Azure Container Apps – rendszerkép lekérése felügyelt identitással

A rendszergazdai hitelesítő adatok használatának elkerülése érdekében a Microsoft Azure Container Registry privát adattáraiból lekérheti a rendszerképeket felügyelt identitások használatával.

A felhasználó által hozzárendelt vagy rendszer által hozzárendelt felügyelt identitással hitelesítheti magát az Azure Container Registryben.

• Felhasználó által hozzárendelt felügyelt identitással az Azure Container Appsen kívül hozhatja létre és kezelheti az identitást. Több Azure-erőforráshoz is hozzárendelhető, beleértve az Azure Container Appst is.
• A rendszer által hozzárendelt felügyelt identitással az identitást az Azure Container Apps hozza létre és kezeli. A tárolóalkalmazáshoz van kötve, és az alkalmazás törlésekor törlődik.
• Ha lehetséges, a rendszerképek lekéréséhez felhasználó által hozzárendelt felügyelt identitást kell használnia.

A Container Apps a tároló indításakor ellenőrzi a rendszerkép új verzióját. A Docker vagy a Kubernetes terminológiájában a Container Apps az egyes tárolók rendszerkép-lekérési szabályzatát a következőre alwaysállítja be: .

Ez a cikk azt ismerteti, hogyan konfigurálhatja a tárolóalkalmazást az Azure Portal használatával a felhasználó által hozzárendelt és rendszer által hozzárendelt felügyelt identitások használatára a privát Azure Container Registry-adattárak rendszerképeinek lekéréséhez.

Felhasználó által hozzárendelt felügyelt identitás

Az alábbi lépések azt ismertetik, hogyan konfigurálhatja a tárolóalkalmazást úgy, hogy egy felhasználó által hozzárendelt felügyelt identitással kérje le a rendszerképeket a privát Azure Container Registry-adattárakból.

1. Hozzon létre egy nyilvános lemezképet tartalmazó tárolóalkalmazást.
2. Adja hozzá a felhasználó által hozzárendelt felügyelt identitást a tárolóalkalmazáshoz.
3. Hozzon létre egy tárolóalkalmazás-változatot egy privát rendszerképpel és a felhasználó által hozzárendelt felügyelt identitással.

Előfeltételek

• Egy Azure-fiók, aktív előfizetéssel.

  • Ha még nem rendelkezik fiókkal, ingyen létrehozhat egyet.

• Egy lekérni kívánt rendszerképet tartalmazó privát Azure Container Registry.

• Az Azure Container Registrynek engedélyeznie kell az ARM-célközönség jogkivonatait a hitelesítéshez, hogy felügyelt identitás használatával lekérhesse a rendszerképeket. Az alábbi paranccsal ellenőrizze, hogy az ARM-jogkivonatok hozzáférnek-e az ACR-hez:

  az acr config authentication-as-arm show -r <REGISTRY>
  

  Ha az ARM-jogkivonatok nem engedélyezettek, az alábbi paranccsal engedélyezheti őket:

  az acr config authentication-as-arm update -r <REGISTRY> --status enabled
  

• Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást. További információ: Felhasználó által hozzárendelt felügyelt identitás létrehozása.

Tárolóalkalmazás létrehozása

Az alábbi lépéseket követve hozzon létre egy tárolóalkalmazást az alapértelmezett gyorsútmutató-lemezképpel.

1. Lépjen a portál kezdőlapjára .

2. Keresse meg a Container Apps alkalmazást a felső keresősávon.

3. Válassza a Container Apps lehetőséget a keresési eredmények között.

4. Válassza a Létrehozás gombot.

5. Az Alapismeretek lapon hajtsa végre az alábbi műveleteket.

   Beállítás	Művelet
   Előfizetés	Válassza ki az Azure-előfizetését.
   Erőforráscsoport	Válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre egy újat.
   Tárolóalkalmazás neve	Adja meg a tárolóalkalmazás nevét.
   Helyen	Válasszon ki egy helyet.
   Tárolóalkalmazás-környezet létrehozása	Hozzon létre egy újat, vagy válasszon ki egy meglévő környezetet.

6. Válassza a Tárolóalkalmazás létrehozása lap alján található Véleményezés + Létrehozás gombot.

7. Válassza a Létrehozás gombot a Tárolóalkalmazás létrehozása ablak alján.

Hagyjon néhány percet, amíg a tárolóalkalmazás üzembe helyezése befejeződik. Ha az üzembe helyezés befejeződött, válassza az Erőforrás megnyitása lehetőséget.

A felhasználó által hozzárendelt felügyelt identitás hozzáadása

1. Válassza az Identitás lehetőséget a bal oldali menüből.
2. Válassza a Felhasználó által hozzárendelt lapot.
3. Válassza a Felhasználó által hozzárendelt felügyelt identitás hozzáadása gombot.
4. Válassza ki előfizetését.
5. Válassza ki a létrehozott identitást.
6. Válassza a Hozzáadás lehetőséget.

Tárolóalkalmazás-változat létrehozása

Hozzon létre egy tárolóalkalmazás-változatot egy privát rendszerképpel és a rendszer által hozzárendelt felügyelt identitással.

