Lemezképek lekérése egy tárolóregisztrációs adatbázisból egy másik Microsoft Entra-bérlő AKS-fürtjére
Bizonyos esetekben előfordulhat, hogy az Azure AKS-fürt egy Microsoft Entra-bérlőben, az Azure Container Registry pedig egy másik bérlőben található. Ez a cikk bemutatja a bérlők közötti hitelesítés engedélyezésének lépéseit az AKS szolgáltatásnév hitelesítő adataival a tárolóregisztrációs adatbázisból való lekéréshez.
Megjegyzés:
Ha a fürt és a tárolóregisztrációs adatbázis különböző bérlőkben található, nem csatolhatja a beállításjegyzéket és nem hitelesíthető AKS által felügyelt identitással.
Forgatókönyv áttekintése
A példához tartozó feltételezések:
- Az AKS-fürt az A bérlőben, az Azure-tárolóregisztrációs adatbázis pedig a B bérlőben található.
- Az AKS-fürt szolgáltatásnév-hitelesítéssel van konfigurálva az A bérlőben. További információ arról, hogyan hozhat létre és használhat egyszerű szolgáltatást az AKS-fürthöz.
Legalább az AKS-fürt előfizetésében közreműködői szerepkörre és a tárolóregisztrációs adatbázis előfizetésében lévő tulajdonosi szerepkörre van szüksége.
A következő lépések végrehajtásával végezheti el a következőket:
- Hozzon létre egy új több-bérlős alkalmazást (szolgáltatásnév) az A bérlőben.
- Az alkalmazás kiépítése a B bérlőben.
- A szolgáltatásnév konfigurálása a beállításjegyzékből való lekérésre a B bérlőben
- Az A bérlő AKS-fürtjének frissítése az új szolgáltatásnév használatával történő hitelesítéshez
Step-by-step instructions
1. lépés: Több-bérlős Microsoft Entra-alkalmazás létrehozása
Jelentkezzen be az Azure Portalra az A bérlőben.
Search for and select Microsoft Entra ID.
A Kezelés területen válassza a Alkalmazásregisztrációk > + Új regisztráció lehetőséget.
A támogatott fióktípusokban válassza a Fiókok lehetőséget bármely szervezeti címtárban.
Az Átirányítási URI elemnél írja be a következőt: https://www.microsoft.com.
Válassza ki a pénztárgépet.
Az Áttekintés lapon jegyezze fel az alkalmazás (ügyfél) azonosítóját. A 2. és a 4. lépésben fogjuk használni.
A Tanúsítványok > titkos kódok területen válassza az +Új ügyfélkód lehetőséget.
Adjon meg egy leírást, például jelszót, és válassza a Hozzáadás lehetőséget.
Az ügyfél titkos kulcsaiban jegyezze fel az ügyfél titkos kódjának értékét. Ezzel frissítheti az AKS-fürt szolgáltatásnevét a 4. lépésben.
2. lépés: A szolgáltatásnév kiépítése az ACR-bérlőben
Nyissa meg a következő hivatkozást egy rendszergazdai fiókkal a B bérlőben. Ahol ez látható, szúrja be a B bérlő azonosítóját és a több-bérlős alkalmazás alkalmazásazonosítóját (ügyfél-azonosítóját).
https://login.microsoftonline.com/<Tenant B ID>/oauth2/authorize?client_id=<Multitenant application ID>&response_type=code&redirect_uri=<redirect url>
Válassza ki a hozzájárulást a szervezet nevében, majd az Elfogadás lehetőséget.
3. lépés: Szolgáltatásnév engedélyének megadása a beállításjegyzékből való lekéréshez
A B bérlőben rendelje hozzá az AcrPull szerepkört a szolgáltatásnévhez, amely a céltároló-beállításjegyzékre terjed ki. A szerepkör hozzárendeléséhez használhatja az Azure Portalt vagy más eszközöket. Az Azure CLI használatával végzett lépésekért lásd : Azure Container Registry-hitelesítés szolgáltatásnevek használatával.
4. lépés: Az AKS frissítése a Microsoft Entra alkalmazás titkos kódjával
Használja az 1. lépésben összegyűjtött több-bérlős alkalmazásazonosítót és ügyfélkulcsot az AKS szolgáltatásnév hitelesítő adatainak frissítéséhez.
A szolgáltatásnév frissítése több percet is igénybe vehet.
További lépések
- További információ az Azure Container Registry szolgáltatásnevek használatával történő hitelesítésével kapcsolatban
- További információ a kubernetes dokumentációjában található képkérési titkos kódokról
- Tudnivalók az alkalmazás- és szolgáltatásnév-objektumokról a Microsoft Entra-azonosítóban
- További információ az Azure Container Registry kubernetes-fürtből történő hitelesítésének forgatókönyveiről