的。
2. 部署时，如果您需要您的VM尽快运行，那么使用自定义映像是可行的。使用DSC/Script将在部署时安装代理，这显然会增加启动时间。