Condividere una raccolta con tutti gli utenti in una sottoscrizione o tenant (anteprima)

Questo articolo illustra come condividere una raccolta di calcolo di Azure con sottoscrizioni o tenant specifici usando una raccolta condivisa diretta. La condivisione di una raccolta con tenant e sottoscrizioni consente loro l'accesso in sola lettura alla raccolta.

Importante

Raccolta di calcolo di Azure: la raccolta condivisa diretta è attualmente disponibile in ANTEPRIMA ed è soggetta alle Condizioni per l’anteprima per la Raccolta di calcolo di Azure.

Per pubblicare immagini in una raccolta condivisa diretta durante l'anteprima, è necessario registrarsi in https://aka.ms/directsharedgallery-preview. Inviare il modulo e condividere il proprio caso aziendale. Nessun accesso aggiuntivo necessario per usare le immagini. La creazione di macchine virtuali da una raccolta condivisa diretta è aperta a tutti gli utenti di Azure nella sottoscrizione di destinazione o nel tenant con cui viene condivisa la raccolta. Nella maggior parte degli scenari, il controllo degli accessi in base al ruolo/la condivisione tra tenant tramite entità servizio è sufficiente e incoraggia i clienti a sfruttare la condivisione del controllo degli accessi in base al ruolo. Richiedere l'accesso alla funzionalità Raccolta condivisa diretta solo se si desidera condividere le immagini ampiamente con tutti gli utenti nella sottoscrizione o nel tenant e se il caso aziendale richiede l'accesso alla raccolta condivisa diretta.

Durante l'anteprima, è necessario creare una nuova raccolta, con la proprietà sharingProfile.permissions impostata su Groups. Quando si usa l'interfaccia della riga di comando per creare una raccolta, usare il --permissions groups parametro . Non è possibile usare una raccolta esistente, la proprietà non può essere aggiornata.

Nota

Si noti che le immagini possono essere usate con autorizzazioni di lettura per la distribuzione di macchine virtuali e dischi.

Quando si usa la raccolta condivisa diretta, le immagini vengono distribuite ampiamente a tutti gli utenti in una sottoscrizione/tenant, mentre la raccolta della community distribuisce le immagini pubblicamente. È consigliabile prestare attenzione quando si condividono immagini che contengono proprietà intellettuale per evitare una distribuzione diffusa.

Esistono tre modi principali per condividere le immagini in una Raccolta di calcolo di Azure, a seconda degli utenti con cui si desidera condividerle:

Condivisione con:	Persone	Gruppi	Entità servizio	Tutti gli utenti in una sottoscrizione specifica (o) tenant	Pubblicamente con tutti gli utenti di Azure
Condivisione controllo degli accessi in base al ruolo	Sì	Sì	Sì	No	No
Controllo degli accessi in base al ruolo + Raccolta condivisa diretta	Sì	Sì	Sì	Sì	No
Controllo degli accessi in base al ruolo e raccolta community	Sì	Sì	Sì	No	Sì

Limiti

Durante l'anteprima:

• È possibile condividere solo 30 sottoscrizioni e 5 tenant.
• Solo le immagini possono essere condivise. Non è possibile condividere direttamente un'applicazione vm durante l'anteprima.
• Una raccolta condivisa diretta non può contenere versioni di immagini crittografate. Non è possibile creare immagini crittografate all'interno di una raccolta condivisa direttamente.
• Solo il proprietario di una sottoscrizione o un'entità servizio o un utente assegnato al Compute Gallery Sharing Admin ruolo a livello di sottoscrizione o raccolta sarà in grado di abilitare la condivisione basata su gruppo.
• È necessario creare una nuova raccolta, con la proprietà impostata sharingProfile.permissions su Groups. Quando si usa l'interfaccia della riga di comando per creare una raccolta, usare il --permissions groups parametro . Non è possibile usare una raccolta esistente, la proprietà non può essere aggiornata.
• PowerShell, Ansible e Terraform non sono attualmente supportati.
• L'area della versione dell'immagine nella raccolta deve corrispondere all'area principale dell'area geografica, creando una versione tra aree in cui l'area principale è diversa da quella della raccolta, ma una volta che l'immagine si trova nell'area principale, può essere replicata in altre aree
• Non disponibile nei cloud per enti pubblici
• Per l'uso di immagini condivise dirette nella sottoscrizione di destinazione, le immagini condivise dirette sono disponibili solo nel pannello di creazione di macchine virtuali/set di scalabilità di macchine virtuali.
• Problema noto: quando si crea una macchina virtuale da un'immagine condivisa diretta usando il portale di Azure, se si seleziona un'area, si seleziona un'immagine, quindi si modifica l'area, viene visualizzato un messaggio di errore: "È possibile creare una macchina virtuale solo nelle aree di replica di questa immagine" anche quando l'immagine viene replicata in tale area. Per eliminare l'errore, selezionare un'area diversa, quindi tornare all'area desiderata. Se l'immagine è disponibile, deve cancellare il messaggio di errore.

Prerequisiti

È necessario creare una nuova raccolta condivisa diretta. Una raccolta condivisa diretta ha la sharingProfile.permissions proprietà impostata su Groups. Quando si usa l'interfaccia della riga di comando per creare una raccolta, usare il --permissions groups parametro . Non è possibile usare una raccolta esistente, la proprietà non può essere aggiornata.

Funzionamento della condivisione con la raccolta condivisa diretta

Prima di tutto si crea una raccolta in Microsoft.Compute/Galleries e si sceglie groups come opzione di condivisione.

Quando si è pronti, si condivide la raccolta con sottoscrizioni e tenant. Solo il proprietario di una sottoscrizione, un utente o un'entità servizio con il Compute Gallery Sharing Admin ruolo a livello di sottoscrizione o raccolta, può condividere la raccolta. A questo punto, l'infrastruttura di Azure crea risorse di area di sola lettura proxy, in Microsoft.Compute/SharedGalleries. Solo le sottoscrizioni e i tenant condivisi con possono interagire con le risorse proxy, non interagiscono mai con le risorse private. L'editore della risorsa privata deve considerare la risorsa privata come handle per le risorse proxy pubbliche. Le sottoscrizioni e i tenant con cui è stata condivisa la raccolta vedranno il nome della raccolta come ID sottoscrizione in cui è stata creata la raccolta, seguito dal nome della raccolta.

Portale

Nota

Problema noto: nella portale di Azure, se viene visualizzato un errore "Non è stato possibile aggiornare la raccolta di calcolo di Azure", verificare se si dispone dell'autorizzazione di amministratore di condivisione della raccolta di calcolo (o) proprietario (o) della raccolta di calcolo.

1. Accedere al portale di Azure.

2. Digitare Raccolta di calcolo di Azure nella casella di ricerca e selezionare Raccolta di calcolo di Azure nei risultati.

3. Nella pagina Raccolta di calcolo di Azure fare clic su Aggiungi.

4. Nella pagina Crea raccolta di calcolo di Azure selezionare la sottoscrizione corretta.

5. Completare tutti i dettagli nella pagina.

6. Nella parte inferiore della pagina selezionare Successivo: metodo condiviso.

7. Nella scheda Condivisione selezionare Controllo degli accessi in base al ruolo e condivisione diretta.

   

8. Al termine, selezionare Rivedi e crea.

9. Al termine della convalida selezionare Crea.

10. Una volta completata la distribuzione, selezionare Vai alla risorsa.

Per condividere la raccolta:

1. Nella pagina della raccolta selezionare Condivisione dal menu a sinistra.

2. In Impostazioni di condivisione diretta selezionare Aggiungi.

   

3. Se si vuole condividere con un utente all'interno dell'organizzazione, per Tipo selezionare Sottoscrizione o Tenant e scegliere l'elemento appropriato dall'elenco a discesa Tenant e sottoscrizioni . Se si vuole condividere con un utente esterno all'organizzazione, selezionare Sottoscrizione all'esterno dell'organizzazione o Tenant all'esterno dell'organizzazione e quindi incollare o digitare l'ID nella casella di testo.

   Quando una raccolta viene condivisa con il tenant, tutte le sottoscrizioni all'interno del tenant otterranno l'accesso all'immagine e non dovranno condividerle con singole sottoscrizioni nel tenant

4. Al termine dell'aggiunta di elementi, selezionare Salva.

CLI

Per creare una raccolta condivisa diretta, è necessario creare la raccolta con il --permissions parametro impostato su groups.

az sig create \
   --gallery-name myGallery \
   --permissions groups \
   --resource-group myResourceGroup  

Per iniziare a condividere la raccolta con una sottoscrizione o un tenant, usare az sig share add

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>
az sig share add \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

Rimuovere l'accesso per una sottoscrizione o un tenant usando az sig share remove.

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>

az sig share remove \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

REST

Creare una raccolta per la condivisione a livello di sottoscrizione o tenant usando l'API REST di Azure.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{gallery-name}?api-version=2020-09-30

{
	"properties": {
		"sharingProfile": {
			"permissions": "Groups"
		}
	},
	"location": "{location}
}
 

Condividere una raccolta per la sottoscrizione o il tenant.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
  "operationType": "Add",
  "groups": [
    {
      "type": "Subscriptions",
      "ids": [
        "{SubscriptionID}"
      ]
    },
    {
      "type": "AADTenants",
      "ids": [
        "{tenantID}"
      ]
    }
  ]
}

Rimuovere l'accesso per una sottoscrizione o un tenant.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
	"operationType": "Remove",
	"groups":[ 
		{
			"type": "Subscriptions",
			"ids": [
				"{subscriptionId1}",
				"{subscriptionId2}"
			],
},
{
			"type": "AADTenants",
			"ids": [
				"{tenantId1}",
				"{tenantId2}"
			]
		}
	]
}

Reimpostare la condivisione per cancellare tutti gli elementi in sharingProfile.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30 

{ 
 "operationType" : "Reset", 
} 

Passaggi successivi

• Creare una definizione di immagine e una versione dell'immagine.
• Creare una macchina virtuale da un'immagine generalizzata o specializzata da un'immagine condivisa diretta nella sottoscrizione o nel tenant di destinazione.