Katalógus virtuálisgép-rendszerképeinek megosztása azure-bérlők között alkalmazásregisztráció használatával

Az Azure Compute Gallerys használatával egy rendszerképet megoszthat egy másik szervezettel egy alkalmazásregisztráció használatával. Az egyéb megosztási lehetőségekről további információt a gyűjtemény megosztása című témakörben talál.

Ha azonban az Azure-bérlőn kívül szeretne képeket megosztani, akkor nagy méretekben létre kell hoznia egy alkalmazásregisztrációt. Az alkalmazásregisztráció használata összetettebb megosztási forgatókönyveket is lehetővé tehet, például:

• Megosztott rendszerképek kezelése, amikor az egyik vállalat egy másikat szerez be, és az Azure-infrastruktúra szét van osztva a különböző bérlők között.
• Az Azure-partnerek ügyfeleik nevében kezelik az Azure-infrastruktúrát. A rendszerképek testreszabása a partnerek bérlőjén belül történik, de az infrastruktúra üzembe helyezése az ügyfél bérlőjében történik.

Az alkalmazásregisztráció létrehozása

Hozzon létre egy alkalmazásregisztrációt, amelyet mindkét bérlő használ a képgyűjtemény erőforrásainak megosztásához.

1. Nyissa meg a Alkalmazásregisztrációk az Azure Portalon.
2. Válassza az Új regisztráció lehetőséget a lap tetején található menüből.
3. Írja be a myGalleryApp nevet.
4. A támogatott fióktípusokban válassza a Fiókok lehetőséget bármely szervezeti könyvtárban (Bármely Microsoft Entra-címtár – Több-bérlős) és személyes Microsoft-fiókokban (pl. Skype, Xbox).
5. Az Átirányítási URI-ban válassza a Web lehetőséget a Platform kiválasztása legördülő listában, és írja be a kívánt elemethttps://www.microsoft.com, majd válassza a Regisztráció lehetőséget. Az alkalmazásregisztráció létrehozása után megnyílik az áttekintő oldal.
6. Az áttekintési lapon másolja ki az alkalmazás (ügyfél) azonosítóját , és mentse későbbi használatra.
7. Válassza a Tanúsítványok > titkos kulcsok lehetőséget, majd válassza az Új ügyfélkód lehetőséget.
8. A Leírás mezőbe írja be a katalógus bérlők közötti alkalmazáskulcsát.
9. A Lejáratok területen váltson a 6 hónapos (ajánlott) alapértelmezett értékről 12 hónapra, majd válassza a Hozzáadás lehetőséget.
10. Másolja ki a titkos kulcs értékét, és mentse egy biztonságos helyre. A lap elhagyása után nem kérhető le.

Adja meg az alkalmazásregisztrációs engedélyt a katalógus használatára.

1. Az Azure Portalon válassza ki azt az Azure Compute Galleryt, amelyet meg szeretne osztani egy másik bérlővel.
2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget, majd a Szerepkör-hozzárendelés hozzáadása csoportban válassza a Hozzáadás lehetőséget.
3. A Szerepkör csoportban válassza az Olvasó lehetőséget.
4. A Hozzáférés hozzárendelése: területen hagyja ezt Microsoft Entra-felhasználóként, csoportként vagy szolgáltatásnévként.
5. A Tagok kiválasztása csoportban írja be a myGalleryApp kifejezést, és jelölje ki, amikor megjelenik a listában. Ha elkészült, válassza a Véleményezés + hozzárendelés lehetőséget.

2. bérlői hozzáférés biztosítása

Adjon hozzáférést a 2. bérlőnek az alkalmazáshoz úgy, hogy bejelentkezést kér egy böngésző használatával. Cserélje le <a Bérlő2 azonosítót> annak a bérlőnek a bérlőazonosítójával, akivel meg szeretné osztani a képgyűjteményt. A felhasználók az Azure CLI paranccsal az account showláthatják a bérlőazonosítójukat.

Cserélje le <az alkalmazás (ügyfél) azonosítóját> a létrehozott alkalmazásregisztráció alkalmazásazonosítójára. Ha végzett a cserével, illessze be az URL-címet egy böngészőbe, és kövesse a bejelentkezési utasításokat a 2. bérlőbe való bejelentkezéshez.

https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F 

Az Azure Portalon jelentkezzen be 2. bérlőként, és adjon hozzáférést az alkalmazásregisztrációs csoportnak ahhoz az erőforráscsoporthoz, ahol létre szeretné hozni a virtuális gépet.

1. Válassza ki az erőforráscsoportot, majd válassza a Hozzáférés-vezérlés (IAM) lehetőséget. A Szerepkör-hozzárendelés hozzáadása csoportban válassza a Hozzáadás lehetőséget.
2. A Szerepkör mezőbe írja be a Közreműködő kifejezést.
3. A Hozzáférés hozzárendelése: területen hagyja ezt Microsoft Entra-felhasználóként, csoportként vagy szolgáltatásnévként.
4. A Tagok kiválasztása csoportban írja be a myGalleryAppot, majd jelölje ki, amikor megjelenik a listában. Ha elkészült, válassza a Véleményezés + hozzárendelés lehetőséget.

Feljegyzés

Meg kell várnia, amíg a rendszerkép verziója teljesen elkészül és replikálódik, mielőtt ugyanazt a felügyelt lemezképet használva létrehoz egy másik rendszerképverziót.

Fontos

A portál használatával nem helyezhet üzembe virtuális gépeket rendszerképből egy másik Azure-bérlőn. Ha bérlők között megosztott rendszerképből szeretne virtuális gépet létrehozni, az Azure CLI-t vagy a PowerShellt kell használnia.

A virtuális gép létrehozása

Ahhoz, hogy egy alkalmazásregisztrációval megosztott rendszerképből hozzon létre virtuális gépet, a következőkre lesz szüksége:

• A bérlői azonosítók a forrás-előfizetésből és az előfizetésből is származnak, ahol létre szeretné hozni a virtuális gépet.
• Az alkalmazásregisztráció ügyfélazonosítója és a titkos kód.
• A használni kívánt kép képazonosítója.

Parancssori felület

Jelentkezzen be az 1. bérlőhöz tartozó szolgáltatásnévbe az appID, az alkalmazáskulcs és az 1. bérlő azonosítója használatával. Szükség esetén lekérheti az account show --query "tenantId" a bérlőazonosítókat.

Ebben a példában bemutatjuk, hogyan hozhat létre virtuális gépet egy általánosított rendszerképből. Ha speciális rendszerképet használ, olvassa el a Virtuális gép létrehozása speciális rendszerkép-verzióval című témakört.

tenant1='<ID for tenant 1>'
tenant2='<ID for tenant 2>'
appid='<client ID of the app registration>'
secret='<secret from the app registration>'

az account clear
az login --service-principal -u $appid -p $secret --tenant $tenant1
az account get-access-token 

Jelentkezzen be a 2. bérlőhöz tartozó szolgáltatásnévbe az appID, az alkalmazáskulcs és a 2. bérlő azonosítója használatával:

az login --service-principal -u $appid -p $secret --tenant $tenant2
az account get-access-token

Hozza létre a virtuális gépet. Cserélje le a példában szereplő információkat a saját adataira.

imageid="<ID of the image that you want to use>"
az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image $imageid \
  --admin-username azureuser \
  --generate-ssh-keys

PowerShell

Jelentkezzen be mindkét bérlőbe az alkalmazásazonosító, a titkos kód és a bérlőazonosító használatával.

$applicationId = '<App ID>'
$secret = <Secret> | ConvertTo-SecureString -AsPlainText -Force
$tenant1 = "<Tenant 1 ID>"
$tenant2 = "<Tenant 2 ID>"
$cred = New-Object -TypeName PSCredential -ArgumentList $applicationId, $secret
Clear-AzContext
Connect-AzAccount -ServicePrincipal -Credential $cred  -Tenant "<Tenant 1 ID>"
Connect-AzAccount -ServicePrincipal -Credential $cred -Tenant "<Tenant 2 ID>"

Hozza létre a virtuális gépet abban az erőforráscsoportban, amely rendelkezik engedéllyel az alkalmazásregisztrációhoz. Cserélje le a példában szereplő információkat a saját adataira.

Ebben a példában bemutatjuk, hogyan hozhat létre virtuális gépet egy általánosított rendszerképből. Ha speciális rendszerképet használ, olvassa el a Virtuális gép létrehozása speciális rendszerkép-verzióval című témakört.

$resourceGroup = "myResourceGroup"
$location = "South Central US"
$vmName = "myVMfromImage"

# Set a variable for the image version in Tenant 1 using the full image ID of the image version
$image = "/subscriptions/<Tenant 1 subscription>/resourceGroups/<Resource group>/providers/Microsoft.Compute/galleries/<Gallery>/images/<Image definition>/versions/<version>"

# Create user object
$cred = Get-Credential -Message "Enter a username and password for the virtual machine."

# Create a resource group
New-AzResourceGroup -Name $resourceGroup -Location $location

# Networking pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name mySubnet -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork -ResourceGroupName $resourceGroup -Location $location `
  -Name MYvNET -AddressPrefix 192.168.0.0/16 -Subnet $subnetConfig
$pip = New-AzPublicIpAddress -ResourceGroupName $resourceGroup -Location $location `
  -Name "mypublicdns$(Get-Random)" -AllocationMethod Static -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig -Name myNetworkSecurityGroupRuleRDP  -Protocol Tcp `
  -Direction Inbound -Priority 1000 -SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * `
  -DestinationPortRange 3389 -Access Allow
$nsg = New-AzNetworkSecurityGroup -ResourceGroupName $resourceGroup -Location $location `
  -Name myNetworkSecurityGroup -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface -Name myNic -ResourceGroupName $resourceGroup -Location $location `
  -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -NetworkSecurityGroupId $nsg.Id

# Create a virtual machine configuration using the $image variable to specify the image
$vmConfig = New-AzVMConfig -VMName $vmName -VMSize Standard_D1_v2 | `
Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
Set-AzVMSourceImage -Id $image | `
Add-AzVMNetworkInterface -Id $nic.Id

# Create a virtual machine
New-AzVM -ResourceGroupName $resourceGroup -Location $location -VM $vmConfig

Következő lépések

Ha bármilyen problémába ütközik, elháríthatja a katalógusokat.