1. A bal oldali menüben válassza a Korrektúrakezelés lehetőséget.

2. Válassza az Új változat létrehozása lehetőséget.

3. Válassza ki a tárolórendszerképet a Tárolórendszerkép táblából.

4. Adja meg az adatokat a Tároló szerkesztése párbeszédpanelen.

   Mező	Művelet
   Név	Adja meg a tároló nevét.
   Kép forrása	Válassza az Azure Container Registry lehetőséget.
   Hitelesítés	Válassza a Felügyelt identitás lehetőséget.
   Identitás	Válassza ki a legördülő menüben létrehozott identitást.
   Registry	Válassza ki a használni kívánt beállításjegyzéket a legördülő menüből.
   Rendszerkép	Adja meg a használni kívánt kép nevét.
   Képcímke	Adja meg a lekérni kívánt kép nevét és címkéjét.

   

   Feljegyzés

   Ha a rendszergazdai hitelesítő adatok nincsenek engedélyezve az Azure Container Registry beállításjegyzékében, megjelenik egy figyelmeztető üzenet, és manuálisan kell megadnia a rendszerkép nevét és címkéinek adatait.

5. Válassza a Mentés lehetőséget.

6. Válassza a Létrehozás lehetőséget az Új változat létrehozása és üzembe helyezése lapon.

Létrejön és üzembe helyez egy új változatot. A portál automatikusan megpróbálja hozzáadni a szerepkört a acrpull felhasználó által hozzárendelt felügyelt identitáshoz. Ha a szerepkör nincs hozzáadva, manuálisan is hozzáadhatja.

A szerepkör hozzáadásának ellenőrzéséhez ellenőrizze az identitást a tárolóalkalmazás lapJának Identitás paneljén.

1. Válassza az Identitás lehetőséget a bal oldali menüből.
2. Válassza a Felhasználó által hozzárendelt lapot.
3. Válassza ki a felhasználó által hozzárendelt felügyelt identitást.
4. Válassza ki az Azure-szerepkör-hozzárendeléseket a felügyelt identitás erőforráslapjának menüjéből.
5. Ellenőrizze, hogy a acrpull szerepkör hozzá van-e rendelve a felhasználó által hozzárendelt felügyelt identitáshoz.

Tárolóalkalmazás létrehozása privát rendszerképpel

Ha nem szeretne nyilvános lemezképet tartalmazó tárolóalkalmazást létrehozni, az alábbiakat is megteheti.

1. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást.
2. Adja hozzá a szerepkört acrpull a felhasználó által hozzárendelt felügyelt identitáshoz.
3. Hozzon létre egy privát rendszerképet és a felhasználó által hozzárendelt felügyelt identitást tartalmazó tárolóalkalmazást.

Ez a módszer az infrastruktúra mint kód (IaC) forgatókönyvekben jellemző.

Az erőforrások eltávolítása

Ha nem fogja tovább használni ezt az alkalmazást, az erőforráscsoport eltávolításával törölheti az Azure Container Apps-példányt és az összes társított szolgáltatást.

Figyelmeztetés

Az erőforráscsoport törlése törli a csoport összes erőforrását. Ha más erőforrások is vannak a csoportban, azok is törlődnek. Ha meg szeretné tartani az erőforrásokat, törölheti a tárolóalkalmazás-példányt és a tárolóalkalmazás-környezetet.

1. Válassza ki az erőforráscsoportot az Áttekintés szakaszban.
2. Válassza az Erőforráscsoport törlése gombot az Erőforráscsoport áttekintése lap tetején.
3. Adja meg az erőforráscsoport nevét a megerősítést kérő párbeszédpanelen.
4. Válassza a Törlés lehetőséget. Az erőforráscsoport törlésének folyamata eltarthat néhány percig.

Rendszer által hozzárendelt felügyelt identitás

A rendszer által hozzárendelt felügyelt identitás Azure Portalon való konfigurálásának módja megegyezik a felhasználó által hozzárendelt felügyelt identitás konfigurálásával. Az egyetlen különbség az, hogy nem kell felhasználó által hozzárendelt felügyelt identitást létrehoznia. Ehelyett a rendszer által hozzárendelt felügyelt identitás jön létre a tárolóalkalmazás létrehozásakor.

A rendszer által hozzárendelt felügyelt identitás azure portalon való konfigurálására a következő módszer van:

1. Hozzon létre egy nyilvános lemezképet tartalmazó tárolóalkalmazást.
2. Hozzon létre egy tárolóalkalmazás-változatot egy privát rendszerképpel és a rendszer által hozzárendelt felügyelt identitással.

Előfeltételek

• Egy Azure-fiók, aktív előfizetéssel.
  • Ha még nem rendelkezik fiókkal, ingyen létrehozhat egyet.
• Egy lekérni kívánt rendszerképet tartalmazó privát Azure Container Registry. Lásd: Privát Azure Container Registry létrehozása.

Tárolóalkalmazás létrehozása

Az alábbi lépéseket követve hozzon létre egy tárolóalkalmazást az alapértelmezett gyorsútmutató-rendszerképpel.

