Ściąganie obrazów z rejestru kontenerów do klastra usługi AKS w innej dzierżawie firmy Microsoft Entra

W niektórych przypadkach możesz mieć klaster usługi Azure AKS w jednej dzierżawie usługi Microsoft Entra i rejestrze kontenerów platformy Azure w innej dzierżawie. W tym artykule przedstawiono procedurę włączania uwierzytelniania między dzierżawami przy użyciu poświadczeń jednostki usługi AKS do ściągania z rejestru kontenerów.

Uwaga

Nie można dołączyć rejestru i uwierzytelnić się przy użyciu tożsamości zarządzanej usługi AKS, gdy klaster i rejestr kontenerów znajdują się w różnych dzierżawach.

Omówienie scenariusza

Założenia dla tego przykładu:

• Klaster AKS znajduje się w dzierżawie A , a rejestr kontenerów platformy Azure znajduje się w dzierżawie B.
• Klaster AKS jest skonfigurowany z uwierzytelnianiem jednostki usługi w dzierżawie A. Dowiedz się więcej na temat tworzenia i używania jednostki usługi dla klastra usługi AKS.

Potrzebujesz co najmniej roli Współautor w subskrypcji klastra usługi AKS i roli Właściciel w subskrypcji rejestru kontenerów.

Aby wykonać następujące czynności:

• Utwórz nową wielodostępną aplikację (jednostkę usługi) w dzierżawie A.
• Aprowizuj aplikację w dzierżawie B.
• Konfigurowanie jednostki usługi w celu ściągnięcia z rejestru w dzierżawie B
• Aktualizowanie klastra AKS w dzierżawie A w celu uwierzytelnienia przy użyciu nowej jednostki usługi

Instrukcje krok po kroku

Krok 1. Tworzenie wielodostępnych aplikacji Firmy Microsoft Entra

1. Zaloguj się do witryny Azure Portal w dzierżawie A.

2. Wyszukaj i wybierz Tożsamość Microsoft Entra.

3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > + Nowa rejestracja.

4. W obszarze Obsługiwane typy kont wybierz pozycję Konta w dowolnym katalogu organizacyjnym.

5. W polu Identyfikator URI przekierowania wprowadź ciąg https://www.microsoft.com.

6. Wybierz pozycję Zarejestruj.

7. Na stronie Przegląd zanotuj identyfikator aplikacji (klienta). Będzie on używany w krokach 2 i Krok 4.

   

8. W obszarze Certyfikaty i wpisy tajne w obszarze Wpisy tajne klienta wybierz pozycję + Nowy klucz tajny klienta.

9. Wprowadź opis, taki jak Hasło, a następnie wybierz pozycję Dodaj.

10. W obszarze Wpisy tajne klienta zanotuj wartość klucza tajnego klienta. Służy do aktualizowania jednostki usługi klastra usługi AKS w kroku 4.

    

Krok 2. Aprowizuj jednostkę usługi w dzierżawie usługi ACR

1. Otwórz następujący link przy użyciu konta administratora w dzierżawie B. W przypadku wskazania wstaw identyfikator dzierżawy B i identyfikator aplikacji (identyfikator klienta) aplikacji wielodostępnej.

   https://login.microsoftonline.com/<Tenant B ID>/oauth2/authorize?client_id=<Multitenant application ID>&response_type=code&redirect_uri=<redirect url>
   

2. Wybierz pozycję Zgoda w imieniu organizacji , a następnie pozycję Zaakceptuj.

   

Krok 3. Udzielanie uprawnień jednostki usługi do ściągania z rejestru

W dzierżawie B przypisz rolę AcrPull do jednostki usługi w zakresie do docelowego rejestru kontenerów. Aby przypisać rolę, możesz użyć witryny Azure Portal lub innych narzędzi. Aby zapoznać się z przykładowymi krokami przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz Uwierzytelnianie usługi Azure Container Registry z jednostkami usługi.

Krok 4. Aktualizowanie usługi AKS przy użyciu wpisu tajnego aplikacji Microsoft Entra

Użyj identyfikatora aplikacji wielodostępnej (klienta) i klucza tajnego klienta zebranego w kroku 1, aby zaktualizować poświadczenia jednostki usługi AKS.

Aktualizowanie jednostki usługi może potrwać kilka minut.

Następne kroki

• Dowiedz się więcej o uwierzytelnianiu usługi Azure Container Registry przy użyciu jednostek usługi
• Dowiedz się więcej o wpisach tajnych ściągania obrazów w dokumentacji platformy Kubernetes

• Dowiedz się więcej o obiektach aplikacji i jednostki usługi w identyfikatorze Entra firmy Microsoft
• Dowiedz się więcej o scenariuszach uwierzytelniania w usłudze Azure Container Registry z klastra Kubernetes