مشاركة صور الجهاز الظاهري للمعرض عبر مستأجري Azure باستخدام تسجيل تطبيق

باستخدام معارض حوسبة Azure، يمكنك مشاركة صورة إلى مؤسسة أخرى باستخدام تسجيل تطبيق. لمزيد من المعلومات حول خيارات المشاركة الأخرى، راجع مشاركة المعرض.

ولكن، إذا كنت ترغب في مشاركة الصور خارج مستأجر Azure الخاص بك، على نطاق واسع، يجب عليك إنشاء تسجيل تطبيق. قد يؤدي استخدام تسجيل التطبيق إلى تمكين سيناريوهات مشاركة أكثر تعقيداً، مثل:

• إدارة الصور المشتركة عندما تستحوذ إحدى الشركات على شركة أخرى، وتنتشر البنية الأساسية لـ Azure عبر مستأجرين منفصلين.
• يقوم شركاء Azure بإدارة البنية الأساسية لـ Azure نيابة عن عملائهم. يتم تخصيص الصور داخل مستأجر الشركاء، ولكن عمليات توزيع البنية الأساسية ستحدث في مستأجر العميل.

إنشاء تسجيل التطبيق

إنشاء تسجيل تطبيق سيستخدمه كلا المستأجرين لمشاركة موارد معرض الصور.

1. افتح تسجيلات التطبيق في مدخل Microsoft Azure.
2. حدد تسجيل جديد من القائمة الموجودة أعلى الصفحة.
3. في الاسم، اكتب myGalleryApp.
4. في أنواع الحسابات المدعومة، حدد الحسابات في أي دليل تنظيمي (أي دليل Microsoft Entra - متعدد المستأجرين) وحسابات Microsoft الشخصية (مثل Skype وXbox).
5. في عنوان URI لإعادة التوجيه، حدد ويب من القائمة المنسدلة تحديد النظام الأساسي واكتب https://www.microsoft.com، ثم حدد سجل. بعد إنشاء تسجيل التطبيق، سيتم فتح صفحة النظرة العامة.
6. في صفحة النظرة العامة، انسخ معرّف التطبيق (العميل) واحفظه للاستخدام لاحقاً.
7. حدد Certificates & secrets، ثم حدد New client secret.
8. في الوصف، اكتب Gallery cross-tenant app secret.
9. في انتهاء الصلاحية، قم بالتغيير من الافتراضي 6 أشهر (مستحسن) إلى 12 شهراً ثم حدد إضافة.
10. انسخ قيمة البيانات السرية واحفظها في مكان آمن. فلا يمكنك استردادها بعد مغادرة الصفحة.

منح إذن تسجيل التطبيق لاستخدام المعرض.

1. في مدخل Microsoft Azure، حدد Azure Compute Gallery الذي تريد مشاركته مع مستأجر آخر.
2. حدد تحديد التحكم في الوصول (IAM)، وضمن إضافة تعيين دور، حدد إضافة.
3. ضمن Role، حدد Reader.
4. ضمن تعيين الوصول إلى:، اتركه كمستخدم Microsoft Entra أو مجموعة أو كيان خدمة.
5. ضمن تحديد الأعضاء، اكتب myGalleryApp وحدده عند ظهوره في القائمة. بعد الانتهاء، حدد مراجعة + إنشاء.

منح المستأجر 2 حق الوصول

امنح المستأجر 2 حق الوصول إلى التطبيق عن طريق طلب تسجيل الدخول باستخدام مستعرض. استبدل <معرّف المستأجر 2> بمعرّف المستأجر للمستأجر الذي ترغب في مشاركة معرض الصور معه. يمكن للمستخدمين رؤية معرف المستأجر الخاص بهم باستخدام الأمر az account showAzure CLI .

استبدل <معرّف التطبيق (العميل)> بمعرّف التطبيق لتسجيل التطبيق الذي أنشأته. عند الانتهاء من إجراء عمليات البدائل، الصق عنوان URL في مستعرض واتبع مطالبات تسجيل الدخول لتسجيل الدخول إلى المستأجر 2.

https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F 

في مدخل Microsoft Azure، قم بتسجيل الدخول كمستأجر 2 وامنح تسجيل التطبيق حق الوصول إلى مجموعة الموارد حيث تريد إنشاء الجهاز الظاهري.

1. حدد مجموعة الموارد، ثم حدد التحكم في الوصول (IAM). ضمن إضافة تعيين دور حدد إضافة.
2. ضمن الدور، اكتب المساهم.
3. ضمن تعيين الوصول إلى:، اتركه كمستخدم Microsoft Entra أو مجموعة أو كيان خدمة.
4. ضمن تحديد الأعضاء اكتب myGalleryApp ثم حدده عندما يظهر في القائمة. بعد الانتهاء، حدد مراجعة + إنشاء.

إشعار

أنت بحاجة إلى الانتظار حتى ينتهي إصدار الصورة تماماً من الإنشاء والنسخ المتماثلة قبل أن تتمكن من استخدام نفس الصورة المدارة لإنشاء إصدار صورة آخر.

