Azure CLI中虚拟机安全类型参数的默认值变更解析

背景概述

在Azure云计算平台中，创建虚拟机(VM)和虚拟机规模集(VMSS)时，安全类型(SecurityType)参数是一个关键配置项。近期Azure CLI团队对该参数的默认值处理逻辑进行了调整，引发了关于安全类型参数行为的讨论。

问题核心

Azure CLI中az vm create、az vm update、az vmss create和az vmss update等命令的--security-type参数默认值处理方式发生了变化。原本设计为仅在用户显式设置时才发送Standard值，但实际实现中却将Standard作为了所有不支持TrustedLaunch场景的默认值。

技术细节

1. 参数行为变更：修改后的逻辑导致即使未显式指定--security-type=Standard，对于不支持可信启动(TrustedLaunch)的场景(如Gen1操作系统镜像和Azure计算库镜像)，CLI也会自动发送Standard值给后端API。

2. 兼容性问题：当订阅未启用Microsoft.Compute/UseStandardSecurityType功能标志时，后端API会返回参数无效的错误，提示"securityProfile.securityType is invalid"。

3. 预期行为：技术团队期望CLI仅在用户显式设置--security-type=Standard时才将该值发送给后端API，其他情况下应根据现有逻辑默认为TrustedLaunch或null。

解决方案与最佳实践

1. 显式指定参数：如需使用Standard安全类型，必须确保订阅已注册UseStandardSecurityType功能标志。

2. 功能标志注册：可通过Azure CLI命令注册所需功能标志：

   az feature register --name UseStandardSecurityType --namespace Microsoft.Compute
   az feature show --name UseStandardSecurityType --namespace Microsoft.Compute
   

3. 临时解决方案：在问题修复前，建议用户明确指定所需的安全类型参数，避免依赖默认值。

技术影响分析

这一变更影响了以下几类常见场景：

• 使用第一代(Gen1)操作系统镜像创建虚拟机
• 使用Azure计算库中的自定义镜像
• 需要特定安全配置的合规性场景

未来改进方向

Azure CLI团队计划调整实现逻辑，确保：

• 仅当用户显式设置时才发送Standard值
• 默认情况下保持与可信启动(TrustedLaunch)的兼容性
• 提供更清晰的文档说明功能标志要求

这一改进将有助于提升Azure虚拟机的安全配置体验，同时确保向后兼容性。