Предоставление общего доступа к изображениям с помощью коллекции сообщества

Чтобы предоставить общий доступ ко всем пользователям Azure, можно создать коллекцию сообщества. Коллекции сообщества могут использовать любые пользователи с подпиской Azure. Пользователь, создающий виртуальную машину, может просматривать образы, к которым предоставлен доступ сообществу, с помощью портала, REST или Azure CLI.

Предоставление доступа к образам для сообщества — это новая возможность в Коллекции вычислений Azure. Вы можете сделать коллекции образов общедоступными и предоставить им общий доступ ко всем клиентам Azure. Когда коллекция помечена как коллекция сообщества, все образы в этой коллекции становятся доступными для всех клиентов Azure в качестве нового типа ресурсов в разделе Microsoft.Compute/communityGalleries. Эти коллекции будут видны для всех клиентов Azure, которые смогут их использовать для создания виртуальных машин. Исходные ресурсы типа Microsoft.Compute/galleries по-прежнему находятся в вашей подписке и не являются общедоступными.

Важно!

Корпорация Майкрософт не предоставляет поддержку образов, которые вы делаете общедоступными для сообщества.

Существует три основных способа предоставления общего доступа к образами в Коллекции вычислений Azure (в зависимости от того, кому предоставляется доступ):

Совместное использование:	Люди	Группы	Субъект-служба	Все пользователи в определенном клиенте подписки (или)	Общедоступный доступ ко всем пользователям в Azure
Общий доступ к RBAC	Да	Да	Да	No	No
RBAC + Общая коллекция Direct	Да	Да	Да	Да	Нет
Коллекция RBAC + Community	Да	Да	Да	No	Да

Примечание.

Обратите внимание, что образы можно использовать с разрешениями на чтение для развертывания виртуальных машин и дисков.

При использовании прямой общей коллекции образы распределяются широко всем пользователям в подписке или клиенте, а коллекция сообщества распространяет образы публично. Рекомендуется соблюдать осторожность при обмене изображениями, содержащими интеллектуальную собственность, чтобы предотвратить широкое распространение.

Заявление об отказе

Образы сообщества и связанные сведения издателя не проверяются корпорацией Майкрософт или не проверяются. Вы несете ответственность за любой образ сообщества, который вы развертываете или используете. Вы несете ответственность за работу с издателями изображений. Утвержденные базовые образы операционной системы см. в разделе " Утвержденные базовые образы". Другие образы, созданные нашими проверенными издателями, см. в Azure Marketplace.

Ограничения для образов, предоставляемых для сообщества

Существует ряд ограничений, связанных с предоставлением общего доступа к коллекции для сообщества:

• Вы не можете преобразовать существующую частную коллекцию (RBAC с поддержкой коллекции) в коллекцию Community.
• Вы не можете использовать сторонний образ из Marketplace и опубликовать его в сообществе. Список утвержденных базовых образов операционной системы см. в разделе " Утвержденные базовые образы".
• Зашифрованные изображения не поддерживаются
• Ресурсы изображений необходимо создать в том же регионе, что и коллекция. Например, если вы создаете коллекцию в Западной части США, определения изображений и версии изображений должны быть созданы в Западной части США, если вы хотите сделать их доступными.
• Вы пока не можете предоставить общий доступ к приложениям виртуальной машины сообществу.

Принцип предоставления общего доступа для сообщества

Вы создаете ресурс коллекции в разделе Microsoft.Compute/Galleries и выбираете community в качестве параметра общего доступа.

Когда вы будете готовы, помечаете коллекцию как готовую к общедоступному доступу. Включить общий доступ к коллекции для сообщества может только владелец подписки или пользователь или субъект-служба с ролью Compute Gallery Sharing Admin на уровне подписки или коллекции. На этом этапе инфраструктура Azure создает региональные прокси-ресурсы, доступные только для чтения, в Microsoft.Compute/CommunityGalleries, которые являются общедоступными.

Конечные пользователи могут взаимодействовать только с прокси-ресурсами, они никогда не взаимодействуют с частными ресурсами. Как издатель частного ресурса вы можете считать частный ресурс дескриптором общедоступных прокси-ресурсов. Вы prefix предоставляете при создании коллекции, а также уникальный GUID для создания общедоступного имени для коллекции.

Пользователи Azure могут просматривать последние версии образов, предоставленные сообществу на портале, или запрашивать их с помощью интерфейса командной строки. В коллекции сообщества отображается только последняя версия образа.

