Összetevők átvitele egy másik beállításjegyzékbe
Ez a cikk bemutatja, hogyan továbbíthatja a rendszerképek vagy más beállításjegyzék-összetevők gyűjteményeit egy Azure-tárolóregisztrációs adatbázisból egy másik beállításjegyzékbe. A forrás- és célregisztrációs adatbázisok lehetnek azonos vagy különböző előfizetésekben, Active Directory-bérlőkben, Azure-felhőkben vagy fizikailag leválasztott felhőkben.
Az összetevők átviteléhez hozzon létre egy átviteli folyamatot, amely blobtároló használatával replikálja az összetevőket két adatbázis között:
- A forrásregisztrációs adatbázisból származó összetevőket a rendszer egy forrástárfiók blobjába exportálja
- A blob át lesz másolva a forrástárfiókból egy céltárfiókba
- A céltárfiók blobja a célregisztrációs adatbázis összetevőként lesz importálva. Beállíthatja, hogy az importálási folyamat aktiválódik, amikor az összetevő-blob frissül a céltárolóban.
Ebben a cikkben az átviteli folyamat létrehozásához és futtatásához szükséges erőforrásokat hozza létre. Az Azure CLI-vel kiépíteni lehet a társított erőforrásokat, például a tárolási titkos kulcsokat. Az Azure CLI 2.2.0-s vagy újabb verziója ajánlott. Ha telepíteni vagy frissíteni szeretné a parancssori felületet, olvassa el az Azure CLI telepítését ismertető témakört.
Ez a funkció a Prémium szintű tárolóregisztrációs szolgáltatási szinten érhető el. A beállításjegyzék szolgáltatási szintjeiről és korlátairól további információt az Azure Container Registry szintjeiben talál.
Fontos
Ez a szolgáltatás jelenleg előzetes kiadásban elérhető. Az előzetes verziók azzal a feltétellel érhetők el, hogy Ön beleegyezik a kiegészítő használati feltételekbe. A szolgáltatás néhány eleme megváltozhat a nyilvános rendelkezésre állás előtt.
Fontolja meg a használati esetet
Az átvitel ideális a tartalom másolásához két Azure-tárolóregisztrációs adatbázis között fizikailag leválasztott felhőkben, amelyeket az egyes felhők tárfiókjai közvetítenek. Ha ehelyett lemezképeket szeretne másolni a csatlakoztatott felhők tárolóregisztrációs adatbázisaiból, beleértve a Docker Hubot és más felhőgyártókat, a rendszerképek importálása ajánlott.
Előfeltételek
Tárolóregisztrációs adatbázisok – Szüksége van egy meglévő forrásregisztrációs adatbázisra, amely összetevőket továbbít, és egy célregisztrációs adatbázisra. Az ACR-átvitel fizikailag leválasztott felhők közötti mozgásra szolgál. A teszteléshez a forrás- és célregisztrációs adatbázisok ugyanabban vagy egy másik Azure-előfizetésben, Active Directory-bérlőben vagy felhőben lehetnek.
Ha létre kell hoznia egy beállításjegyzéket, olvassa el a rövid útmutatót: Privát tárolóregisztrációs adatbázis létrehozása az Azure CLI használatával.
Tárfiókok – Hozzon létre forrás- és céltárfiókokat egy tetszőleges előfizetésben és helyen. Tesztelési célokra ugyanazokat az előfizetéseket vagy előfizetéseket használhatja, mint a forrás- és célregisztrációs adatbázisok. A felhők közötti forgatókönyvek esetében általában minden felhőben külön tárfiókot hoz létre.
Szükség esetén hozza létre a tárfiókokat az Azure CLI-vel vagy más eszközökkel.
Hozzon létre egy blobtárolót az összetevők átviteléhez minden fiókban. Hozzon létre például egy átvitel nevű tárolót.
Kulcstartók – Kulcstartókra van szükség a forrás- és tárolófiókok eléréséhez használt SAS-jogkivonat titkos kulcsainak tárolásához. Hozza létre a forrás- és célkulcstartókat ugyanabban az Azure-előfizetésben vagy -előfizetésben, mint a forrás- és célregisztrációs adatbázisok. A bemutató céljából a cikkben használt sablonok és parancsok azt is feltételezik, hogy a forrás- és célkulcstartók ugyanabban az erőforráscsoportban találhatók, mint a forrás- és célregisztrációs adatbázisok. A gyakori erőforráscsoportok használata nem kötelező, de leegyszerűsíti a cikkben használt sablonokat és parancsokat.
Szükség esetén hozzon létre kulcstartókat az Azure CLI-vel vagy más eszközökkel.
Környezeti változók – Ebben a cikkben például a következő környezeti változókat állíthatja be a forrás- és célkörnyezetekhez. Minden példa a Bash-rendszerhéjhoz van formázva.
SOURCE_RG="<source-resource-group>" TARGET_RG="<target-resource-group>" SOURCE_KV="<source-key-vault>" TARGET_KV="<target-key-vault>" SOURCE_SA="<source-storage-account>" TARGET_SA="<target-storage-account>"
Forgatókönyv áttekintése
A következő három folyamaterőforrást hozza létre a rendszerkép-átvitelhez a regisztrációs adatbázisok között. Mindegyik PUT-műveletekkel jön létre. Ezek az erőforrások a forrás- és célregisztrációs adatbázisokon és tárfiókokon működnek.
