Freigeben eines Katalogs für alle Benutzer*innen in einem Abonnement oder Mandanten (Vorschau)

In diesem Artikel wird erläutert, wie Sie eine Azure Compute Gallery-Instanz mithilfe eines direkt freigegebenen Katalogs für bestimmte Abonnements oder Mandanten freigeben. Wenn Sie einen Katalog für Mandanten und Abonnements freigeben, haben diese schreibgeschützten Zugriff auf Ihren Katalog.

Wichtig

„Azure Compute Gallery – direkt freigegebener Katalog“ befindet sich derzeit in der Vorschauphase und unterliegt den Vorschaubedingungen für Azure Compute Gallery.

Um Images während der Vorschau in einem direkt freigegebenen Katalog zu veröffentlichen, müssen Sie sich bei https://aka.ms/directsharedgallery-preview registrieren. Bitte senden Sie das Formular, und geben Sie Ihren Geschäftsfall an. Es ist kein zusätzlicher Zugriff erforderlich, um Images zu nutzen. Das Erstellen von VMs aus einem direkten freigegebenen Katalog ist für alle Azure-Benutzer im Zielabonnement oder -mandanten möglich, für die der Katalog freigegeben ist. In den meisten Szenarien reicht die RBAC/mandantenübergreifende Freigabe mithilfe des Dienstprinzipals aus, um Kunden zu ermutigen, die RBAC-Freigabe zu nutzen. Fordern Sie nur Zugriff auf die Funktion „Direkt freigegebener Katalog“ an, wenn Sie Bilder für alle Benutzer im Abonnement/Mandanten freigeben möchten und wenn Ihr Geschäftsfall Zugriff auf den direkten freigegebenen Katalog erfordert.

Während der Vorschau müssen Sie einen neuen Katalog erstellen, bei dem die Eigenschaft sharingProfile.permissions auf Groups festgelegt ist. Wenn Sie zum Erstellen eines Katalogs die CLI nutzen, verwenden Sie den Parameter --permissions groups. Sie können keinen vorhandenen Katalog verwenden, die Eigenschaft kann zurzeit nicht aktualisiert werden.

Hinweis

Bitte beachten Sie, dass Images mit Leserechten für die Bereitstellung von virtuellen VMs und Datenträgern verwendet werden können.

Wenn Sie den direkten gemeinsamen Katalog verwenden, werden die Bilder an alle Benutzer*innen eines Abonnements/Mandanten verteilt, während der Communitykatalog die Bilder öffentlich verteilt. Beim Teilen von Bildern, die geistiges Eigentum enthalten, sollten Sie vorsichtig sein, um eine weite Verbreitung zu verhindern.

Es gibt drei Hauptmethoden zum Freigeben von Images in einer Azure Compute Gallery-Instanz, je nachdem, für wen Sie sie freigeben möchten:

Freigeben für:	Personen	Gruppen	Dienstprinzipal	Alle Benutzer in einem bestimmten Abonnement (oder) Mandanten	Öffentlich für alle Benutzer in Azure
RBAC-Freigabe	Ja	Ja	Ja	Nein	Nein
RBAC + direkt freigegebener Katalog	Ja	Ja	Ja	Ja	Nein
RBAC + Communitykatalog	Ja	Ja	Ja	Keine	Ja

Einschränkungen

Während der Vorschau:

