Compartir imágenes entre inquilinos mediante un registro de aplicación

Pero si quiere compartir las imágenes fuera de su inquilino de Azure, a escala, debe crear un registro de aplicación. Usar un registro de aplicación puede habilitar escenarios de uso compartidos más complejos, como por ejemplo:

  • Administración de imágenes compartidas cuando una compañía adquiere otra y la infraestructura de Azure se distribuye entre inquilinos independientes.
  • Los asociados de Azure administran la infraestructura de Azure en nombre de sus clientes. La personalización de imágenes se realiza en el inquilino de los asociados, pero las implementaciones de infraestructura se realizarán en el inquilino del cliente.

Creación del registro de aplicaciones

Cree un registro de aplicación que usarán ambos inquilinos para compartir los recursos de la galería de imágenes.

  1. Abra Registros de aplicaciones en Azure Portal.
  2. En el menú de la parte superior de la página, seleccione Nuevo registro.
  3. En Nombre, escriba myGalleryApp.
  4. En Tipos de cuenta admitidos, seleccione Cuentas en cualquier directorio organizativo (cualquier directorio de Microsoft Entra: multiinquilino) y cuentas de Microsoft personales (como Skype o Xbox).
  5. En URI de redirección, seleccione Web en la lista desplegable Selección de una plataforma y escriba https://www.microsoft.com; a continuación, seleccione Registrar. Una vez creado el registro de aplicación, se abrirá la página de información general.
  6. En la página de información general, copie el identificador de aplicación (cliente) y guárdelo para usarlo más adelante.
  7. Seleccione Certificados y secretos y seleccione Nuevo secretos de cliente.
  8. En Descripción, escriba Secreto de aplicación entre inquilinos de la galería.
  9. En Expiración, cambie del valor predeterminado de 6 meses (recomendado) a 12 meses y seleccione Agregar.
  10. Copie el valor del secreto y guárdelo en un lugar seguro. No podrá recuperarlo después de salir de la página.

Conceda permiso al registro de aplicación para usar la galería.

  1. En Azure Portal, seleccione la instancia de Azure Compute Gallery que quiere compartir con otro inquilino.
  2. Seleccione Control de acceso (IAM) y en Agregar asignación de roles, seleccione Agregar.
  3. En Rol, seleccione Lector.
  4. En Asignar acceso a, déjelo como Usuario, grupo o entidad de servicio de Microsoft Entra.
  5. En Seleccionar miembros, escriba myGalleryApp y selecciónelo cuando aparezca en la lista. Cuando haya terminado, seleccione Revisar y asignar.

Conceder acceso a Inquilino 2

Conceda acceso a Inquilino 2 a la aplicación solicitando un inicio de sesión mediante un explorador. Reemplace <Tenant2 ID> con el id. del inquilino con el que le gustaría compartir la galería de imágenes. Los usuarios pueden ver su identificador de inquilino mediante el comando az account show de la CLI de Azure.

Reemplace <Application (client) ID> con el identificador de la aplicación del registro de aplicación que creó. Cuando haya terminado de realizar los reemplazos, pegue la dirección URL en un explorador y siga las instrucciones de inicio de sesión para iniciar sesión en Inquilino 2.

https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F 

En Azure Portal, inicie sesión como Inquilino 2 y dé acceso de registro de aplicación al grupo de recursos donde quiere crear la máquina virtual.

  1. Seleccione el grupo de recursos, y luego haga clic en Control de acceso (IAM) . En Agregar asignación de roles, seleccione Agregar.
  2. En Rol, escriba Colaborador.
  3. En Asignar acceso a, déjelo como Usuario, grupo o entidad de servicio de Microsoft Entra.
  4. En Seleccionar miembros, escriba myGalleryApp y selecciónelo cuando aparezca en la lista. Cuando haya terminado, seleccione Revisar y asignar.

Nota

Deberá esperar a que la versión de la imagen termine de compilarse y replicarse por completo antes de poder usar la misma imagen administrada para crear otra versión de la imagen.

Creación de un conjunto de escalado con la CLI de Azure

Inicie sesión en la entidad de servicio del inquilino 1 mediante el id. de la aplicación, la clave de aplicación y el identificador del inquilino 1. Puede usar az account show --query "tenantId" para obtener el identificador del inquilino, si es necesario.

az account clear
az login --service-principal -u '<app ID>' -p '<Secret>' --tenant '<tenant 1 ID>'
az account get-access-token 

Inicie sesión en la entidad de servicio del inquilino 2 mediante el id. de la aplicación, la clave de aplicación y el identificador del inquilino 2:

az login --service-principal -u '<app ID>' -p '<Secret>' --tenant '<tenant 2 ID>'
az account get-access-token

Cree el conjunto de escalado. Reemplace la información del ejemplo por la suya.

az vmss create \
  -g myResourceGroup \
  -n myScaleSet \
  --image "/subscriptions/<Tenant 1 subscription>/resourceGroups/<Resource group>/providers/Microsoft.Compute/galleries/<Gallery>/images/<Image definition>/versions/<version>" \
  --admin-username azureuser \
  --generate-ssh-keys

Pasos siguientes

Si experimenta algún problema, puede solucionar problemas de galerías de imágenes compartidas.