Udostępnij za pośrednictwem

Pobieranie obrazów z rejestru kontenerów do klastra AKS w innej dzierżawie Microsoft Entra

W niektórych przypadkach możesz mieć klaster Azure AKS w jednej dzierżawie Microsoft Entra i rejestr kontenerów Azure w innej dzierżawie. W tym artykule przedstawiono procedurę włączania uwierzytelniania między dzierżawami przy użyciu poświadczeń zasadniczego użytkownika usługi AKS do pobierania z rejestru kontenerów.

Uwaga

Nie można dołączyć rejestru i uwierzytelnić się za pomocą tożsamości zarządzanej AKS, jeśli klaster i rejestr kontenerów znajdują się w różnych dzierżawach.

Omówienie scenariusza

Założenia dla tego przykładu:

Potrzebujesz co najmniej roli Współautor w subskrypcji klastra usługi AKS. Będziesz również potrzebować co najmniej ról Administrator Kontroli Dostępu opartej na Rolach oraz Współtwórca Rejestru Kontenerów i Administrator Konfiguracji Dostępu do Danych w subskrypcji rejestru kontenerów.

Wykonaj następujące czynności, aby:

  1. Utwórz nową aplikację wielodostępną (jednostkę usługi) w dzierżawcy A.
  2. Aprowizuj aplikację w dzierżawie B.
  3. Skonfiguruj jednostkę usługi, aby pobierać z rejestru w dzierżawie B.
  4. Zaktualizuj klaster usługi AKS w dzierżawie A , aby uwierzytelnić się przy użyciu nowej jednostki usługi.

Instrukcje krok po kroku

Krok 1: Tworzenie wielodostępnej aplikacji Microsoft Entra

  1. Zaloguj się do portalu Azure w dzierżawcy A.

  2. Wyszukaj i wybierz pozycję Microsoft Entra ID.

  3. W obszarze Zarządzanie wybierz pozycję Rejestracje > aplikacji i Nowa rejestracja.

  4. W obszarze Obsługiwane typy kont wybierz pozycję Konta w dowolnym katalogu organizacyjnym.

  5. W polu Identyfikator URI przekierowania wprowadź https://www.microsoft.com.

  6. Wybierz pozycję Zarejestruj.

  7. Na stronie Przegląd zanotuj identyfikator aplikacji (klienta). Ten identyfikator jest używany w kroku 2 i kroku 4.

    Identyfikator aplikacji głównej usługi

  8. W obszarze Certyfikaty i wpisy tajne w obszarze Wpisy tajne klienta wybierz pozycję + Nowy klucz tajny klienta.

  9. Wprowadź opis , taki jak Hasło , a następnie wybierz pozycję Dodaj.

  10. W obszarze Tajne dane klienta zanotuj wartość klucza tajnego klienta. Służy do aktualizowania głównego obiektu usługi klastra AKS w kroku 4.

    Konfiguruj tajemnicę klienta

Krok 2. Utwórz tożsamość usługi w dzierżawie ACR

  1. Otwórz następujący link przy użyciu konta administratora w dzierżawie B. Tam, gdzie zaznaczono, wstaw identyfikator dzierżawy B i identyfikator aplikacji wielodostępnej (identyfikator klienta).

    https://login.microsoftonline.com/<Tenant B ID>/oauth2/authorize?client_id=<Multitenant application ID>&response_type=code&redirect_uri=<redirect url>

  2. Wybierz pozycję Zgoda w imieniu organizacji , a następnie pozycję Zaakceptuj.

    Przyznaj dzierżawcy dostęp do aplikacji

Krok 3. Udzielanie uprawnień jednostki usługi do ściągania z rejestru

W dzierżawie B przypisz prawidłową rolę do jednostki usługi o określonym zakresie w docelowym rejestrze kontenerów. Należy przypisać Container Registry Repository Reader (w przypadku rejestrów z włączoną usługą ABAC) lub AcrPull (w przypadku rejestrów innych niż ABAC).

Aby przypisać rolę, możesz użyć witryny Azure Portal lub innych narzędzi. Aby zobaczyć przykładowe kroki przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz Uwierzytelnianie w Azure Container Registry za pomocą zasad usługi.

Zrzut ekranu przedstawiający przypisywanie roli do aplikacji wielodostępnej.

Krok 4. Aktualizowanie usługi AKS z użyciem tajnego klucza aplikacji Microsoft Entra

Użyj identyfikatora aplikacji wielodostępnej (klienta) i klucza tajnego klienta zebranego w kroku 1, aby zaktualizować poświadczenia jednostki usługi AKS.

Aktualizowanie jednostki usługi może potrwać kilka minut.

Następne kroki