Megosztás a következőn keresztül:


Összetevők átvitele egy másik beállításjegyzékbe

Ez a cikk bemutatja, hogyan továbbíthatja a rendszerképek vagy más beállításjegyzék-összetevők gyűjteményeit egy Azure-tárolóregisztrációs adatbázisból egy másik beállításjegyzékbe. A forrás- és célregisztrációs adatbázisok lehetnek azonos vagy különböző előfizetésekben, Active Directory-bérlőkben, Azure-felhőkben vagy fizikailag leválasztott felhőkben.

Az összetevők átviteléhez hozzon létre egy átviteli folyamatot, amely blobtároló használatával replikálja az összetevőket két adatbázis között:

  • A forrásregisztrációs adatbázisból származó összetevőket a rendszer egy forrástárfiók blobjába exportálja
  • A blob át lesz másolva a forrástárfiókból egy céltárfiókba
  • A céltárfiók blobja a célregisztrációs adatbázis összetevőként lesz importálva. Beállíthatja, hogy az importálási folyamat aktiválódik, amikor az összetevő-blob frissül a céltárolóban.

Ebben a cikkben az átviteli folyamat létrehozásához és futtatásához szükséges erőforrásokat hozza létre. Az Azure CLI-vel kiépíteni lehet a társított erőforrásokat, például a tárolási titkos kulcsokat. Az Azure CLI 2.2.0-s vagy újabb verziója ajánlott. Ha telepíteni vagy frissíteni szeretné a parancssori felületet, olvassa el az Azure CLI telepítését ismertető témakört.

Ez a funkció a Prémium szintű tárolóregisztrációs szolgáltatási szinten érhető el. A beállításjegyzék szolgáltatási szintjeiről és korlátairól további információt az Azure Container Registry szintjeiben talál.

Fontos

Ez a szolgáltatás jelenleg előzetes kiadásban elérhető. Az előzetes verziók azzal a feltétellel érhetők el, hogy Ön beleegyezik a kiegészítő használati feltételekbe. A szolgáltatás néhány eleme megváltozhat a nyilvános rendelkezésre állás előtt.

Fontolja meg a használati esetet

Az átvitel ideális a tartalom másolásához két Azure-tárolóregisztrációs adatbázis között fizikailag leválasztott felhőkben, amelyeket az egyes felhők tárfiókjai közvetítenek. Ha ehelyett lemezképeket szeretne másolni a csatlakoztatott felhők tárolóregisztrációs adatbázisaiból, beleértve a Docker Hubot és más felhőgyártókat, a rendszerképek importálása ajánlott.

Előfeltételek

  • Tárolóregisztrációs adatbázisok – Szüksége van egy meglévő forrásregisztrációs adatbázisra, amely összetevőket továbbít, és egy célregisztrációs adatbázisra. Az ACR-átvitel fizikailag leválasztott felhők közötti mozgásra szolgál. A teszteléshez a forrás- és célregisztrációs adatbázisok ugyanabban vagy egy másik Azure-előfizetésben, Active Directory-bérlőben vagy felhőben lehetnek.

    Ha létre kell hoznia egy beállításjegyzéket, olvassa el a rövid útmutatót: Privát tárolóregisztrációs adatbázis létrehozása az Azure CLI használatával.

  • Tárfiókok – Hozzon létre forrás- és céltárfiókokat egy tetszőleges előfizetésben és helyen. Tesztelési célokra ugyanazokat az előfizetéseket vagy előfizetéseket használhatja, mint a forrás- és célregisztrációs adatbázisok. A felhők közötti forgatókönyvek esetében általában minden felhőben külön tárfiókot hoz létre.

    Szükség esetén hozza létre a tárfiókokat az Azure CLI-vel vagy más eszközökkel.

    Hozzon létre egy blobtárolót az összetevők átviteléhez minden fiókban. Hozzon létre például egy átvitel nevű tárolót.

  • Kulcstartók – Kulcstartókra van szükség a forrás- és tárolófiókok eléréséhez használt SAS-jogkivonat titkos kulcsainak tárolásához. Hozza létre a forrás- és célkulcstartókat ugyanabban az Azure-előfizetésben vagy -előfizetésben, mint a forrás- és célregisztrációs adatbázisok. A bemutató céljából a cikkben használt sablonok és parancsok azt is feltételezik, hogy a forrás- és célkulcstartók ugyanabban az erőforráscsoportban találhatók, mint a forrás- és célregisztrációs adatbázisok. A gyakori erőforráscsoportok használata nem kötelező, de leegyszerűsíti a cikkben használt sablonokat és parancsokat.

    Szükség esetén hozzon létre kulcstartókat az Azure CLI-vel vagy más eszközökkel.

  • Környezeti változók – Ebben a cikkben például a következő környezeti változókat állíthatja be a forrás- és célkörnyezetekhez. Minden példa a Bash-rendszerhéjhoz van formázva.

    SOURCE_RG="<source-resource-group>"
    TARGET_RG="<target-resource-group>"
    SOURCE_KV="<source-key-vault>"
    TARGET_KV="<target-key-vault>"
    SOURCE_SA="<source-storage-account>"
    TARGET_SA="<target-storage-account>"
    

Forgatókönyv áttekintése

A következő három folyamaterőforrást hozza létre a rendszerkép-átvitelhez a regisztrációs adatbázisok között. Mindegyik PUT-műveletekkel jön létre. Ezek az erőforrások a forrás- és célregisztrációs adatbázisokon és tárfiókokon működnek.