1. Lépjen a portál kezdőlapjára .

2. Keresse meg a Container Apps alkalmazást a felső keresősávon.

3. Válassza a Container Apps lehetőséget a keresési eredmények között.

4. Válassza a Létrehozás gombot.

5. Az Alapismeretek lapon hajtsa végre az alábbi műveleteket.

   Beállítás	Művelet
   Előfizetés	Válassza ki az Azure-előfizetését.
   Erőforráscsoport	Válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre egy újat.
   Tárolóalkalmazás neve	Adja meg a tárolóalkalmazás nevét.
   Helyen	Válasszon ki egy helyet.
   Tárolóalkalmazás-környezet létrehozása	Hozzon létre egy újat, vagy válasszon ki egy meglévő környezetet.

6. Válassza a Tárolóalkalmazás létrehozása lap alján található Véleményezés + Létrehozás gombot.

7. Válassza a Létrehozás gombot a Tárolóalkalmazás létrehozása lap alján.

Hagyjon néhány percet, amíg a tárolóalkalmazás üzembe helyezése befejeződik. Ha az üzembe helyezés befejeződött, válassza az Erőforrás megnyitása lehetőséget.

Korrektúra szerkesztése és üzembe helyezése

Szerkessze a tárolót a privát Azure Container Registry rendszerképének használatához, és konfigurálja a hitelesítést a rendszer által hozzárendelt identitás használatára.

1. A tárolók a bal oldali menüből.

2. Válassza a Szerkesztés és üzembe helyezés lehetőséget.

3. Válassza ki az egyszerű hello-world-container tárolót a listából.

   Beállítás	Művelet
   Név	Adja meg a tárolóalkalmazás nevét.
   Kép forrása	Válassza az Azure Container Registry lehetőséget.
   Hitelesítés	Válassza a Felügyelt identitás elemet.
   Identitás	Válassza ki a hozzárendelt rendszert.
   Registry	Adja meg a beállításjegyzék nevét.
   Rendszerkép	Adja meg a kép nevét.
   Képcímke	Adja meg a címkét.

   

   Feljegyzés

   Ha a rendszergazdai hitelesítő adatok nincsenek engedélyezve az Azure Container Registry beállításjegyzékében, megjelenik egy figyelmeztető üzenet, és manuálisan kell megadnia a rendszerkép nevét és címkéinek adatait.

4. Válassza a Lap alján található Mentés lehetőséget.

5. Válassza a Létrehozás lehetőséget az Új változat létrehozása és üzembe helyezése lap alján

6. Néhány perc elteltével válassza a Frissítés lehetőséget a Változatkezelés lapon az új változat megtekintéséhez.

Létrejön és üzembe helyez egy új változatot. A portál automatikusan megpróbálja hozzáadni a szerepkört a acrpull rendszer által hozzárendelt felügyelt identitáshoz. Ha a szerepkör nincs hozzáadva, manuálisan is hozzáadhatja.

A szerepkör hozzáadásának ellenőrzéséhez ellenőrizze az identitást a tárolóalkalmazás lap Identitás paneljén.

1. Válassza az Identitás lehetőséget a bal oldali menüből.
2. Válassza a Rendszer által hozzárendelt fület.
3. Válassza ki az Azure-szerepkör-hozzárendeléseket.
4. Ellenőrizze, hogy a acrpull szerepkör hozzá van-e rendelve a rendszer által hozzárendelt felügyelt identitáshoz.

Az erőforrások eltávolítása

Ha nem fogja tovább használni ezt az alkalmazást, az erőforráscsoport eltávolításával törölheti az Azure Container Apps-példányt és az összes társított szolgáltatást.

Figyelmeztetés

Az erőforráscsoport törlése törli a csoport összes erőforrását. Ha más erőforrások is vannak a csoportban, azok is törlődnek. Ha meg szeretné tartani az erőforrásokat, törölheti a tárolóalkalmazás-példányt és a tárolóalkalmazás-környezetet.

1. Válassza ki az erőforráscsoportot az Áttekintés szakaszban.
2. Válassza az Erőforráscsoport törlése gombot az Erőforráscsoport áttekintése lap tetején.
3. Adja meg az erőforráscsoport nevét a megerősítést kérő párbeszédpanelen.
4. Válassza a Törlés lehetőséget. Az erőforráscsoport törlésének folyamata eltarthat néhány percig.

Ez a cikk azt ismerteti, hogyan konfigurálhatja a tárolóalkalmazást úgy, hogy felügyelt identitások használatával lekérje a rendszerképeket egy privát Azure Container Registry-adattárból az Azure CLI és az Azure PowerShell használatával.

Előfeltételek

Előfeltételek	Leírás
Azure-fiók	Egy Azure-fiók, aktív előfizetéssel. Ha még nem rendelkezik fiókkal, ingyen létrehozhat egyet.
Azure CLI	Ha az Azure CLI-t használja, telepítse az Azure CLI-t a helyi gépére.
Azure PowerShell	Ha a PowerShellt használja, telepítse az Azure PowerShellt a helyi gépére. A parancs Install-Module -Name Az.Appfuttatásával győződjön meg arról, hogy a Az.App modul legújabb verziója telepítve van.
Azure Container Registry	Egy lekérni kívánt rendszerképet tartalmazó privát Azure Container Registry. Rövid útmutató: Privát tárolóregisztrációs adatbázis létrehozása az Azure CLI vagy a rövid útmutató használatával: Privát tárolóregisztrációs adatbázis létrehozása az Azure PowerShell használatával

Beállítás

Ha a parancssori felületről szeretne bejelentkezni az Azure-ba, futtassa a következő parancsot, és kövesse az utasításokat a hitelesítési folyamat befejezéséhez.