A tárhitelesítés SAS-jogkivonatokat használ, kulcstartókban titkos kulcsként kezelve. A folyamatok felügyelt identitásokkal olvassák be a titkos kulcsokat a tárolókban.
- ExportPipeline – Hosszú élettartamú erőforrás, amely magas szintű információkat tartalmaz a forrásregisztrációs adatbázisról és a tárfiókról. Ezek az információk a forrástároló blobtároló URI-jára és a forrás SAS-jogkivonatot kezelő kulcstartóra is kiterjednek.
- ImportPipeline – Hosszú élettartamú erőforrás, amely magas szintű információkat tartalmaz a célregisztrációs adatbázisról és a tárfiókról. Ezek az információk a céltároló blobtároló URI-jára és a cél SAS-jogkivonatot kezelő kulcstartóra is kiterjednek. Az importálási eseményindító alapértelmezés szerint engedélyezve van, így a folyamat automatikusan fut, amikor egy összetevő-blob a céltárolóba kerül.
- PipelineRun – ExportPipeline vagy ImportPipeline erőforrás meghívására használt erőforrás.
- Az ExportPipeline manuális futtatásához hozzon létre egy PipelineRun-erőforrást, és adja meg az exportálandó összetevőket.
- Ha egy importálási eseményindító engedélyezve van, az ImportPipeline automatikusan fut. Manuálisan is futtatható PipelineRun használatával.
- Jelenleg az egyes PipelineRun-okkal legfeljebb 50 összetevő helyezhető át.
Tudnivalók
- Az ExportPipeline és az ImportPipeline általában a forrás- és célfelhőkhöz társított különböző Active Directory-bérlőkben lesz. Ez a forgatókönyv külön felügyelt identitásokat és kulcstartókat igényel az exportálási és importálási erőforrásokhoz. Tesztelési célokból ezek az erőforrások ugyanabban a felhőben helyezhetők el, identitások megosztásával.
- Alapértelmezés szerint az ExportPipeline és az ImportPipeline sablonok mindegyike lehetővé teszi a rendszer által hozzárendelt felügyelt identitás számára a kulcstartó titkos kulcsainak elérését. Az ExportPipeline és az ImportPipeline sablonok szintén támogatják a felhasználó által megadott identitást.
SAS-kulcsok létrehozása és tárolása
Az átvitel közös hozzáférésű jogosultságkód (SAS) jogkivonatokat használ a forrás- és célkörnyezetekben lévő tárfiókok eléréséhez. Jogkivonatok létrehozása és tárolása az alábbi szakaszokban leírtak szerint.
Fontos
Bár az ACR Transfer egy Keyvault-titkos kódban tárolt, manuálisan létrehozott SAS-jogkivonattal fog működni, éles számítási feladatokhoz erősen javasoljuk a Keyvault Managed Storage SAS-definíciós titkos kulcsok használatát.
SAS-jogkivonat létrehozása exportáláshoz
Futtassa az az storage container generate-sas parancsot egy SAS-jogkivonat létrehozásához a forrástárfiók tárolójához, amelyet az összetevő exportálásához használnak.
Ajánlott jogkivonat-engedélyek: Olvasás, Írás, Lista, Hozzáadás.
Az alábbi példában a parancs kimenete a EXPORT_SAS környezeti változóhoz van rendelve, amelynek előtagja a "?" karakter. Frissítse a --expiry
környezet értékét:
EXPORT_SAS=?$(az storage container generate-sas \
--name transfer \
--account-name $SOURCE_SA \
--expiry 2021-01-01 \
--permissions alrw \
--https-only \
--output tsv)
SAS-jogkivonat tárolása exportáláshoz
Tárolja az SAS-jogkivonatot a forrás Azure-kulcstartóban az keyvault titkos kódkészlettel:
az keyvault secret set \
--name acrexportsas \
--value $EXPORT_SAS \
--vault-name $SOURCE_KV
SAS-jogkivonat létrehozása importáláshoz
Futtassa az az storage container generate-sas parancsot egy SAS-jogkivonat létrehozásához a tárolóhoz a céltárfiókban, amelyet az összetevők importálásához használnak.
Ajánlott jogkivonat-engedélyek: Olvasás, Törlés, Lista
Az alábbi példában a parancs kimenete a IMPORT_SAS környezeti változóhoz van rendelve, amelynek előtagja a "?" karakter. Frissítse a --expiry
környezet értékét:
IMPORT_SAS=?$(az storage container generate-sas \
--name transfer \
--account-name $TARGET_SA \
--expiry 2021-01-01 \
--permissions dlr \
--https-only \
--output tsv)
SAS-jogkivonat tárolása importáláshoz
Tárolja az SAS-jogkivonatot a cél Azure-kulcstartóban az keyvault titkos kódkészlettel:
az keyvault secret set \
--name acrimportsas \
--value $IMPORT_SAS \
--vault-name $TARGET_KV
Következő lépések
Kövesse az alábbi oktatóanyagok egyikét az ACR Transfer-erőforrások létrehozásához. A legtöbb nem automatizált használati esetben az Az CLI-bővítmény használatát javasoljuk.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: