コミュニティ ギャラリーを使用してイメージを共有する

ギャラリーをすべての Azure ユーザーと共有するには、コミュニティ ギャラリー を作成できます。 コミュニティ ギャラリーは、Azure サブスクリプションを持つすべてのユーザーが使用できます。 VM を作成するユーザーは、ポータル、REST、または Azure CLI を使用して、コミュニティと共有されているイメージを参照できます。

コミュニティへのイメージの共有は、Azure Compute Gallery の新機能です。 イメージ ギャラリーをパブリックにすることで、Azure の全ユーザーに共有することができます。 コミュニティ ギャラリーとしてマークされているギャラリーにあるすべてのイメージは、Microsoft.Compute/communityGalleries 下の新しい種類のリソースとして Azure の全ユーザーに提供されます。 すべての Azure ユーザーがギャラリーを参照し、それらを使用して VM を作成できます。 元からある Microsoft.Compute/galleries タイプのリソースは、その後もご利用のサブスクリプション下にプライベートな状態で維持されます。

重要

コミュニティに共有するイメージに関して、Microsoft ではサポートを提供いたしません。

Azure Compute Gallery でイメージを共有する主な方法は、共有する相手に応じて 3 つあります。

共有相手: ユーザー グループ サービス プリンシパル 特定のサブスクリプション (または) テナント内のすべてのユーザー Azure のすべてのユーザーと公に
RBAC 共有 はい イエス 有効 No いいえ
RBAC + 直接共有ギャラリー はい イエス イエス 有効 いいえ
RBAC + コミュニティ ギャラリー はい イエス 有効 無効 イエス

Note

イメージに対する読み取りアクセス許可があると、イメージを使って仮想マシンとディスクをデプロイできることに注意してください。

直接共有ギャラリーを利用すると、イメージはサブスクリプションとテナント内のすべてのユーザーに広く配布されるのに対し、コミュニティ ギャラリーではイメージはパブリックに配布されます。 知的財産を含むイメージを共有する場合は、広く配布されないように注意することをお勧めします。

免責情報

コミュニティ イメージ と関連する発行元情報は、Microsoft によって検証またはテストされません。 デプロイまたは使用するコミュニティイメージについては、すべてお客様が単独で責任を負います。 お客様は、イメージの発行元との取引に対しても責任があります。 承認されたオペレーティング システムの基本イメージについては、「 承認済みの基本イメージ」を参照してください。 検証済みの発行元によって作成されたその他のイメージについては、Azure Marketplace を参照してください。

コミュニティに共有するイメージの制限事項

ギャラリーをコミュニティに共有する場合、いくつかの制限があります。

  • 既存のプライベート ギャラリー (RBAC 対応のギャラリー) をコミュニティ ギャラリーに変換することはできません。
  • Marketplace からサードパーティのイメージを使用してコミュニティに公開することはできません。 承認されたオペレーティング システムの基本イメージの一覧については、承認済みの基本イメージ を参照してください。
  • 暗号化されたイメージはサポートされていません
  • プレビューでは、イメージ リソースをギャラリーと同じリージョンに作成する必要があります。 たとえば、ギャラリーを米国西部に作成した場合、使用可能にするには、イメージの定義とイメージのバージョンは、米国西部で作成する必要があります。
  • VM アプリケーション をコミュニティに共有することはまだできません。

コミュニティへの共有のしくみ

Microsoft.Compute/Galleriesギャラリー リソースを作成し、共有オプションとして community を選択します。

準備が整ったら、パブリックに共有する準備が完了しているというフラグをギャラリーに設定します。 コミュニティに対するギャラリーの公開を有効にできるのは、サブスクリプションの所有者のほか、サブスクリプション レベルかギャラリー レベルの Compute Gallery Sharing Admin ロールが割り当てられたユーザーまたはサービス プリンシパルだけです。 この時点で、リージョンのプロキシ読み取り専用リソースが Azure インフラストラクチャによって Microsoft.Compute/CommunityGalleries (パブリック) に作成されます。

エンドユーザーが対話的に操作できるのは、このプロキシ リソースのみです。プライベートなリソースを対話的に操作することはできません。 プライベート リソースの発行者は、そのプライベート リソースを、パブリック プロキシ リソースへのハンドルとして捉える必要があります。 パブリックに公開されるギャラリー名は、ギャラリーの作成時に指定した prefix と、一意の GUID を使用して作成されます。

Azure ユーザーは、コミュニティに共有された最新のイメージ バージョンをポータルで、または CLI からそれらを照会することで参照できます。 コミュニティ ギャラリーに一覧表示されるのは、最新バージョンのイメージだけです。

コミュニティ ギャラリーを作成する際は、イメージの連絡先情報を指定する必要があります。 この情報の目的と根底にある意図は、イメージのコンシューマーと発行元の間のコミュニケーションを促進することです。たとえば、コンシューマーに支援が必要な場合などです。 Microsoft はこれらのイメージのサポートを提供していないことに注意してください。 この情報はパブリックに表示されるので、慎重に指定してください。

  • コミュニティ ギャラリーのプレフィックス
  • 発行元のサポートのメール アドレス
  • 発行元 URL
  • 法的契約 URL ([法的契約 URL] フィールドにはシークレット、パスワード、SASURI などを含めないでください)

イメージの定義の情報、たとえば [発行元][プラン][SKU] に指定した情報もパブリックに公開されます。

警告

ギャラリーのパブリック共有を停止したい場合は、ギャラリーを更新して共有を停止できますが、ギャラリーをプライベートにすると、仮想マシン スケール セットの既存ユーザーがそのリソースをスケーリングできなくなります。

共有先をコミュニティにする理由

コンテンツを発行する際、次の条件に該当する場合は、ギャラリーの共有先をコミュニティにすることをお勧めします。

  • 財産的価値のない非商用コンテンツを Azure で広く共有する。

  • バージョン数、リージョン、イメージの提供期間をより細かく管理したい。

  • 毎日または夜間のビルドをすばやく顧客と共有したいと考えています。

  • Azure 上の複数のテナントが共有先ではあるものの、複雑なマルチテナント認証は扱いたくない。

コミュニティ ギャラリー イメージではなく、Azure Marketplaceイメージの使用をお勧めする理由はさまざまです。 Azure Marketplace イメージを選ぶ主な理由は、Microsoft によってサポートされているということです。一方、コミュニティ イメージはそうではありません。

Marketplace イメージを使用する理由

  • Microsoft 認定イメージ
  • 運用ワークロードに使用できる
  • ファースト パーティとサード パーティのイメージ
  • 追加のソフトウェア オファリングを含む有料イメージ
  • Microsoft によってサポートされている

コミュニティ イメージを使用するのはどのような場合か

  • 発行元を信頼していて、連絡方法を知っている
  • オープンソース コミュニティによって公開されたイメージのコミュニティ バージョンを探している
  • テストにイメージを使用する
  • コミュニティのイメージは無料である
  • Microsoft ではなく、イメージの所有者によってサポートされている。

コミュニティ イメージに関する問題を報告する

コミュニティに投稿された仮想マシン イメージを使用することには、いくつかのリスクがあります。 イメージは、マルウェアやセキュリティの脆弱性が含まれている、または誰かの知的財産を侵害している場合があります。 コミュニティのために安全で信頼性の高いエクスペリエンスをつくり出せるように、これらの問題が発生した場合にイメージを報告できます。

コミュニティ ギャラリーで問題を報告する最も簡単な方法は、レポートの情報が事前に入力されるポータルを使用することです:

  • 画像定義のフィールド内のリンクやその他の情報に関する問題については、コミュニティ イメージのレポート を選択します。
  • イメージバージョンに悪意のあるコードが含まれている場合、または特定のバージョンの画像に関するその他の問題がある場合は、イメージバージョンのテーブルの レポートのバージョン 列の下にある レポート を選択します。

次のリンクを使用して問題を報告することもできますが、フォームには事前入力されません:

ベスト プラクティス

  • コミュニティ ギャラリーに公開されるイメージは、機密またはコンピューター固有の情報が削除され一般化されたイメージである必要があります。 イメージの準備の詳細については、Linux または Windows の OS 固有の情報に関するページを参照してください。
  • 組織レベルで Community へのイメージの共有をブロックする場合は、次のポリシー ルールを使用して Azure ポリシーを作成し、Community への共有を拒否します。
  "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.Compute/galleries"
          },
          {
            "field": "Microsoft.Compute/galleries/sharingProfile.permissions",
            "equals": "Community"
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]"
      }
    }

よく寄せられる質問

Q: コミュニティに共有されたギャラリーの使用料はいくらかかりますか?

A: このサービス自体に料金はかかりません。 ただし、コンテンツを発行するにあたっては次の料金が発生します。

  • 各リージョン (ソースとターゲット) でアプリケーションのバージョンとレプリカを格納するためのストレージ料金。 料金は、選択したストレージ アカウントの種類に基づきます。
  • リージョンの境界を越えたレプリケーションに必要なネットワーク エグレスの料金。

基本イメージがソフトウェア料金で Azure Marketplace イメージを使用している場合、イメージの利用者は追加のソフトウェア コストを支払う必要がある場合があります。

Q: コミュニティに共有されたイメージを使用しても安全ですか?

A: 未検証のソースのイメージを使用する場合は注意が必要です。このようなイメージは認定の対象外であり、マルウェア/脆弱性のスキャンが行われていません。また、発行元の詳細も検証されていません。

Q: コミュニティに共有されたイメージが正しく機能しない場合のサポート窓口はどこになりますか?

A: コミュニティに共有されたイメージを使用する際に問題が発生しても Azure は責任を負いかねます。 サポートはイメージ発行元によって提供されます。 イメージ発行元の連絡先情報を調べてサポートを依頼してください。

Q: コミュニティ ギャラリー共有機能は Azure Marketplace の一部ですか?

A: いいえ。コミュニティ ギャラリーの共有は Azure Marketplace の一部ではなく、"Azure Compute Gallery" の機能です。 Azure サブスクリプションを持つすべてのユーザーが "コミュニティ ギャラリー" を使用してイメージを公開できます。

Q: イメージについて懸念がある場合は、だれに連絡すればよいでしょうか?

A: コミュニティに共有されたイメージに関する問題の場合:

Q: コミュニティに共有されたイメージを特定のリージョンにレプリケートするようリクエストするにはどうすればよいですか?

A: イメージの提供リージョンを管理できるのはコンテンツ公開元だけです。 特定のリージョンにイメージが見つからない場合は、公開元に直接問い合わせてください。

パブリック共有を開始する

ギャラリーをパブリックに共有するには、それをコミュニティ ギャラリーとして作成する必要があります。 詳細については、「コミュニティ ギャラリーの作成」を参照してください。

ギャラリーを一般公開する準備ができたら、az sig share enable-community を使用してコミュニティ ギャラリーを有効にします。 ギャラリーのコミュニティ共有を有効にできるのは、Owner ロール定義内のユーザーだけです。

az sig share enable-community \
   --gallery-name $galleryName \
   --resource-group $resourceGroup 

RBAC ベースのみの共有に戻るには、az sig share reset コマンドを使用します。

コミュニティに共有されているギャラリーを削除するには、最初に az sig share reset を実行して共有を停止してから、ギャラリーを削除する必要があります。

重要

サブスクリプションの所有者として一覧表示されているにもかかわらず、ギャラリーのパブリック共有に問題がある場合は、明示的に自分自身を所有者として再び追加する必要がある場合があります。

RBAC ベースのみの共有に戻るには、az sig share reset コマンドを使用します。

コミュニティに共有されているギャラリーを削除するには、最初に az sig share reset を実行して共有を停止してから、ギャラリーを削除する必要があります。

次のステップ

イメージ定義とイメージ バージョンを作成します。

コミュニティ ギャラリー内の一般化されたまたは特殊化されたイメージから VM を作成します。