Menarik gambar dari registri kontainer ke kluster AKS di penyewa Microsoft Entra yang berbeda

Dalam beberapa kasus, Anda mungkin memiliki kluster Azure AKS dalam satu penyewa Microsoft Entra dan registri kontainer Azure Anda di penyewa yang berbeda. Artikel ini membahas langkah-langkah untuk mengaktifkan autentikasi lintas penyewa menggunakan kredensial perwakilan layanan AKS untuk ditarik dari registri kontainer.

Catatan

Anda tidak dapat melampirkan registri dan mengautentikasi menggunakan identitas terkelola AKS saat kluster dan registri kontainer berada di penyewa yang berbeda.

Gambaran umum skenario

Asumsi untuk contoh ini:

• Kluster AKS berada di Penyewa A dan registri kontainer Azure berada di Penyewa B.
• Kluster AKS dikonfigurasi dengan autentikasi prinsipal layanan di Penyewa A. Pelajari selengkapnya tentang cara membuat dan menggunakan perwakilan layanan untuk kluster AKS Anda.

Anda memerlukan setidaknya peran Kontributor dalam langganan kluster AKS dan peran Pemilik dalam langganan registri kontainer.

Anda menggunakan langkah berikut untuk:

• Membuat aplikasi multipenyewa baru (perwakilan layanan) di Penyewa A.
• Penyediaan aplikasi di Penyewa B.
• Mengonfigurasi perwakilan layanan untuk ditarik dari registri di Penyewa B
• Perbarui kluster AKS di Penyewa A untuk mengautentikasi menggunakan perwakilan layanan baru

Instruksi langkah demi langkah

Langkah 1: Membuat aplikasi Microsoft Entra multipenyewa

1. Masuk ke portal Microsoft Azure di Penyewa A.

2. Mencari dan memilih Microsoft Entra ID.

3. Di Kelola, pilih Pendaftaran aplikasi > + Pendaftaran baru.

4. Di Jenis akun yang didukung, pilih Akun di direktori organisasi apa pun.

5. Di URI Pengalihan, masukkan https://www.microsoft.com.

6. Pilih Daftarkan.

7. Di halaman Gambaran Umum, perhatikan ID Aplikasi (klien). Ini akan digunakan di Langkah 2 dan Langkah 4.

   

8. Di Sertifikat & rahasia, di Rahasia klien, pilih + Rahasia klien baru.

9. Masukkan Deskripsi seperti Kata Sandi dan pilih Tambahkan.

10. Di Rahasia klien, perhatikan nilai rahasia klien. Anda menggunakannya untuk memperbarui perwakilan layanan kluster AKS di Langkah 4.

    

Langkah 2: Sediakan perwakilan layanan di penyewa ACR

1. Buka tautan berikut menggunakan akun admin di Penyewa B. Jika ditunjukkan, masukkan ID Penyewa B dan ID aplikasi (ID klien) dari aplikasi multipenyewa.

   https://login.microsoftonline.com/<Tenant B ID>/oauth2/authorize?client_id=<Multitenant application ID>&response_type=code&redirect_uri=<redirect url>
   

2. Pilih Persetujuan atas nama organisasi Anda lalu pilih Terima.

   

Langkah 3: Beri izin perwakilan layanan untuk ditarik dari registri

Di Penyewa, tetapkan peran AcrPull ke perwakilan layanan, yang tercakup dalam registri kontainer target. Anda dapat menggunakan portal Microsoft Azure atau alat lain untuk menetapkan peran. Misalnya contoh langkah-langkah menggunakan Azure CLI, lihat Autentikasi Azure Container Registry dengan perwakilan layanan.

Langkah 4: Perbarui AKS dengan rahasia aplikasi Microsoft Entra

Gunakan ID aplikasi multipenyewa (klien) dan rahasia klien yang dikumpulkan di Langkah 1 untuk memperbarui kredensial perwakilan layanan AKS.

Memperbarui perwakilan layanan dapat memerlukan waktu beberapa menit.

Langkah berikutnya

• Pelajari selengkapnya tentang Autentikasi Azure Container Registry dengan perwakilan layanan
• Pelajari selengkapnya tentang rahasia penarikan gambar dalam dokumentasi Kubernetes

• Pelajari tentang objek aplikasi dan perwakilan layanan di ID Microsoft Entra
• Pelajari selengkapnya tentang skenario untuk mengautentikasi dengan Azure Container Registry dari kluster Kubernetes