Erősen megüt

az login

Azure PowerShell

Connect-AzAccount

A parancssori felület legújabb verziójának futtatásához futtassa a frissítési parancsot.

Erősen megüt

az upgrade

Azure PowerShell

Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force

A jelenleg használt modulokra vonatkozó figyelmeztetések figyelmen kívül hagyása.

Ezután telepítse vagy frissítse az Azure Container Apps bővítményt a parancssori felülethez.

Ha hibaüzenetet kap a hiányzó paraméterekről, amikor parancsokat futtat az Azure CLI-ben, vagy parancsmagokat futtat az containerapp az Az.App Azure PowerShell modulból, győződjön meg arról, hogy telepítve van az Azure Container Apps bővítmény legújabb verziója.

Erősen megüt

az extension add --name containerapp --upgrade

Feljegyzés

2024 májusától kezdődően az Azure CLI-bővítmények alapértelmezés szerint nem engedélyezik az előzetes verziójú funkciókat. A Container Apps előzetes verziójú funkcióinak eléréséhez telepítse a Container Apps bővítményt a következővel --allow-preview true: .

az extension add --name containerapp --upgrade --allow-preview true

Azure PowerShell

Install-Module -Name Az.App

Frissítse a modult a Az.App legújabb verzióra.

Update-Module -Name Az.App

Az aktuális bővítmény vagy modul telepítése után regisztrálja a névtereket és Microsoft.OperationalInsights a Microsoft.App névtereket.

Feljegyzés

Az Azure Container Apps-erőforrások át lettek migrálva a Microsoft.Web névtérből a Microsoft.App névtérbe. További részletekért tekintse meg a Névtér 2022 . márciusi migrálását a Microsoft.Web-ből a Microsoft.App.

Erősen megüt

az provider register --namespace Microsoft.App

az provider register --namespace Microsoft.OperationalInsights

Azure PowerShell

Register-AzResourceProvider -ProviderNamespace Microsoft.App

Register-AzResourceProvider -ProviderNamespace Microsoft.OperationalInsights

Ezután állítsa be a következő környezeti változókat. Cserélje le az értékekkel körülvett <> helyőrzőket.

Erősen megüt

RESOURCE_GROUP="<YOUR_RESOURCE_GROUP_NAME>"
LOCATION="<YOUR_LOCATION>"
CONTAINERAPPS_ENVIRONMENT="<YOUR_ENVIRONMENT_NAME>"
REGISTRY_NAME="<YOUR_REGISTRY_NAME>"
CONTAINERAPP_NAME="<YOUR_CONTAINERAPP_NAME>"
IMAGE_NAME="<YOUR_IMAGE_NAME>"

Azure PowerShell

$ResourceGroupName = '<RESOURCE_GROUP_NAME>'
$Location = '<LOCATION>'
$ContainerAppsEnvironment = '<ENVIRONMENT_NAME>'
$RegistryName = '<REGISTRY_NAME>'
$ContainerAppName = '<CONTAINERAPP_NAME>'
$ImageName = '<IMAGE_NAME>'

Ha már van erőforráscsoportja, hagyja ki ezt a lépést. Ellenkező esetben hozzon létre egy erőforráscsoportot.

Erősen megüt

az group create \
  --name $RESOURCE_GROUP \
  --location $LOCATION

Azure PowerShell

New-AzResourceGroup -Location $Location -Name $ResourceGroupName

Tárolóalkalmazás-környezet létrehozása

Ha a környezet nem létezik, futtassa a következő parancsot:

Erősen megüt

A környezet létrehozásához futtassa a következő parancsot:

az containerapp env create \
  --name $CONTAINERAPPS_ENVIRONMENT \
  --resource-group $RESOURCE_GROUP \
  --location $LOCATION

Azure PowerShell

A Container Apps-környezethez Log Analytics-munkaterület szükséges. Az alábbi parancsok létrehoznak egy Log Analytics-munkaterületet, és a munkaterület azonosítóját és elsődleges megosztott kulcsát változókba mentik.

$WorkspaceArgs = @{
    Name = 'myworkspace'
    ResourceGroupName = $ResourceGroupName
    Location = $Location
    PublicNetworkAccessForIngestion = 'Enabled'
    PublicNetworkAccessForQuery = 'Enabled'
}
New-AzOperationalInsightsWorkspace @WorkspaceArgs
$WorkspaceId = (Get-AzOperationalInsightsWorkspace -ResourceGroupName $ResourceGroupName -Name $WorkspaceArgs.Name).CustomerId
$WorkspaceSharedKey = (Get-AzOperationalInsightsWorkspaceSharedKey -ResourceGroupName $ResourceGroupName -Name $WorkspaceArgs.Name).PrimarySharedKey

A környezet létrehozásához futtassa a következő parancsot:

$EnvArgs = @{
    EnvName = $ContainerAppsEnvironment
    ResourceGroupName = $ResourceGroupName
    Location = $Location
    AppLogConfigurationDestination = 'log-analytics'
    LogAnalyticConfigurationCustomerId = $WorkspaceId
    LogAnalyticConfigurationSharedKey = $WorkspaceSharedKey
}

New-AzContainerAppManagedEnv @EnvArgs

Folytassa a következő szakaszsal a felhasználó által hozzárendelt felügyelt identitás konfigurálásához, vagy ugorjon a rendszer által hozzárendelt felügyelt identitás szakaszra.

