Udostępnij za pośrednictwem

Ściąganie obrazów z rejestru kontenerów do klastra usługi AKS w innej dzierżawie firmy Microsoft Entra

  • Artykuł

W niektórych przypadkach możesz mieć klaster usługi Azure AKS w jednej dzierżawie usługi Microsoft Entra i rejestrze kontenerów platformy Azure w innej dzierżawie. W tym artykule przedstawiono procedurę włączania uwierzytelniania między dzierżawami przy użyciu poświadczeń jednostki usługi AKS do ściągania z rejestru kontenerów.

Uwaga

Nie można dołączyć rejestru i uwierzytelnić się przy użyciu tożsamości zarządzanej usługi AKS, gdy klaster i rejestr kontenerów znajdują się w różnych dzierżawach.

Omówienie scenariusza

Założenia dla tego przykładu:

  • Klaster AKS znajduje się w dzierżawie A , a rejestr kontenerów platformy Azure znajduje się w dzierżawie B.
  • Klaster AKS jest skonfigurowany z uwierzytelnianiem jednostki usługi w dzierżawie A. Dowiedz się więcej na temat tworzenia i używania jednostki usługi dla klastra usługi AKS.

Potrzebujesz co najmniej roli Współautor w subskrypcji klastra usługi AKS i roli Właściciel w subskrypcji rejestru kontenerów.

Aby wykonać następujące czynności:

  • Utwórz nową wielodostępną aplikację (jednostkę usługi) w dzierżawie A.
  • Aprowizuj aplikację w dzierżawie B.
  • Konfigurowanie jednostki usługi w celu ściągnięcia z rejestru w dzierżawie B
  • Aktualizowanie klastra AKS w dzierżawie A w celu uwierzytelnienia przy użyciu nowej jednostki usługi

Instrukcje krok po kroku

Krok 1. Tworzenie wielodostępnych aplikacji Firmy Microsoft Entra

  1. Zaloguj się do witryny Azure Portal w dzierżawie A.

  2. Wyszukaj i wybierz Tożsamość Microsoft Entra.

  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > + Nowa rejestracja.

  4. W obszarze Obsługiwane typy kont wybierz pozycję Konta w dowolnym katalogu organizacyjnym.

  5. W polu Identyfikator URI przekierowania wprowadź ciąg https://www.microsoft.com.

  6. Wybierz pozycję Zarejestruj.

  7. Na stronie Przegląd zanotuj identyfikator aplikacji (klienta). Będzie on używany w krokach 2 i Krok 4.

    Identyfikator aplikacji jednostki usługi

  8. W obszarze Certyfikaty i wpisy tajne w obszarze Wpisy tajne klienta wybierz pozycję + Nowy klucz tajny klienta.

  9. Wprowadź opis, taki jak Hasło, a następnie wybierz pozycję Dodaj.

  10. W obszarze Wpisy tajne klienta zanotuj wartość klucza tajnego klienta. Służy do aktualizowania jednostki usługi klastra usługi AKS w kroku 4.

    Konfigurowanie wpisu tajnego klienta

Krok 2. Aprowizuj jednostkę usługi w dzierżawie usługi ACR

  1. Otwórz następujący link przy użyciu konta administratora w dzierżawie B. W przypadku wskazania wstaw identyfikator dzierżawy B i identyfikator aplikacji (identyfikator klienta) aplikacji wielodostępnej.

    https://login.microsoftonline.com/<Tenant B ID>/oauth2/authorize?client_id=<Multitenant application ID>&response_type=code&redirect_uri=<redirect url>

  2. Wybierz pozycję Zgoda w imieniu organizacji , a następnie pozycję Zaakceptuj.

    Udzielanie dzierżawie dostępu do aplikacji

Krok 3. Udzielanie uprawnień jednostki usługi do ściągania z rejestru

W dzierżawie B przypisz rolę AcrPull do jednostki usługi w zakresie do docelowego rejestru kontenerów. Aby przypisać rolę, możesz użyć witryny Azure Portal lub innych narzędzi. Aby zapoznać się z przykładowymi krokami przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz Uwierzytelnianie usługi Azure Container Registry z jednostkami usługi.

Przypisywanie roli acrpull do aplikacji wielodostępnej

Krok 4. Aktualizowanie usługi AKS przy użyciu wpisu tajnego aplikacji Microsoft Entra

Użyj identyfikatora aplikacji wielodostępnej (klienta) i klucza tajnego klienta zebranego w kroku 1, aby zaktualizować poświadczenia jednostki usługi AKS.

Aktualizowanie jednostki usługi może potrwać kilka minut.

Następne kroki