Katalógus megosztása egy előfizetés vagy bérlő összes felhasználójával (előzetes verzió)

Ez a cikk azt ismerteti, hogyan oszthat meg egy Azure Compute Galleryt adott előfizetésekkel vagy bérlőkkel közvetlen megosztott katalógus használatával. Sharing a gallery with tenants and subscriptions give them read-only access to your gallery.

Fontos

Azure Compute Gallery – a közvetlen megosztott katalógus jelenleg előzetes verzióban érhető el, és az Azure Compute Gallery előzetes verziójának feltételei érvényesek.

Ha az előnézet alatt közvetlen megosztott katalógusban szeretné közzétenni a képeket, regisztrálnia kell a következő helyen https://aka.ms/directsharedgallery-preview: . Küldje el az űrlapot, és ossza meg üzleti ügyét. Nincs szükség további hozzáférésre a képek használatához, a virtuális gépek közvetlen megosztott katalógusból való létrehozása a cél-előfizetésben vagy bérlőben lévő összes Azure-felhasználó számára meg van nyitva. A legtöbb esetben elegendő az RBAC/bérlők közötti megosztás szolgáltatásnévvel, és arra ösztönzi az ügyfeleket, hogy használják az RBAC-megosztást. Csak akkor kérjen hozzáférést a Közvetlen megosztott katalógus funkcióhoz, ha széles körben meg szeretné osztani a képeket az előfizetésben/bérlőben lévő összes felhasználóval, és ha üzleti ügye közvetlen megosztott katalógushoz való hozzáférést igényel.

Az előzetes verzióban létre kell hoznia egy új gyűjteményt, amelynek tulajdonsága sharingProfile.permissionsGroupsa következő. Ha a parancssori felület használatával hoz létre katalógust, használja a paramétert --permissions groups . Nem használhat meglévő gyűjteményt, a tulajdonság jelenleg nem frissíthető.

Megjegyzés:

Vegye figyelembe, hogy a rendszerképek olvasási engedélyekkel használhatók a virtuális gépek és lemezek üzembe helyezéséhez.

A közvetlen megosztott katalógus használatakor a rendszer széles körben terjeszti a képeket az előfizetés/bérlő összes felhasználója számára, míg a közösségi katalógus nyilvánosan terjeszti a képeket. Javasoljuk, hogy körültekintően járjon el a szellemi tulajdont tartalmazó képek megosztásakor a széles körű terjesztés megakadályozása érdekében.

Az Azure Compute Galleryben három fő módon oszthat meg képeket attól függően, hogy kivel szeretne megosztani:

Megosztás a következőkkel:	Személyek	Groups	Service Principal	Egy adott előfizetés (vagy) bérlő összes felhasználója	Nyilvánosan az Azure összes felhasználójával
RBAC-megosztás	Igen	Yes	Igen	Nem	Nem
RBAC + Közvetlen megosztott katalógus	Igen	Yes	Yes	Igen	Nem
RBAC + Közösségi galéria	Igen	Yes	Igen	Nem	Igen

Korlátozások

Az előzetes verzióban:

• Csak 30 előfizetést és 5 bérlőt oszthat meg.
• Only images can be shared. Az előzetes verzióban nem oszthat meg közvetlenül virtuálisgép-alkalmazást.
• A direct shared gallery can't contain encrypted image versions. Encrypted images can't be created within a gallery that is directly shared.
• Csak az előfizetés tulajdonosa, illetve az előfizetés vagy a katalógus szintjén a Compute Gallery Sharing Admin szerepkörhöz hozzárendelt felhasználó vagy szolgáltatásnév lesz képes csoportalapú megosztást engedélyezni.
• Létre kell hoznia egy új katalógust, amelynek a tulajdonsága sharingProfile.permissionsGroupsa következő. Ha a parancssori felület használatával hoz létre katalógust, használja a paramétert --permissions groups . Nem használhat meglévő gyűjteményt, a tulajdonság jelenleg nem frissíthető.
• PowerShell, Ansible, and Terraform aren't supported at this time.
• A képverzió régiójának a katalógusban meg kell egyeznie a régió otthoni régiójával, és olyan régiók közötti verziót kell létrehoznia, ahol az otthoni régió eltér a katalógustól, azonban ha a rendszerkép az otthoni régióban van, más régiókba is replikálható
• Kormányzati felhőkben nem érhető el
• Ha közvetlen megosztott lemezképeket használ a célelőfizetésben, a közvetlen megosztott rendszerképek csak a virtuális gép/VMSS létrehozási paneljén találhatók.
• Ismert probléma: Ha közvetlen megosztott rendszerképből hoz létre virtuális gépet az Azure Portalon, ha kijelöl egy régiót, jelöljön ki egy képet, majd módosítsa a régiót, hibaüzenet jelenik meg: "A rendszerkép replikációs régióiban csak virtuális gépet hozhat létre" hibaüzenet jelenik meg, még akkor is, ha a rendszerkép az adott régióba van replikálva. A hiba megszüntetéséhez válasszon ki egy másik régiót, majd váltson vissza a kívánt régióra. Ha a kép elérhető, törölje a hibaüzenetet.

Előfeltételek

Létre kell hoznia egy új közvetlen megosztott katalógust . A közvetlen megosztott katalógusban a sharingProfile.permissions tulajdonság értéke Groupsa következő. Ha a parancssori felület használatával hoz létre katalógust, használja a paramétert --permissions groups . Nem használhat meglévő gyűjteményt, a tulajdonság jelenleg nem frissíthető.

A közvetlen megosztott katalógussal való megosztás működése

Először hozzon létre egy katalógust, Microsoft.Compute/Galleries és válasszon groups megosztási lehetőségként.

Ha elkészült, megoszthatja katalógusát előfizetésekkel és bérlőkkel. A katalógust csak az előfizetés tulajdonosa, illetve az előfizetés vagy a katalógus szintjén szerepkörrel rendelkező Compute Gallery Sharing Admin felhasználó vagy szolgáltatásnév oszthatja meg. Ezen a ponton az Azure-infrastruktúra a proxy írásvédett regionális erőforrásait hozza létre a Microsoft.Compute/SharedGalleries. Csak azok az előfizetések és bérlők használhatják a proxyerőforrásokat, amelyek soha nem használják a privát erőforrásokat. A privát erőforrás közzétevőjeként a magánerőforrást kell kezelnie a nyilvános proxyerőforrások számára. Azok az előfizetések és bérlők, amelyekkel megosztotta a katalógust, a katalógus nevét fogja látni a katalógus létrehozásának előfizetés-azonosítójaként, majd a katalógus nevét.

Portal

Megjegyzés:

Ismert probléma: Ha az Azure Portalon a "Nem sikerült frissíteni az Azure számítási gyűjteményt" hibaüzenet jelenik meg, ellenőrizze, hogy rendelkezik-e tulajdonosi (vagy) számítási katalógusmegosztási rendszergazdai engedéllyel a katalógusban.

1. Jelentkezzen be az Azure Portalra.

2. Írja be az Azure Compute Galleryt a keresőmezőbe, és válassza az Azure Compute Galleryt az eredmények között.

3. Az Azure Compute Gallery lapon kattintson a Hozzáadás gombra.

4. Az Azure Compute Gallery létrehozása lapon válassza ki a megfelelő előfizetést.

5. Töltse ki az összes részletet az oldalon.

6. A lap alján válassza a Tovább: Megosztási módszer lehetőséget.

7. A Megosztás lapon válassza közvetlenül az RBAC + megosztás lehetőséget.

   

8. Ha elkészült, válassza a Véleményezés + létrehozás lehetőséget.

9. Az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget.

10. Ha az üzembe helyezés befejeződött, válassza az Ugrás az erőforráshoz lehetőséget.

A katalógus megosztása:

1. A katalógus oldalán válassza a Megosztás lehetőséget a bal oldali menüből.

2. A Közvetlen megosztási beállítások területen válassza a Hozzáadás lehetőséget.

   

3. Ha meg szeretne osztani valakit a szervezeten belül, a Típus beállításnál válassza az Előfizetés vagy bérlő lehetőséget, és válassza ki a megfelelő elemet a Bérlők és előfizetések legördülő listában. Ha a szervezeten kívüli személyekkel szeretne megosztani, válassza a szervezeten kívüli előfizetést vagy a szervezeten kívüli bérlőt, majd illessze be vagy írja be az azonosítót a szövegmezőbe.

   Ha egy katalógus meg van osztva a bérlővel, a bérlőn belüli összes előfizetés hozzáférést kap a rendszerképhez, és nem kell megosztania a bérlőben lévő egyes előfizetésekkel

4. Ha befejezte az elemek hozzáadását, válassza a Mentés lehetőséget.

CLI

Közvetlen megosztott katalógus létrehozásához létre kell hoznia a katalógust a --permissions következő paraméterrel groups: .

az sig create \
   --gallery-name myGallery \
   --permissions groups \
   --resource-group myResourceGroup  

A katalógus előfizetéssel vagy bérlővel való megosztásához használja az az sig share add

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>
az sig share add \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

Előfizetés vagy bérlő hozzáférésének eltávolítása az sig share remove használatával.

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>

az sig share remove \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

REST

Hozzon létre egy katalógust előfizetési vagy bérlői szintű megosztáshoz az Azure REST API használatával.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{gallery-name}?api-version=2020-09-30

{
	"properties": {
		"sharingProfile": {
			"permissions": "Groups"
		}
	},
	"location": "{location}
}
 

Katalógus megosztása előfizetéssel vagy bérlővel.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
  "operationType": "Add",
  "groups": [
    {
      "type": "Subscriptions",
      "ids": [
        "{SubscriptionID}"
      ]
    },
    {
      "type": "AADTenants",
      "ids": [
        "{tenantID}"
      ]
    }
  ]
}

Előfizetés vagy bérlő hozzáférésének eltávolítása.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
	"operationType": "Remove",
	"groups":[ 
		{
			"type": "Subscriptions",
			"ids": [
				"{subscriptionId1}",
				"{subscriptionId2}"
			],
},
{
			"type": "AADTenants",
			"ids": [
				"{tenantId1}",
				"{tenantId2}"
			]
		}
	]
}

A megosztás alaphelyzetbe állítása a teljes törléshez a sharingProfile.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30 

{ 
 "operationType" : "Reset", 
} 

További lépések

• Hozzon létre egy képdefiníciót és egy képverziót.
• Virtuális gép létrehozása általánosított vagy specializált rendszerképből a cél-előfizetésben vagy bérlőben lévő közvetlen megosztott rendszerképből.