Felhasználó által hozzárendelt felügyelt identitás

Kövesse ezt az eljárást a felhasználó által hozzárendelt felügyelt identitás konfigurálásához:

1. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást.
2. Ha PowerShellt használ, rendeljen hozzá egy szerepkört acrpull a beállításjegyzékhez a felügyelt identitáshoz. Az Azure CLI automatikusan elvégzi ezt a feladatot.
3. Hozzon létre egy tárolóalkalmazást a felhasználó által hozzárendelt felügyelt identitással hitelesített magánregisztrációs adatbázis rendszerképével.

Felhasználó által hozzárendelt felügyelt identitás létrehozása

Erősen megüt

Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást. A következő parancs futtatása előtt cserélje le a <HELYŐRZŐket> a felügyelt identitás nevére.

IDENTITY="<YOUR_IDENTITY_NAME>"

az identity create \
  --name $IDENTITY \
  --resource-group $RESOURCE_GROUP

Azure PowerShell

Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást. A következő parancs futtatása előtt cserélje le a <HELYŐRZŐket> a felügyelt identitás nevére.

$IdentityName = '<YOUR_IDENTITY_NAME>'

New-AzUserAssignedIdentity -Name $IdentityName -ResourceGroupName $ResourceGroupName -Location $Location

Erősen megüt

Az identitás erőforrás-azonosítójának lekérése.

IDENTITY_ID=`az identity show \
  --name $IDENTITY \
  --resource-group $RESOURCE_GROUP \
  --query id`

Azure PowerShell

Kérje le az identitás erőforrás- és egyszerű azonosítóját.

$IdentityId = (Get-AzUserAssignedIdentity -Name $IdentityName -ResourceGroupName $ResourceGroupName).Id
$PrincipalId = (Get-AzUserAssignedIdentity -Name $IdentityName -ResourceGroupName $ResourceGroupName).PrincipalId

Kérje le a beállításjegyzék erőforrás-azonosítóját. A következő parancs futtatása előtt cserélje le a <helyőrzőket> a beállításjegyzék erőforráscsoport-nevére.

$RegistryId = (Get-AzContainerRegistry -ResourceGroupName <RegistryResourceGroup> -Name $RegistryName).Id

Hozza létre az acrpull identitás szerepkör-hozzárendelését.

New-AzRoleAssignment -ObjectId $PrincipalId -Scope $RegistryId -RoleDefinitionName acrpull

Tárolóalkalmazás létrehozása

Hozza létre a tárolóalkalmazást az identitással hitelesített magánregisztrációs adatbázis rendszerképével.

Erősen megüt

Másolja ki az identitás erőforrás-azonosítóját az <alábbi parancs IDENTITY_ID> helyőrzőibe való beillesztéshez. Ha a képcímke nem latest, cserélje le a "legújabb" címkét a címkéjére.

echo $IDENTITY_ID

az containerapp create \
  --name $CONTAINERAPP_NAME \
  --resource-group $RESOURCE_GROUP \
  --environment $CONTAINERAPPS_ENVIRONMENT \
  --user-assigned <IDENTITY_ID> \
  --registry-identity <IDENTITY_ID> \
  --registry-server "$REGISTRY_NAME.azurecr.io" \
  --image "$REGISTRY_NAME.azurecr.io/$IMAGE_NAME:latest"

Azure PowerShell

$CredentialArgs = @{
    Server = $RegistryName + '.azurecr.io'
    Identity = $IdentityId
}
$CredentialObject = New-AzContainerAppRegistryCredentialObject @CredentialArgs
$ImageParams = @{
    Name = 'my-container-app'
    Image = $RegistryName + '.azurecr.io/' + $ImageName + ':latest'
}
$TemplateObj = New-AzContainerAppTemplateObject @ImageParams
$EnvId = (Get-AzContainerAppManagedEnv -EnvName $ContainerAppsEnvironment -ResourceGroupName $ResourceGroupName).Id

$AppArgs = @{
    Name = 'my-container-app'
    Location = $Location
    ResourceGroupName = $ResourceGroupName
    ManagedEnvironmentId = $EnvId
    ConfigurationRegistry = $CredentialObject
    IdentityType = 'UserAssigned'
    IdentityUserAssignedIdentity = @{ $IdentityId = @{ } }
    TemplateContainer = $TemplateObj
    IngressTargetPort = 80
    IngressExternal = $true
}
New-AzContainerApp @AppArgs

A fölöslegessé vált elemek eltávolítása

Figyelemfelhívás

Az alábbi parancs törli a megadott erőforráscsoportot és a benne lévő összes erőforrást. Ha a rövid útmutató hatókörén kívül eső erőforrások szerepelnek a megadott erőforráscsoportban, akkor azok is törlődnek.

Erősen megüt

az group delete --name $RESOURCE_GROUP

Azure PowerShell

Remove-AzResourceGroup -Name $ResourceGroupName -Force

Rendszer által hozzárendelt felügyelt identitás

A rendszer által hozzárendelt identitás konfigurálásához a következőkre lesz szüksége:

1. Hozzon létre egy nyilvános lemezképet tartalmazó tárolóalkalmazást.
2. Rendeljen hozzá egy rendszer által hozzárendelt felügyelt identitást a tárolóalkalmazáshoz.
3. Frissítse a tárolóalkalmazást a privát rendszerképpel.