A tárhitelesítés SAS-jogkivonatokat használ, kulcstartókban titkos kulcsként kezelve. A folyamatok felügyelt identitásokkal olvassák be a titkos kulcsokat a tárolókban.

  • ExportPipeline – Hosszú élettartamú erőforrás, amely magas szintű információkat tartalmaz a forrásregisztrációs adatbázisról és a tárfiókról. Ezek az információk a forrástároló blobtároló URI-jára és a forrás SAS-jogkivonatot kezelő kulcstartóra is kiterjednek.
  • ImportPipeline – Hosszú élettartamú erőforrás, amely magas szintű információkat tartalmaz a célregisztrációs adatbázisról és a tárfiókról. Ezek az információk a céltároló blobtároló URI-jára és a cél SAS-jogkivonatot kezelő kulcstartóra is kiterjednek. Az importálási eseményindító alapértelmezés szerint engedélyezve van, így a folyamat automatikusan fut, amikor egy összetevő-blob a céltárolóba kerül.
  • PipelineRun – ExportPipeline vagy ImportPipeline erőforrás meghívására használt erőforrás.
    • Az ExportPipeline manuális futtatásához hozzon létre egy PipelineRun-erőforrást, és adja meg az exportálandó összetevőket.
    • Ha egy importálási eseményindító engedélyezve van, az ImportPipeline automatikusan fut. Manuálisan is futtatható PipelineRun használatával.
    • Jelenleg az egyes PipelineRun-okkal legfeljebb 50 összetevő helyezhető át.

Tudnivalók

  • Az ExportPipeline és az ImportPipeline általában a forrás- és célfelhőkhöz társított különböző Active Directory-bérlőkben lesz. Ez a forgatókönyv külön felügyelt identitásokat és kulcstartókat igényel az exportálási és importálási erőforrásokhoz. Tesztelési célokból ezek az erőforrások ugyanabban a felhőben helyezhetők el, identitások megosztásával.
  • Alapértelmezés szerint az ExportPipeline és az ImportPipeline sablonok mindegyike lehetővé teszi a rendszer által hozzárendelt felügyelt identitás számára a kulcstartó titkos kulcsainak elérését. Az ExportPipeline és az ImportPipeline sablonok szintén támogatják a felhasználó által megadott identitást.

SAS-kulcsok létrehozása és tárolása

Az átvitel közös hozzáférésű jogosultságkód (SAS) jogkivonatokat használ a forrás- és célkörnyezetekben lévő tárfiókok eléréséhez. Jogkivonatok létrehozása és tárolása az alábbi szakaszokban leírtak szerint.

Fontos

Bár az ACR Transfer egy Keyvault-titkos kódban tárolt, manuálisan létrehozott SAS-jogkivonattal fog működni, éles számítási feladatokhoz erősen javasoljuk a Keyvault Managed Storage SAS-definíciós titkos kulcsok használatát.

SAS-jogkivonat létrehozása exportáláshoz

Futtassa az az storage container generate-sas parancsot egy SAS-jogkivonat létrehozásához a forrástárfiók tárolójához, amelyet az összetevő exportálásához használnak.

Ajánlott jogkivonat-engedélyek: Olvasás, Írás, Lista, Hozzáadás.

Az alábbi példában a parancs kimenete a EXPORT_SAS környezeti változóhoz van rendelve, amelynek előtagja a "?" karakter. Frissítse a --expiry környezet értékét:

EXPORT_SAS=?$(az storage container generate-sas \
  --name transfer \
  --account-name $SOURCE_SA \
  --expiry 2021-01-01 \
  --permissions alrw \
  --https-only \
  --output tsv)

SAS-jogkivonat tárolása exportáláshoz

Tárolja az SAS-jogkivonatot a forrás Azure-kulcstartóban az keyvault titkos kódkészlettel:

az keyvault secret set \
  --name acrexportsas \
  --value $EXPORT_SAS \
  --vault-name $SOURCE_KV

SAS-jogkivonat létrehozása importáláshoz

Futtassa az az storage container generate-sas parancsot egy SAS-jogkivonat létrehozásához a tárolóhoz a céltárfiókban, amelyet az összetevők importálásához használnak.

Ajánlott jogkivonat-engedélyek: Olvasás, Törlés, Lista

Az alábbi példában a parancs kimenete a IMPORT_SAS környezeti változóhoz van rendelve, amelynek előtagja a "?" karakter. Frissítse a --expiry környezet értékét:

IMPORT_SAS=?$(az storage container generate-sas \
  --name transfer \
  --account-name $TARGET_SA \
  --expiry 2021-01-01 \
  --permissions dlr \
  --https-only \
  --output tsv)

SAS-jogkivonat tárolása importáláshoz

Tárolja az SAS-jogkivonatot a cél Azure-kulcstartóban az keyvault titkos kódkészlettel:

az keyvault secret set \
  --name acrimportsas \
  --value $IMPORT_SAS \
  --vault-name $TARGET_KV

Következő lépések