• Die Freigabe ist nur für 30 Abonnements und 5 Mandanten möglich.
• Nur Images können freigegeben werden. Sie können eine VM-Anwendung während der Vorschau nicht direkt freigeben.
• Ein direkt freigegebener Katalog darf keine verschlüsselten Imageversionen enthalten. Verschlüsselte Images können nicht in einem Katalog erstellt werden, der direkt freigegeben wird.
• Nur der Besitzer eines Abonnements bzw. ein Benutzer oder ein Dienstprinzipal, dem die Compute Gallery Sharing Admin-Rolle auf Abonnement- oder Katalogebene zugewiesen wurde, kann die gruppenbasierte Freigabe aktivieren.
• Sie müssen einen neuen Katalog erstellen, bei dem die Eigenschaft sharingProfile.permissions auf Groups festgelegt ist. Wenn Sie zum Erstellen eines Katalogs die CLI nutzen, verwenden Sie den Parameter --permissions groups. Sie können keinen vorhandenen Katalog verwenden, die Eigenschaft kann zurzeit nicht aktualisiert werden.
• PowerShell, Ansible und Terraform werden derzeit nicht unterstützt.
• Die Region der Imageversion im Katalog sollte dieselbe sein wie die Heimatregion. Das Erstellen einer regionsübergreifenden Version, bei der die Heimatregion eine andere ist als im Katalog, wird nicht unterstützt. Sobald sich das Image jedoch in der Heimatregion befindet, kann es in andere Regionen repliziert werden.
• In Government-Clouds nicht verfügbar
• Um direkt freigegebene Images im Zielabonnement zu verwenden, können Sie direkt freigegebene Images nur über das Blatt zur Erstellung von VM/VMSS finden.
• Bekanntes Problem: Wenn Sie beim Erstellen einer VM über einen direkt freigegebenen Katalog im Azure-Portal eine Region und ein Image auswählen und dann die Region ändern, erhalten Sie eine Fehlermeldung: „Sie können die VM nur in den Replikationsregionen für dieses Image erstellen“. Diese Fehlermeldung wird selbst dann angezeigt, wenn das Image in dieser Region repliziert wird. Um diesen Fehler zu beheben, wählen Sie eine andere Region aus und wechseln dann zurück zur gewünschten Region. Wenn das Image verfügbar ist, sollte die Fehlermeldung geschlossen werden.

Voraussetzungen

Sie müssen einen neuen direkt freigegebenen Katalog erstellen. Bei einem direkt freigegebenen Katalog ist die Eigenschaft sharingProfile.permissions auf Groups festgelegt. Wenn Sie zum Erstellen eines Katalogs die CLI nutzen, verwenden Sie den Parameter --permissions groups. Sie können keinen vorhandenen Katalog verwenden, die Eigenschaft kann zurzeit nicht aktualisiert werden.

Funktionsweise der Freigabe mit einem direkt freigegebenen Katalog

Sie erstellen zunächst einen Katalog unter Microsoft.Compute/Galleries, und wählen groups als Freigabeoption aus.

Wenn Sie bereit sind, geben Sie Ihren Katalog für Abonnements und Mandanten frei. Nur der Besitzer eines Abonnements bzw. ein Benutzer oder ein Dienstprinzipal, dem die Compute Gallery Sharing Admin-Rolle auf Abonnement- oder Katalogebene zugewiesen wurde, kann den Katalog freigeben. Zu diesem Zeitpunkt erstellt die Azure-Infrastruktur regionale schreibgeschützte Proxyressourcen unter Microsoft.Compute/SharedGalleries. Nur Abonnements und Mandanten, für die eine Freigabe erfolgt ist, können mit den Proxyressourcen interagieren, sie interagieren niemals mit Ihren privaten Ressourcen. Als Herausgeber der privaten Ressource sollten Sie die private Ressource als Handle für die öffentlichen Proxyressourcen betrachten. Die Abonnements und Mandanten, für die Sie Ihren Katalog freigegeben haben, sehen den Katalognamen als Abonnement-ID, unter der der Katalog erstellt wurde, gefolgt vom Katalognamen.

Portal

Hinweis

Bekanntes Problem: Wenn die Meldung „Fehler beim Aktualisieren von Azure Compute Gallery“ angezeigt wird, vergewissern Sie sich im Azure-Portal, dass Sie für den Katalog über Besitzerberechtigungen oder über Administratorberechtigungen zum Freigeben von Computekatalogen verfügen.

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie im Suchfeld Azure Compute Gallery ein, und wählen Sie in den Ergebnissen Azure Compute Gallery aus.