Tárolóalkalmazás létrehozása

Hozzon létre egy nyilvános lemezképet tartalmazó tárolót.

Erősen megüt

az containerapp create \
  --name $CONTAINERAPP_NAME \
  --resource-group $RESOURCE_GROUP \
  --environment $CONTAINERAPPS_ENVIRONMENT \
  --image mcr.microsoft.com/k8se/quickstart:latest \
  --target-port 80 \
  --ingress external

Azure PowerShell

$ImageParams = @{
    Name = "my-container-app"
    Image = "mcr.microsoft.com/k8se/quickstart:latest"
}
$TemplateObj = New-AzContainerAppTemplateObject @ImageParams
$EnvId = (Get-AzContainerAppManagedEnv -EnvName $ContainerAppsEnvironment -ResourceGroupName $ResourceGroupName).Id

$AppArgs = @{
    Name = "my-container-app"
    Location = $Location
    ResourceGroupName = $ResourceGroupName
    ManagedEnvironmentId = $EnvId
    IdentityType = "SystemAssigned"
    TemplateContainer = $TemplateObj
    IngressTargetPort = 80
    IngressExternal = $true

}
New-AzContainerApp @AppArgs

A tárolóalkalmazás frissítése

Frissítse a tárolóalkalmazást a privát tárolóregisztrációs adatbázis rendszerképével, és adjon hozzá egy rendszer által hozzárendelt identitást az Azure Container Registry lekérésének hitelesítéséhez. A tárolóalkalmazáshoz szükséges egyéb beállításokat is megadhat, például a bejövő forgalmat, a méretezést és a Dapr-beállításokat.

Erősen megüt

Állítsa be a beállításjegyzék-kiszolgálót, és kapcsolja be a rendszer által hozzárendelt felügyelt identitást a tárolóalkalmazásban.

az containerapp registry set \
  --name $CONTAINERAPP_NAME \
  --resource-group $RESOURCE_GROUP \
  --identity system \
  --server "$REGISTRY_NAME.azurecr.io"

az containerapp update \
  --name $CONTAINERAPP_NAME \
  --resource-group $RESOURCE_GROUP \
  --image "$REGISTRY_NAME.azurecr.io/$IMAGE_NAME:latest"

Azure PowerShell

$CredentialArgs = @{
    Server = $RegistryName + '.azurecr.io'
    Identity = 'system'
}
$CredentialObject = New-AzContainerAppRegistryCredentialObject @CredentialArgs
$ImageParams = @{
    Name = 'my-container-app'
    Image = $RegistryName + ".azurecr.io/" + $ImageName + ":latest"
}
$TemplateObj = New-AzContainerAppTemplateObject @ImageParams

$AppArgs = @{
    Name = 'my-container-app'
    Location = $Location
    ResourceGroupName = $ResourceGroupName
    ConfigurationRegistry = $CredentialObject
    IdentityType = 'SystemAssigned'
    TemplateContainer = $TemplateObj
    IngressTargetPort = 80
    IngressExternal = $true
}
Update-AzContainerApp @AppArgs

A fölöslegessé vált elemek eltávolítása

Figyelemfelhívás

Az alábbi parancs törli a megadott erőforráscsoportot és a benne lévő összes erőforrást. Ha a rövid útmutató hatókörén kívül eső erőforrások szerepelnek a megadott erőforráscsoportban, akkor azok is törlődnek.

Erősen megüt

az group delete --name $RESOURCE_GROUP

Azure PowerShell

Remove-AzResourceGroup -Name $ResourceGroupName -Force

Ez a cikk azt ismerteti, hogyan konfigurálhatja a tárolóalkalmazást egy Bicep-sablon használatával úgy, hogy a felhasználó által hozzárendelt felügyelt identitások használatával lemezképeket kér le privát Azure Container Registry-adattárakból.

Előfeltételek

• Egy Azure-fiók, aktív előfizetéssel.
  • Ha még nem rendelkezik fiókkal, ingyen létrehozhat egyet.
• Ha az Azure CLI-t használja, telepítse az Azure CLI-t a helyi gépére.
• Ha a PowerShellt használja, telepítse az Azure PowerShellt a helyi gépére. A parancs Install-Module -Name Az.Appfuttatásával győződjön meg arról, hogy a Az.App modul legújabb verziója telepítve van.
• Egy lekérni kívánt rendszerképet tartalmazó privát Azure Container Registry. Tárolóregisztrációs adatbázis létrehozásához és rendszerkép leküldéséhez tekintse meg a rövid útmutatót: Privát tárolóregisztrációs adatbázis létrehozása az Azure CLI-vel vagy rövid útmutató: Privát tárolóregisztrációs adatbázis létrehozása az Azure PowerShell használatával

Beállítás

Ha a parancssori felületről szeretne bejelentkezni az Azure-ba, futtassa a következő parancsot, és kövesse az utasításokat a hitelesítési folyamat befejezéséhez.

Erősen megüt

az login

Azure PowerShell

Connect-AzAccount

A parancssori felület legújabb verziójának futtatásához futtassa a frissítési parancsot.