هام

لا يمكنك استخدام المدخل لتوزيع جهاز ظاهري من صورة في مستأجر Azure آخر. لإنشاء جهاز ظاهري من صورة مشتركة بين المستأجرين، يجب عليك استخدام Azure CLI أو PowerShell.

إنشاء جهاز ظاهري

ستحتاج إلى ما يلي قبل إنشاء جهاز ظاهري من صورة مشتركة معك باستخدام تسجيل تطبيق:

• معرفات المستأجر من كل من الاشتراك المصدر والاشتراك حيث تريد إنشاء الجهاز الظاهري.
• معرف العميل لتسجيل التطبيق والسر.
• معرف الصورة للصورة التي تريد استخدامها.

المبادره القطريه

سجل الدخول إلى كيان الخدمة للمستأجر 1 باستخدام appID ومفتاح التطبيق ومعرف المستأجر 1. يمكنك استخدام az account show --query "tenantId" للحصول على معرفات المستأجر إذا لزم الأمر.

في هذا المثال، نعرض كيفية إنشاء جهاز ظاهري من صورة معممة. إذا كنت تستخدم صورة متخصصة، فشاهد إنشاء جهاز ظاهري باستخدام إصدار صورة متخصص.

tenant1='<ID for tenant 1>'
tenant2='<ID for tenant 2>'
appid='<client ID of the app registration>'
secret='<secret from the app registration>'

az account clear
az login --service-principal -u $appid -p $secret --tenant $tenant1
az account get-access-token 

سجل الدخول إلى كيان الخدمة للمستأجر 2 باستخدام appID ومفتاح التطبيق ومعرف المستأجر 2:

az login --service-principal -u $appid -p $secret --tenant $tenant2
az account get-access-token

إنشاء جهاز ظاهري VM. استبدل المعلومات الواردة في المثال بالمثال الخاص بك.

imageid="<ID of the image that you want to use>"
az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image $imageid \
  --admin-username azureuser \
  --generate-ssh-keys

بوويرشيل

سجل الدخول إلى كلا المستأجرين باستخدام معرف التطبيق والسرية ومعرف المستأجر.

$applicationId = '<App ID>'
$secret = <Secret> | ConvertTo-SecureString -AsPlainText -Force
$tenant1 = "<Tenant 1 ID>"
$tenant2 = "<Tenant 2 ID>"
$cred = New-Object -TypeName PSCredential -ArgumentList $applicationId, $secret
Clear-AzContext
Connect-AzAccount -ServicePrincipal -Credential $cred  -Tenant "<Tenant 1 ID>"
Connect-AzAccount -ServicePrincipal -Credential $cred -Tenant "<Tenant 2 ID>"

إنشاء الجهاز الظاهري في مجموعة الموارد التي لديها إذن على تسجيل التطبيق. استبدال المعلومات الموجودة في هذا المثال بمعلوماتك الخاصة.

في هذا المثال، نعرض كيفية إنشاء جهاز ظاهري من صورة معممة. إذا كنت تستخدم صورة متخصصة، فشاهد إنشاء جهاز ظاهري باستخدام إصدار صورة متخصص.

$resourceGroup = "myResourceGroup"
$location = "South Central US"
$vmName = "myVMfromImage"

# Set a variable for the image version in Tenant 1 using the full image ID of the image version
$image = "/subscriptions/<Tenant 1 subscription>/resourceGroups/<Resource group>/providers/Microsoft.Compute/galleries/<Gallery>/images/<Image definition>/versions/<version>"

# Create user object
$cred = Get-Credential -Message "Enter a username and password for the virtual machine."

# Create a resource group
New-AzResourceGroup -Name $resourceGroup -Location $location

# Networking pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name mySubnet -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork -ResourceGroupName $resourceGroup -Location $location `
  -Name MYvNET -AddressPrefix 192.168.0.0/16 -Subnet $subnetConfig
$pip = New-AzPublicIpAddress -ResourceGroupName $resourceGroup -Location $location `
  -Name "mypublicdns$(Get-Random)" -AllocationMethod Static -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig -Name myNetworkSecurityGroupRuleRDP  -Protocol Tcp `
  -Direction Inbound -Priority 1000 -SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * `
  -DestinationPortRange 3389 -Access Allow
$nsg = New-AzNetworkSecurityGroup -ResourceGroupName $resourceGroup -Location $location `
  -Name myNetworkSecurityGroup -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface -Name myNic -ResourceGroupName $resourceGroup -Location $location `
  -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -NetworkSecurityGroupId $nsg.Id

# Create a virtual machine configuration using the $image variable to specify the image
$vmConfig = New-AzVMConfig -VMName $vmName -VMSize Standard_D1_v2 | `
Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
Set-AzVMSourceImage -Id $image | `
Add-AzVMNetworkInterface -Id $nic.Id

# Create a virtual machine
New-AzVM -ResourceGroupName $resourceGroup -Location $location -VM $vmConfig

الخطوات التالية

إذا واجهت أي مشاكل، يمكنك استكشاف أخطاء المعارض وإصلاحها.