Sdílet prostřednictvím

Sdílení imagí virtuálních počítačů galerie napříč tenanty Azure pomocí registrace aplikace

  • Článek

S galeriemi Azure Compute můžete image sdílet s jinou organizací pomocí registrace aplikace. Další informace o dalších možnostech sdílení najdete v galerii Sdílení.

Pokud ale chcete sdílet image mimo vašeho tenanta Azure, měli byste vytvořit registraci aplikace. Použití registrace aplikace umožňuje složitější scénáře sdílení, například:

  • Správa sdílených imagí, když jedna společnost získá jinou a infrastruktura Azure je rozložená mezi samostatné tenanty.
  • Partneři Azure spravují infrastrukturu Azure jménem svých zákazníků. Přizpůsobení imagí se provádí v rámci tenanta partnerů, ale nasazení infrastruktury budou probíhat v tenantovi zákazníka.

Vytvoření registrace aplikace

Vytvořte registraci aplikace, kterou budou používat oba tenanti ke sdílení prostředků galerie imagí.

  1. Otevřete Registrace aplikací na webu Azure Portal.
  2. V nabídce v horní části stránky vyberte Možnost Nová registrace .
  3. Do pole Název zadejte myGalleryApp.
  4. V podporovaných typech účtů vyberte Účty v libovolném organizačním adresáři (libovolný adresář Microsoft Entra – Víceklient) a osobní účty Microsoft (např. Skype, Xbox).
  5. V identifikátoru URI přesměrování vyberte v rozevíracím seznamu Vybrat platformu web a zadejte https://www.microsoft.coma pak vyberte Zaregistrovat. Po vytvoření registrace aplikace se otevře stránka s přehledem.
  6. Na stránce přehledu zkopírujte ID aplikace (klienta) a uložte ho pro pozdější použití.
  7. Vyberte Certifikáty a tajné klíče a pak vyberte Nový tajný klíč klienta.
  8. Do pole Popis zadejte tajný klíč aplikace Galerie napříč tenanty.
  9. V vypršení platnosti změňte výchozí hodnotu 6 měsíců (doporučeno) na 12 měsíců a pak vyberte Přidat.
  10. Zkopírujte hodnotu tajného kódu a uložte ho na bezpečné místo. Po opuštění stránky ho nemůžete načíst.

Udělení oprávnění k registraci aplikace pro použití galerie

  1. Na webu Azure Portal vyberte galerii výpočetních prostředků Azure, kterou chcete sdílet s jiným tenantem.
  2. Vyberte řízení přístupu (IAM) a v části Přidat přiřazení role vyberte Přidat.
  3. V části Role vyberte Čtenář.
  4. V části Přiřadit přístup k:, nechte toto jako uživatel, skupina nebo instanční objekt Microsoft Entra.
  5. V části Vybrat členy zadejte myGalleryApp a vyberte ji, když se zobrazí v seznamu. Až budete hotovi, vyberte Zkontrolovat a přiřadit.

Udělení přístupu tenanta 2

Požádejte tenanta 2 o přístup k aplikaci tím, že požádáte o přihlášení pomocí prohlížeče. Nahraďte <ID> tenanta ID tenanta tenanta, se kterým chcete galerii obrázků sdílet. Uživatelé můžou zobrazit ID tenanta pomocí příkazu az account showAzure CLI .

Nahraďte <ID> aplikace (klienta) ID aplikace ID aplikace, kterou jste vytvořili. Po dokončení nahrazení vložte adresu URL do prohlížeče a postupujte podle pokynů pro přihlášení k tenantovi 2.

https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F

Na webu Azure Portal se přihlaste jako tenant 2 a udělte registraci aplikace skupině prostředků, ve které chcete vytvořit virtuální počítač.

  1. Vyberte skupinu prostředků a pak vyberte Řízení přístupu (IAM). V části Přidat přiřazení role vyberte Přidat.
  2. V části Role zadejte Přispěvatel.
  3. V části Přiřadit přístup k:, nechte toto jako uživatel, skupina nebo instanční objekt Microsoft Entra.
  4. V části Vybrat členy zadejte myGalleryApp a pak ho vyberte, když se zobrazí v seznamu. Až budete hotovi, vyberte Zkontrolovat a přiřadit.

Poznámka:

Než budete moct použít stejnou spravovanou image k vytvoření jiné verze image, musíte počkat, až se verze image úplně dokončí a replikuje.

Důležité

Pomocí portálu nemůžete nasadit virtuální počítač z image v jiném tenantovi Azure. Pokud chcete vytvořit virtuální počítač z image sdílené mezi tenanty, musíte použít Azure CLI nebo PowerShell.

Vytvoření virtuálního počítače

Před vytvořením virtuálního počítače z image sdílené s vámi pomocí registrace aplikace budete potřebovat následující:

  • ID tenanta ze zdrojového předplatného i předplatného, ve kterém chcete virtuální počítač vytvořit.
  • ID klienta registrace aplikace a tajný klíč.
  • ID image obrázku, který chcete použít.

Přihlaste se k instančnímu objektu pro tenanta 1 pomocí appID, klíče aplikace a ID tenanta 1. ID tenanta můžete az account show --query "tenantId" získat v případě potřeby.

V tomto příkladu ukazujeme, jak vytvořit virtuální počítač z generalizované image. Pokud používáte specializovanou image, přečtěte si téma Vytvoření virtuálního počítače pomocí specializované verze image.


tenant1='<ID for tenant 1>'
tenant2='<ID for tenant 2>'
appid='<client ID of the app registration>'
secret='<secret from the app registration>'

az account clear
az login --service-principal -u $appid -p $secret --tenant $tenant1
az account get-access-token

Přihlaste se k instančnímu objektu pro tenanta 2 pomocí appID, klíče aplikace a ID tenanta 2:

az login --service-principal -u $appid -p $secret --tenant $tenant2
az account get-access-token

Vytvořte virtuální počítač. Nahraďte informace v příkladu vlastními.

imageid="<ID of the image that you want to use>"
az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image $imageid \
  --admin-username azureuser \
  --generate-ssh-keys