Erősen megüt

az upgrade

Azure PowerShell

Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force

A jelenleg használt modulokra vonatkozó figyelmeztetések figyelmen kívül hagyása.

Ezután telepítse vagy frissítse az Azure Container Apps bővítményt a parancssori felülethez.

Ha hibaüzenetet kap a hiányzó paraméterekről, amikor parancsokat futtat az Azure CLI-ben, vagy parancsmagokat futtat az containerapp az Az.App Azure PowerShell modulból, győződjön meg arról, hogy telepítve van az Azure Container Apps bővítmény legújabb verziója.

Erősen megüt

az extension add --name containerapp --upgrade

Feljegyzés

2024 májusától kezdődően az Azure CLI-bővítmények alapértelmezés szerint nem engedélyezik az előzetes verziójú funkciókat. A Container Apps előzetes verziójú funkcióinak eléréséhez telepítse a Container Apps bővítményt a következővel --allow-preview true: .

az extension add --name containerapp --upgrade --allow-preview true

Azure PowerShell

Install-Module -Name Az.App

Frissítse a modult a Az.App legújabb verzióra.

Update-Module -Name Az.App

Az aktuális bővítmény vagy modul telepítése után regisztrálja a névtereket és Microsoft.OperationalInsights a Microsoft.App névtereket.

Feljegyzés

Az Azure Container Apps-erőforrások át lettek migrálva a Microsoft.Web névtérből a Microsoft.App névtérbe. További részletekért tekintse meg a Névtér 2022 . márciusi migrálását a Microsoft.Web-ből a Microsoft.App.

Erősen megüt

az provider register --namespace Microsoft.App

az provider register --namespace Microsoft.OperationalInsights

Azure PowerShell

Register-AzResourceProvider -ProviderNamespace Microsoft.App

Register-AzResourceProvider -ProviderNamespace Microsoft.OperationalInsights

A Bicep telepítése

Ha nincs telepítve a Bicep, az alábbiak szerint telepítheti.

Erősen megüt

az bicep install

Ha telepítve van a Bicep, győződjön meg arról, hogy a legújabb verzióval rendelkezik.

az bicep upgrade

További információ: A Bicep telepítése.

Azure PowerShell

Manuálisan kell telepítenie a Bicep-et az Azure CLI-en kívül más célokra is. További információ: A Bicep telepítése.

Környezeti változók beállítása

Ezután állítsa be a következő környezeti változókat. Cserélje le az értékekkel körülvett <> helyőrzőket.

Erősen megüt

RESOURCE_GROUP="<RESOURCE_GROUP_NAME>"
LOCATION="<LOCATION>"
REGISTRY_NAME="<REGISTRY_NAME>"
IMAGE_NAME="<IMAGE_NAME>"
IMAGE_TAG="<IMAGE_TAG>"
BICEP_TEMPLATE="<BICEP_TEMPLATE>"
CONTAINERAPPS_ENVIRONMENT="<ENVIRONMENT_NAME>"
CONTAINER_NAME="<CONTAINER_NAME>"
CONTAINERAPP_NAME="<CONTAINERAPP_NAME>"
USER_ASSIGNED_IDENTITY_NAME="<USER_ASSIGNED_IDENTITY_NAME>"
LOG_ANALYTICS_WORKSPACE_NAME="<LOG_ANALYTICS_WORKSPACE_NAME>"
APP_INSIGHTS_NAME="<APP_INSIGHTS_NAME>"
ACR_PULL_DEFINITION_ID="7f951dda-4ed3-4680-a7ca-43fe172d538d"

Azure PowerShell

$ResourceGroupName = '<RESOURCE_GROUP_NAME>'
$Location = '<LOCATION>'
$RegistryName = '<REGISTRY_NAME>'
$ImageName = '<IMAGE_NAME>'
$ImageTag = '<IMAGE_TAG>'
$BicepTemplate = '<BICEP_TEMPLATE>'
$ContainerAppsEnvironment = '<ENVIRONMENT_NAME>'
$ContainerName = '<CONTAINER_NAME>'
$ContainerAppName = '<CONTAINERAPP_NAME>'
$UserAssignedIdentityName = '<USER_ASSIGNED_IDENTITY_NAME>'
$LogAnalyticsWorkspaceName = '<LOG_ANALYTICS_WORKSPACE_NAME>'
$AppInsightsName = '<LOG_ANALYTICS_WORKSPACE_NAME>'
$AcrPullDefinitionId = '7f951dda-4ed3-4680-a7ca-43fe172d538d'

A AcrPull szerepkör engedélyezi a felhasználó által hozzárendelt felügyelt identitás számára a rendszerkép lekérését a beállításjegyzékből.