3. Klicken Sie auf der Seite Azure Compute Gallery auf Hinzufügen.

4. Wählen Sie auf der Seite Azure Compute Gallery-Instanz erstellen das richtige Abonnement aus.

5. Vervollständigen Sie alle Angaben auf der Seite.

6. Wählen Sie unten auf der Seite Weiter: Freigabemethode aus.

7. Wählen Sie auf der Registerkarte FreigabeRBAC + direkte Freigabe aus.

   

8. Wählen Sie abschließend Überprüfen + Erstellen aus.

9. Wenn die Überprüfung erfolgreich war, wählen Sie Erstellen aus.

10. Wählen Sie nach Abschluss der Bereitstellung die Option Zu Ressourcengruppe wechseln.

So geben Sie den Katalog frei

1. Wählen Sie auf der Seite für den Katalog die Option Freigabe im linken Menü aus.

2. Wählen Sie unter Einstellungen für die direkte Freigabe die Option Hinzufügen aus.

   

3. Wählen Sie für die Freigabe für eine Person innerhalb Ihrer Organisation unter Typ die Option Abonnement oder Mandant und dann in der Dropdownliste Mandanten und Abonnements den entsprechenden Eintrag aus. Wählen Sie für die Freigabe für eine Person außerhalb Ihrer Organisation entweder Abonnement außerhalb meiner Organisation oder Mandant außerhalb meiner Organisation aus, und fügen oder geben Sie dann die ID in das Textfeld ein.

   Wenn ein Katalog für den Mandanten freigegeben wird, erhalten alle Abonnements innerhalb des Mandanten Zugriff auf das Image und müssen es nicht für einzelne Abonnements im Mandanten freigeben.

4. Wenn Sie mit dem Hinzufügen von Elementen fertig sind, wählen Sie Speichern aus.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Um einen direkt freigegebenen Katalog zu erstellen, müssen Sie den Katalog mit dem Parameter --permissions erstellen und ihn auf groups festlegen.

az sig create \
   --gallery-name myGallery \
   --permissions groups \
   --resource-group myResourceGroup  

Um mit der Freigabe des Katalogs für ein Abonnement oder einen Mandanten zu beginnen, verwenden Sie az sig share add.

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>
az sig share add \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

Entfernen Sie den Zugriff für ein Abonnement oder einen Mandanten mithilfe von az sig share remove.

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>

az sig share remove \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

REST

Erstellen Sie einen Katalog für die Freigabe auf Abonnement- oder Mandantenebene mithilfe der REST-API von Azure:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{gallery-name}?api-version=2020-09-30

{
	"properties": {
		"sharingProfile": {
			"permissions": "Groups"
		}
	},
	"location": "{location}
}
 

Geben Sie einen Katalog für ein Abonnement oder einen Mandant frei:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
  "operationType": "Add",
  "groups": [
    {
      "type": "Subscriptions",
      "ids": [
        "{SubscriptionID}"
      ]
    },
    {
      "type": "AADTenants",
      "ids": [
        "{tenantID}"
      ]
    }
  ]
}

Entfernen Sie den Zugriff für ein Abonnement oder einen Mandanten:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
	"operationType": "Remove",
	"groups":[ 
		{
			"type": "Subscriptions",
			"ids": [
				"{subscriptionId1}",
				"{subscriptionId2}"
			],
},
{
			"type": "AADTenants",
			"ids": [
				"{tenantId1}",
				"{tenantId2}"
			]
		}
	]
}

Setzen Sie die Freigabe zurück, um alle Angaben in sharingProfile zu löschen:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30 

{ 
 "operationType" : "Reset", 
} 

Nächste Schritte

• Erstellen Sie eine Imagedefinition und eine Imageversion.
• Erstellen Sie eine VM aus einem generalisierten oder spezialisierten Image auf der Grundlage eines direkten freigegebenen Images im Zielabonnement oder -mandanten.