При создании коллекции сообщества вам потребуется предоставить контактную информацию для ваших образов. Цель и основное намерение этой информации заключается в том, чтобы упростить взаимодействие между потребителем изображения и издателем, например, если потребитель нуждается в помощи. Корпорация Майкрософт не предлагает поддержку этих образов. Эти сведения будут общедоступными, поэтому соблюдайте осторожность при предоставлении таких сведений:

• Префикс коллекции сообщества
• Адрес электронной почты службы поддержки издателя
• URL-адрес издателя
• URL-адрес юридического соглашения (не помещайте секреты, пароли, SASURI и т. д. в поле URL-адреса юридического соглашения)

Сведения из определений образов также будут общедоступными, например данные, указанные в полях Издатель, Предложение и Номер SKU.

Предупреждение

Если вы хотите прекратить общий доступ к коллекции, вы можете обновить коллекцию, чтобы прекратить общий доступ, но как только коллекция станет частной, существующие пользователи масштабируемого набора виртуальных машин не смогут масштабировать свои ресурсы.

Зачем делиться с сообществом?

Как издатель содержимого вы можете предоставить общий доступ к коллекции сообществу:

• Если у вас есть некоммерческое содержимое, не защищаемое законодательством об интеллектуальной собственности, которое вы хотите сделать общедоступным в Azure.

• Вам требуется больший контроль над количеством версий, регионов и продолжительностью доступности образа.

• Вы хотите быстро поделиться ежедневными или ночными сборками с клиентами.

• Вы не хотите решать проблемы с мультитенантной проверкой подлинности при предоставлении доступа для нескольких клиентов в Azure.

Следует ли использовать образ Marketplace или образ коллекции сообщества?

Существует множество причин, по которым может потребоваться использовать образ Azure Marketplace вместо образа коллекции сообщества. Основная причина выбора образа Azure Marketplace заключается в том, что они поддерживаются корпорацией Майкрософт, в то время как образы сообщества не являются.

Зачем использовать mage marketplace?

• Сертифицированные образы Майкрософт
• Можно использовать для рабочих нагрузок
• Внешние и сторонние образы
• Платные изображения с дополнительными предложениями программного обеспечения
• Поддерживается корпорацией Майкрософт

Когда следует использовать образ сообщества?

• Вы доверяете и знаете, как связаться с издателем
• Вы ищете версию сообщества изображения, опубликованного сообществом сообщества, опубликованного сообществом с открытым исходным кодом
• Использование образа для тестирования
• Изображения сообщества бесплатны
• Поддерживается владельцем образа, а не корпорацией Майкрософт.

Создание отчетов о проблемах с изображением сообщества

Использование образов виртуальных машин, отправленных сообществом, имеет несколько рисков. Изображения могут содержать вредоносные программы, уязвимости безопасности или нарушать интеллектуальную собственность кого-то. Чтобы создать безопасный и надежный интерфейс для сообщества, вы можете сообщить о изображениях при появлении этих проблем.

Самый простой способ сообщить о проблемах с коллекцией сообщества — использовать портал, который будет предварительно заполнять сведения для отчета:

• Для проблем с ссылками или другими сведениями в полях определения изображения выберите образ сообщества отчетов.
• Если версия образа содержит вредоносный код или возникают другие проблемы с определенной версией образа, выберите отчет в столбце версии отчетав таблице версий образа.

Кроме того, можно использовать следующие ссылки на проблемы с отчетом, но формы не будут заполнены.

• Вредоносные изображения: отчет о злоупотреблении контактом.
• Нарушения интеллектуальной собственности: контактный отчет о нарушении прав.

Рекомендации

• Изображения, опубликованные в коллекции сообщества, должны быть обобщенными изображениями, у которых были конфиденциальные или определенные данные компьютера удалены. Дополнительные сведения о подготовке образа см. в сведениях о конкретной ОС для Linux или Windows.
• Если вы хотите заблокировать общий доступ к образам сообщества на уровне организации, создайте политику Azure со следующим правилом политики, чтобы запретить общий доступ к сообществу.

  "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.Compute/galleries"
          },
          {
            "field": "Microsoft.Compute/galleries/sharingProfile.permissions",
            "equals": "Community"
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]"
      }
    }

Вопросы и ответы

Вопрос. Какая взимается плата за использование коллекции, к которой предоставлен общий доступ для сообщества?

Ответ. За использование самой услуги плата не взимается. