Vm-installatiekopieën in de galerie delen in Azure-tenants met behulp van een app-registratie

Met Azure Compute-galerieën kunt u een installatiekopieën delen met een andere organisatie met behulp van een app-registratie. Zie de galerie delen voor meer informatie over andere opties voor delen.

Maar als u installatiekopieën buiten uw Azure-tenant wilt delen, moet u op schaal een app-registratie maken. Het gebruik van een app-registratie kan complexere scenario's voor delen mogelijk maken, zoals:

• Gedeelde installatiekopieën beheren wanneer één bedrijf een ander bedrijf krijgt en de Azure-infrastructuur wordt verspreid over afzonderlijke tenants.
• Azure-partners beheren de Azure-infrastructuur namens hun klanten. Het aanpassen van installatiekopieën wordt uitgevoerd binnen de tenant van de partners, maar de infrastructuurimplementaties worden uitgevoerd in de tenant van de klant.

De app-registratie maken

Maak een toepassingsregistratie die door beide tenants wordt gebruikt om de resources van de installatiekopieëngalerie te delen.

1. Open de App-registraties in Azure Portal.
2. Selecteer Nieuwe registratie in het menu bovenaan de pagina.
3. Typ myGalleryApp in Name.
4. In ondersteunde accounttypen selecteert u Accounts in een organisatiedirectory (Elke Microsoft Entra-directory - Multitenant) en persoonlijke Microsoft-accounts (bijvoorbeeld Skype, Xbox).
5. Selecteer in omleidings-URI het web in de vervolgkeuzelijst Een platform selecteren en typ https://www.microsoft.comen selecteer Vervolgens Registreren. Nadat de app-registratie is gemaakt, wordt de overzichtspagina geopend.
6. Kopieer op de overzichtspagina de toepassings-id (client) en sla deze op voor later gebruik.
7. Selecteer Certificaten en geheimen en selecteer vervolgens Nieuw clientgeheim.
8. Typ in Beschrijving het geheim van de app Galerie voor meerdere tenants.
9. Bij Verlopen wijzigt u van de standaardwaarde van 6 maanden (aanbevolen) in 12 maanden en selecteert u Vervolgens Toevoegen.
10. Kopieer de waarde van het geheim en sla het op een veilige plaats op. U kunt deze niet ophalen nadat u de pagina hebt verlaten.

Geef de app-registratie toestemming om de galerie te gebruiken.

1. Selecteer in Azure Portal de Azure Compute Gallery die u wilt delen met een andere tenant.
2. Selecteer Toegangsbeheer (IAM) en selecteer onder Roltoewijzing toevoegen de optie Toevoegen.
3. Selecteer Lezer onder Rol.
4. Laat onder Toegang toewijzen aan:, laat dit staan als Microsoft Entra-gebruiker, -groep of -service-principal.
5. Typ onder Leden selecteren myGalleryApp en selecteer deze wanneer deze wordt weergegeven in de lijst. Wanneer u klaar bent, selecteert u Beoordelen en toewijzen.

Tenant 2 toegang geven

Geef Tenant 2 toegang tot de toepassing door een aanmelding aan te vragen met behulp van een browser. Vervang <tenant2-id> door de tenant-id voor de tenant waarmee u uw installatiekopieëngalerie wilt delen. Gebruikers kunnen hun tenant-id zien met behulp van de Azure CLI-opdracht az account show.

Vervang <de toepassings-id> (client) door de toepassings-id van de app-registratie die u hebt gemaakt. Als u klaar bent met het maken van de vervangingen, plakt u de URL in een browser en volgt u de aanmeldingsprompts om u aan te melden bij Tenant 2.

https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F 

Meld u in Azure Portal aan als tenant 2 en geef de app-registratie toegang tot de resourcegroep waar u de VIRTUELE machine wilt maken.

1. Selecteer de resourcegroep en selecteer vervolgens Toegangsbeheer (IAM). Selecteer Toevoegen onder Roltoewijzing toevoegen.
2. Typ Inzender onder Rol.
3. Laat onder Toegang toewijzen aan:, laat dit staan als Microsoft Entra-gebruiker, -groep of -service-principal.
4. Typ onder Leden selecteren myGalleryApp en selecteer deze wanneer deze wordt weergegeven in de lijst. Wanneer u klaar bent, selecteert u Beoordelen en toewijzen.

Notitie

U moet wachten tot de installatiekopieversie volledig is gebouwd en gerepliceerd voordat u dezelfde beheerde installatiekopie kunt gebruiken om een andere versie van de installatiekopie te maken.

Belangrijk

U kunt de portal niet gebruiken om een VIRTUELE machine te implementeren vanuit een installatiekopieën in een andere Azure-tenant. Als u een VIRTUELE machine wilt maken op basis van een installatiekopieën die worden gedeeld tussen tenants, moet u de Azure CLI of PowerShell gebruiken.

De VM maken

U hebt het volgende nodig voordat u een virtuele machine maakt op basis van een installatiekopieën die met u zijn gedeeld met behulp van een app-registratie:

• De tenant-id's van zowel het bronabonnement als het abonnement waarin u de VIRTUELE machine wilt maken.
• De client-id van de app-registratie en het geheim.
• De afbeeldings-id van de afbeelding die u wilt gebruiken.

CLI

Meld u aan bij de service-principal voor tenant 1 met behulp van de appID, de app-sleutel en de id van tenant 1. U kunt az account show --query "tenantId" de tenant-id's zo nodig ophalen.

In dit voorbeeld laten we zien hoe u een virtuele machine maakt op basis van een gegeneraliseerde installatiekopieën. Als u een gespecialiseerde installatiekopieën gebruikt, raadpleegt u Een VIRTUELE machine maken met behulp van een gespecialiseerde installatiekopieënversie.

tenant1='<ID for tenant 1>'
tenant2='<ID for tenant 2>'
appid='<client ID of the app registration>'
secret='<secret from the app registration>'

az account clear
az login --service-principal -u $appid -p $secret --tenant $tenant1
az account get-access-token 

Meld u aan bij de service-principal voor tenant 2 met behulp van de appID, de app-sleutel en de id van tenant 2:

az login --service-principal -u $appid -p $secret --tenant $tenant2
az account get-access-token

Maak de VM. Vervang de informatie in het voorbeeld door uw eigen informatie.

imageid="<ID of the image that you want to use>"
az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image $imageid \
  --admin-username azureuser \
  --generate-ssh-keys

Powershell

Meld u aan bij beide tenants met behulp van de toepassings-id, het geheim en de tenant-id.

$applicationId = '<App ID>'
$secret = <Secret> | ConvertTo-SecureString -AsPlainText -Force
$tenant1 = "<Tenant 1 ID>"
$tenant2 = "<Tenant 2 ID>"
$cred = New-Object -TypeName PSCredential -ArgumentList $applicationId, $secret
Clear-AzContext
Connect-AzAccount -ServicePrincipal -Credential $cred  -Tenant "<Tenant 1 ID>"
Connect-AzAccount -ServicePrincipal -Credential $cred -Tenant "<Tenant 2 ID>"

Maak de VIRTUELE machine in de resourcegroep die is gemachtigd voor de app-registratie. Vervang de informatie in dit voorbeeld door uw eigen informatie.

In dit voorbeeld laten we zien hoe u een virtuele machine maakt op basis van een gegeneraliseerde installatiekopieën. Als u een gespecialiseerde installatiekopieën gebruikt, raadpleegt u Een VIRTUELE machine maken met behulp van een gespecialiseerde installatiekopieënversie.

$resourceGroup = "myResourceGroup"
$location = "South Central US"
$vmName = "myVMfromImage"

# Set a variable for the image version in Tenant 1 using the full image ID of the image version
$image = "/subscriptions/<Tenant 1 subscription>/resourceGroups/<Resource group>/providers/Microsoft.Compute/galleries/<Gallery>/images/<Image definition>/versions/<version>"

# Create user object
$cred = Get-Credential -Message "Enter a username and password for the virtual machine."

# Create a resource group
New-AzResourceGroup -Name $resourceGroup -Location $location

# Networking pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name mySubnet -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork -ResourceGroupName $resourceGroup -Location $location `
  -Name MYvNET -AddressPrefix 192.168.0.0/16 -Subnet $subnetConfig
$pip = New-AzPublicIpAddress -ResourceGroupName $resourceGroup -Location $location `
  -Name "mypublicdns$(Get-Random)" -AllocationMethod Static -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig -Name myNetworkSecurityGroupRuleRDP  -Protocol Tcp `
  -Direction Inbound -Priority 1000 -SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * `
  -DestinationPortRange 3389 -Access Allow
$nsg = New-AzNetworkSecurityGroup -ResourceGroupName $resourceGroup -Location $location `
  -Name myNetworkSecurityGroup -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface -Name myNic -ResourceGroupName $resourceGroup -Location $location `
  -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -NetworkSecurityGroupId $nsg.Id

# Create a virtual machine configuration using the $image variable to specify the image
$vmConfig = New-AzVMConfig -VMName $vmName -VMSize Standard_D1_v2 | `
Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
Set-AzVMSourceImage -Id $image | `
Add-AzVMNetworkInterface -Id $nic.Id

# Create a virtual machine
New-AzVM -ResourceGroupName $resourceGroup -Location $location -VM $vmConfig

Volgende stappen

Als u problemen ondervindt, kunt u galerieën oplossen.