Udostępnianie obrazów maszyn wirtualnych z galerii w dzierżawach platformy Azure przy użyciu rejestracji aplikacji

Galerie obliczeniowe platformy Azure umożliwiają udostępnianie obrazu innej organizacji przy użyciu rejestracji aplikacji. Aby uzyskać więcej informacji na temat innych opcji udostępniania, zobacz Udostępnianie galerii.

Jeśli jednak chcesz udostępniać obrazy poza dzierżawą platformy Azure, na dużą skalę, utwórz rejestrację aplikacji. Użycie rejestracji aplikacji może umożliwić bardziej złożone scenariusze udostępniania, takie jak:

• Zarządzanie udostępnionymi obrazami, gdy jedna firma uzyskuje inne, a infrastruktura platformy Azure jest rozłożona między oddzielne dzierżawy.
• Partnerzy platformy Azure zarządzają infrastrukturą platformy Azure w imieniu swoich klientów. Dostosowywanie obrazów odbywa się w ramach dzierżawy partnerów, ale wdrożenia infrastruktury będą wykonywane w dzierżawie klienta.

Tworzenie rejestracji aplikacji

Utwórz rejestrację aplikacji, która będzie używana przez obie dzierżawy do udostępniania zasobów galerii obrazów.

1. Otwórz Rejestracje aplikacji w witrynie Azure Portal.
2. Wybierz pozycję Nowa rejestracja z menu w górnej części strony.
3. W polu Nazwa wpisz myGalleryApp.
4. W obszarze Obsługiwane typy kont wybierz pozycję Konta w dowolnym katalogu organizacyjnym (dowolny katalog Firmy Microsoft — multitenant) i konta osobiste Microsoft (np. Skype, Xbox).
5. W polu Identyfikator URI przekierowania wybierz pozycję Sieć Web z listy rozwijanej Wybierz platformę i wpisz https://www.microsoft.com, a następnie wybierz pozycję Zarejestruj. Po utworzeniu rejestracji aplikacji zostanie otwarta strona przeglądu.
6. Na stronie przeglądu skopiuj identyfikator aplikacji (klienta) i zapisz go do użycia później.
7. Wybierz pozycję Certyfikaty i klucze tajne, a następnie wybierz przycisk Nowy klucz tajny klienta.
8. W polu Opis wpisz Wpis tajny aplikacji między dzierżawami w galerii.
9. W obszarze Wygasa zmień wartość z wartości domyślnej 6 miesięcy (zalecane) na 12 miesięcy , a następnie wybierz pozycję Dodaj.
10. Skopiuj wartość wpisu tajnego i zapisz go w bezpiecznym miejscu. Nie można go pobrać po opuszczeniu strony.

Nadaj aplikacji uprawnienie rejestracji do korzystania z galerii.

1. W witrynie Azure Portal wybierz galerię obliczeń platformy Azure, którą chcesz udostępnić innej dzierżawie.
2. Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) i w obszarze Dodaj przypisanie roli wybierz pozycję Dodaj.
3. W obszarze Rola wybierz pozycję Czytelnik.
4. W obszarze Przypisz dostęp do: pozostaw to jako użytkownika, grupę lub jednostkę usługi firmy Microsoft.
5. W obszarze Wybierz członków wpisz myGalleryApp i wybierz ją po wyświetleniu jej na liście. Po zakończeniu wybierz pozycję Przejrzyj i przypisz.

Nadaj dzierżawie 2 dostęp

Nadaj dzierżawie 2 dostęp do aplikacji, żądając logowania przy użyciu przeglądarki. Zastąp <wartość Tenant2 ID identyfikatorem> dzierżawy dla dzierżawy, z którą chcesz udostępnić galerię obrazów. Użytkownicy mogą zobaczyć swój identyfikator dzierżawy przy użyciu polecenia interfejsu wiersza polecenia az account showplatformy Azure .

Zastąp <identyfikator aplikacji (klienta) identyfikatorem> aplikacji utworzonej rejestracji aplikacji. Po zakończeniu tworzenia zamian wklej adres URL w przeglądarce i postępuj zgodnie z monitami logowania, aby zalogować się do dzierżawy 2.

https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F 

W witrynie Azure Portal zaloguj się jako dzierżawa 2 i przyznaj grupie zasobów dostęp do rejestracji aplikacji, w której chcesz utworzyć maszynę wirtualną.

1. Wybierz grupę zasobów, a następnie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). W obszarze Dodaj przypisanie roli wybierz pozycję Dodaj.
2. W obszarze Rola wpisz Współautor.
3. W obszarze Przypisz dostęp do: pozostaw to jako użytkownika, grupę lub jednostkę usługi firmy Microsoft.
4. W obszarze Wybierz członków wpisz nazwę myGalleryApp , a następnie wybierz ją po wyświetleniu jej na liście. Po zakończeniu wybierz pozycję Przejrzyj i przypisz.

Uwaga

Musisz poczekać, aż wersja obrazu zostanie całkowicie skompilowana i zreplikowana, zanim będzie można użyć tego samego obrazu zarządzanego, aby utworzyć inną wersję obrazu.