Bicep-sablon

Másolja ki a következő Bicep-sablont, és mentse fájlként a kiterjesztéssel .bicep.

param environmentName string 
param logAnalyticsWorkspaceName string
param appInsightsName string
param containerAppName string 
param azureContainerRegistry string
param azureContainerRegistryImage string 
param azureContainerRegistryImageTag string
param acrPullDefinitionId string
param userAssignedIdentityName string
param location string = resourceGroup().location

resource identity 'Microsoft.ManagedIdentity/userAssignedIdentities@2022-01-31-preview' = {
  name: userAssignedIdentityName
  location: location 
}

resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: guid(resourceGroup().id, azureContainerRegistry, 'AcrPullTestUserAssigned')
  properties: {
    principalId: identity.properties.principalId  
    principalType: 'ServicePrincipal'
    // acrPullDefinitionId has a value of 7f951dda-4ed3-4680-a7ca-43fe172d538d
    roleDefinitionId: resourceId('Microsoft.Authorization/roleDefinitions', acrPullDefinitionId)
  }
}

resource logAnalyticsWorkspace 'Microsoft.OperationalInsights/workspaces@2022-10-01' = {
  name: logAnalyticsWorkspaceName
  location: location
  properties: any({
    retentionInDays: 30
    features: {
      searchVersion: 1
    }
    sku: {
      name: 'PerGB2018'
    }
  })
}

resource appInsights 'Microsoft.Insights/components@2020-02-02' = {
  name: appInsightsName
  location: location
  kind: 'web'
  properties: {
    Application_Type: 'web'
    WorkspaceResourceId: logAnalyticsWorkspace.id
  }
}

resource appEnvironment 'Microsoft.App/managedEnvironments@2022-06-01-preview' = {
  name: environmentName
  location: location
  properties: {
    daprAIInstrumentationKey: appInsights.properties.InstrumentationKey
    appLogsConfiguration: {
      destination: 'log-analytics'
      logAnalyticsConfiguration: {
        customerId: logAnalyticsWorkspace.properties.customerId
        sharedKey: logAnalyticsWorkspace.listKeys().primarySharedKey
      }
    }
  }
}

resource containerApp 'Microsoft.App/containerApps@2022-06-01-preview' = {
  name: containerAppName
  location: location
  identity: {
    type: 'UserAssigned'
    userAssignedIdentities: {
      '${identity.id}': {}
    }
  }
  properties: {
    environmentId: appEnvironment.id
    configuration: {
      ingress: {
        targetPort: 8080
        external: true
      }
      registries: [
        {
          server: '${azureContainerRegistry}.azurecr.io'
          identity: identity.id
        }
      ]
    }
    template: {
      containers: [
        {
          image: '${azureContainerRegistry}.azurecr.io/${azureContainerRegistryImage}:${azureContainerRegistryImageTag}'
          name: '${azureContainerName}'
          resources: {
            cpu: 1
            memory: '2Gi'
          }
        }
      ]
      scale: {
        minReplicas: 1
        maxReplicas: 1
      }
    }
  }
}

output location string = location
output environmentId string = appEnvironment.id

A tárolóapp üzembe helyezése

Helyezze üzembe a tárolóalkalmazást az alábbi paranccsal.

Erősen megüt

az deployment group create \
  --resource-group "$RESOURCE_GROUP" \
  --template-file "$BICEP_TEMPLATE" \
  --parameters environmentName="$CONTAINERAPPS_ENVIRONMENT" \
  logAnalyticsWorkspaceName="$LOG_ANALYTICS_WORKSPACE_NAME" \
  appInsightsName="$APP_INSIGHTS_NAME" \
  containerAppName="$CONTAINERAPP_NAME" \
  azureContainerRegistry="$REGISTRY_NAME" \
  azureContainerRegistryImage="$IMAGE_NAME" \
  azureContainerRegistryImageTag="$IMAGE_TAG" \
  azureContainerName="$CONTAINER_NAME" \
  acrPullDefinitionId="$ACR_PULL_DEFINITION_ID" \
  userAssignedIdentityName="$USER_ASSIGNED_IDENTITY_NAME" \
  location="$LOCATION"

Azure PowerShell

$params = @{
  environmentName = $ContainerAppsEnvironment
  logAnalyticsWorkspaceName = $LogAnalyticsWorkspaceName
  appInsightsName = $AppInsightsName
  containerAppName = $ContainerAppName
  azureContainerRegistry = $RegistryName
  azureContainerRegistryImage = $ImageName
  azureContainerRegistryImageTag = $ImageTag
  azureContainerName = $ContainerName
  acrPullDefinitionId = $AcrPullDefinitionId
  userAssignedIdentityName = $UserAssignedIdentityName
  location = $Location
}

New-AzResourceGroupDeployment `
  -ResourceGroupName $ResourceGroupName `
  -TemplateParameterObject $params `
  -TemplateFile $BicepTemplate `
  -SkipTemplateParameterPrompt

Ez a parancs a következőket helyezi üzembe.

• Azure-erőforráscsoport.
• Container Apps-környezet.
• A Container Apps-környezethez társított Log Analytics-munkaterület.
• Application Insights-erőforrás elosztott nyomkövetéshez.
• Felhasználó által hozzárendelt felügyelt identitás.
• A rendszerkép tárolására szolgáló tároló.
• A rendszerképen alapuló tárolóalkalmazás.

Ha a hibaüzenet Failed to parse '<YOUR_BICEP_FILE_NAME>', please check whether it is a valid JSON formatjelenik meg, győződjön meg arról, hogy a Bicep-sablonfájl rendelkezik a kiterjesztéssel .bicep.

További erőforrások

További információ:

• Bicep formátum
• Példa Bicep-sablonokra
• Felügyelt identitás és Bicep használata képek lekéréséhez az Azure Container Apps használatával

Következő lépések

Felügyelt identitások az Azure Container Appsben