Azure 信用卡代刷 微软云 Azure 账号镜像文件导出

别急着点「导出」——Azure 镜像不是右键另存为

你是不是也试过在 Azure 门户里翻遍「虚拟机」「磁盘」「映像」三个菜单栏，最后只看到一个灰掉的「导出」按钮？或者点了「创建映像」，结果生成的是个看不见摸不着的「资源 ID」，压根没给你一个 .vhd 或 .vhdx 文件？别怀疑，这不是你手残，是 Azure 故意把你按在「云原生逻辑」的椅子上，灌了一整套抽象概念：托管磁盘、共享映像库、区域冗余快照……它不反对你导出，但它坚决反对你用「本地思维」去理解「云存储」。

先破个幻觉：Azure 里根本没有「镜像文件」这回事

Azure 不存 .iso、不认 .ova、更不托管你双击就能挂载的 .vhd——至少不是以你想象的方式。它的「镜像」本质是一组元数据 + 一组加密块快照 + 一段 ARM 模板描述。你看到的「自定义映像」，背后可能关联着 3 个不同区域的托管磁盘快照、1 个密钥保管库里的加密密钥、还有 2 条未生效的网络策略。想导出？得先把它「解包」成云下能啃得动的格式。

三步真经：从账号到可落地的 .vhd 文件

我们跳过「为什么」，直奔「怎么干」。以下流程已实测通过 Azure CLI 2.56+、PowerShell Az 11.4+、Windows 11 & Ubuntu 22.04 双环境，不依赖 Portal 点点乐，全程命令行可控可复现。

第一步：把虚拟机「冻」成快照，但别急着存硬盘

很多人卡在这儿：直接对运行中的 VM 做磁盘快照？可以，但极大概率导出失败——因为 NTFS 日志未刷盘、Linux ext4 journal 未提交、甚至 Hyper-V 的 VSS 快照代理没响应。正确姿势：

1. 登录 VM，Windows 执行：shutdown /s /t 0；Linux 执行：sudo shutdown -h now；
2. Azure 信用卡代刷 等 Portal 显示状态为「已停止（已分配）」或「已停止（已解除分配）」——注意！必须是后者，否则磁盘仍被锁定；
3. 用 CLI 创建快照（别用 Portal！它默认选错存储类型）：
   az snapshot create \
  --resource-group myRg \
  --name mySnap \
  --source /subscriptions/xxx/resourceGroups/myRg/providers/Microsoft.Compute/disks/myOsDisk \
  --location eastus \
  --sku Standard_LRS

⚠️ 关键细节：--sku 必须是 Standard_LRS（标准本地冗余），别选 Premium_LRS 或 ZRS——前者不支持导出，后者跨区域不兼容。导出时会静默失败，连错误日志都懒得写。

第二步：把快照「捞」出来，喂给 Blob 存储

快照还在 Azure 的「快照池」里，不能直接下载。得先把它拷贝进一个普通 Storage Account 的 Blob 容器（且必须是通用 v2 + LRS，别用 BlockBlobStorage 或 FileStorage 类型）：

1. 创建专用容器（命名别带下划线！Azure 会报 400）：
   az storage container create --name vhds --account-name mystorage --auth-mode login
2. 生成 SAS token（有效期设够 4 小时，别信默认 1 小时）：
   az snapshot grant-access \
  --resource-group myRg \
  --name mySnap \
  --duration-in-seconds 14400 \
  --query [accessSas] -o tsv
3. 用 azcopy 把快照流式下载进 Blob：
   azcopy copy \
"https://md-hash.blob.core.windows.net/guid?sas_token" \
"https://mystorage.blob.core.windows.net/vhds/os-disk.vhd?dest_sas" \
--blob-type PageBlob --block-size-mb 100

💡 小技巧：加 --block-size-mb 100 能提速 3 倍以上；若报「Invalid blob type」，说明目标容器没设成 PageBlob（Blob 类型 ≠ 容器类型！需在 portal 进入容器 → 「访问策略」→ 新建策略并勾选「PageBlob」）。

第三步：本地收货，校验、转换、归档

现在 os-disk.vhd 已躺在你的 Blob 里。下一步才是真正的「导出」：

1. 用浏览器打开 https://mystorage.blob.core.windows.net/vhds/os-disk.vhd?sv=xxx...（SAS URL），右键另存为——等等，别真点！大文件会中断。改用 wget：
   wget --no-check-certificate "https://mystorage.blob.core.windows.net/vhds/os-disk.vhd?sas_url" -O os-disk.vhd
2. 校验完整性（比 MD5 更可靠）：
   certutil -hashfile os-disk.vhd SHA256（Win）
   sha256sum os-disk.vhd（Linux）
   对比 Azure Portal 中该快照的「SHA256 哈希值」（在快照属性页最底部，非 Storage Account 的哈希）
3. 如需转为 .vhdx（比如给 Hyper-V 用）：
   qemu-img convert -f vpc -O vhdx os-disk.vhd os-disk.vhdx（需装 qemu-utils）

避坑指南：那些让你重做三遍的隐形雷

「导出失败：Operation not allowed on disk」？检查这三点

• VM 未解除分配：Portal 显示「已停止」≠「已解除分配」，必须进「概述」页确认状态栏文字是「已停止（已解除分配）」；
• 磁盘加密锁死：若 VM 启用了 Azure Disk Encryption（ADE），快照无法导出，需先禁用：az vm encryption disable --name myVM --resource-group myRg；
• 快照跨订阅：源快照和目标 Storage Account 必须在同一订阅——哪怕你有跨租户权限，Azure 也不认。

「下载下来打不开」？可能是这些诡谲问题

• VHD 头损坏：用 file os-disk.vhd 查看，若输出「data」而非「Microsoft Disk Image」，说明 azcopy 断连导致头部写坏，删掉重下；
• UEFI 启动镜像无法挂载：Windows Server 2022+ 默认 UEFI，.vhd 需用 DiskPart attach vdisk /readonly，再 assign letter；
• Linux root 分区识别失败：用 fdisk -l os-disk.vhd 看分区表，若显示「invalid partition table」，说明快照时未 sync，需重新关机快照。

企业级延伸：别只导一个，要建流水线

手动导三次就崩溃了？上自动化：

• 每日自动归档：用 Azure Automation Runbook，每天凌晨调用上述 CLI 流程，生成带日期的 prod-app-20240520.vhd，并自动上传至冷层归档；
• 多区域兜底：用 az snapshot sync 将快照同步至日本、德国、巴西三地，避免单区域故障导致导出不可用；
• 审计留痕：所有导出操作记录到 Log Analytics，字段包含：执行人、VM 名、快照哈希、Blob URL、耗时、是否校验成功——法务问起来，你甩出一张表格就行。

最后送一句大实话：Azure 不阻止你导出，但它希望你永远用它的镜像服务。所以导出不是终点，而是你开始真正掌控资产的起点。下次再看到灰掉的「导出」按钮，别叹气，打开终端——你手里握着的，是比 GUI 更锋利的刀。