Ważne

Nie można użyć portalu do wdrożenia maszyny wirtualnej z obrazu w innej dzierżawie platformy Azure. Aby utworzyć maszynę wirtualną na podstawie obrazu udostępnionego między dzierżawami, musisz użyć interfejsu wiersza polecenia platformy Azure lub programu PowerShell.

Tworzenie maszyny wirtualnej

Przed utworzeniem maszyny wirtualnej na podstawie obrazu udostępnionego podczas rejestracji aplikacji potrzebne będą następujące elementy:

• Identyfikatory dzierżawy z subskrypcji źródłowej i subskrypcji, w której chcesz utworzyć maszynę wirtualną.
• Identyfikator klienta rejestracji aplikacji i wpis tajny.
• Identyfikator obrazu, którego chcesz użyć.

Interfejs wiersza polecenia

Zaloguj się do jednostki usługi dla dzierżawy 1 przy użyciu identyfikatora appID, klucza aplikacji i identyfikatora dzierżawy 1. W razie potrzeby możesz pobrać az account show --query "tenantId" identyfikatory dzierżawy.

W tym przykładzie pokazano, jak utworzyć maszynę wirtualną na podstawie uogólnionego obrazu. Jeśli używasz wyspecjalizowanego obrazu, zobacz Tworzenie maszyny wirtualnej przy użyciu wyspecjalizowanej wersji obrazu.

tenant1='<ID for tenant 1>'
tenant2='<ID for tenant 2>'
appid='<client ID of the app registration>'
secret='<secret from the app registration>'

az account clear
az login --service-principal -u $appid -p $secret --tenant $tenant1
az account get-access-token 

Zaloguj się do jednostki usługi dla dzierżawy 2 przy użyciu identyfikatora appID, klucza aplikacji i identyfikatora dzierżawy 2:

az login --service-principal -u $appid -p $secret --tenant $tenant2
az account get-access-token

Utwórz maszynę wirtualną. Zastąp informacje w przykładzie własnymi.

imageid="<ID of the image that you want to use>"
az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image $imageid \
  --admin-username azureuser \
  --generate-ssh-keys

Program PowerShell

Zaloguj się do obu dzierżaw przy użyciu identyfikatora aplikacji, wpisu tajnego i identyfikatora dzierżawy.

$applicationId = '<App ID>'
$secret = <Secret> | ConvertTo-SecureString -AsPlainText -Force
$tenant1 = "<Tenant 1 ID>"
$tenant2 = "<Tenant 2 ID>"
$cred = New-Object -TypeName PSCredential -ArgumentList $applicationId, $secret
Clear-AzContext
Connect-AzAccount -ServicePrincipal -Credential $cred  -Tenant "<Tenant 1 ID>"
Connect-AzAccount -ServicePrincipal -Credential $cred -Tenant "<Tenant 2 ID>"

Utwórz maszynę wirtualną w grupie zasobów, która ma uprawnienia do rejestracji aplikacji. Zastąp informacje w tym przykładzie własnymi.

W tym przykładzie pokazano, jak utworzyć maszynę wirtualną na podstawie uogólnionego obrazu. Jeśli używasz wyspecjalizowanego obrazu, zobacz Tworzenie maszyny wirtualnej przy użyciu wyspecjalizowanej wersji obrazu.

$resourceGroup = "myResourceGroup"
$location = "South Central US"
$vmName = "myVMfromImage"

# Set a variable for the image version in Tenant 1 using the full image ID of the image version
$image = "/subscriptions/<Tenant 1 subscription>/resourceGroups/<Resource group>/providers/Microsoft.Compute/galleries/<Gallery>/images/<Image definition>/versions/<version>"

# Create user object
$cred = Get-Credential -Message "Enter a username and password for the virtual machine."

# Create a resource group
New-AzResourceGroup -Name $resourceGroup -Location $location

# Networking pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name mySubnet -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork -ResourceGroupName $resourceGroup -Location $location `
  -Name MYvNET -AddressPrefix 192.168.0.0/16 -Subnet $subnetConfig
$pip = New-AzPublicIpAddress -ResourceGroupName $resourceGroup -Location $location `
  -Name "mypublicdns$(Get-Random)" -AllocationMethod Static -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig -Name myNetworkSecurityGroupRuleRDP  -Protocol Tcp `
  -Direction Inbound -Priority 1000 -SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * `
  -DestinationPortRange 3389 -Access Allow
$nsg = New-AzNetworkSecurityGroup -ResourceGroupName $resourceGroup -Location $location `
  -Name myNetworkSecurityGroup -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface -Name myNic -ResourceGroupName $resourceGroup -Location $location `
  -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -NetworkSecurityGroupId $nsg.Id

# Create a virtual machine configuration using the $image variable to specify the image
$vmConfig = New-AzVMConfig -VMName $vmName -VMSize Standard_D1_v2 | `
Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
Set-AzVMSourceImage -Id $image | `
Add-AzVMNetworkInterface -Id $nic.Id

# Create a virtual machine
New-AzVM -ResourceGroupName $resourceGroup -Location $location -VM $vmConfig

Następne kroki

Jeśli wystąpią jakiekolwiek problemy, możesz rozwiązać problemy z galeriami.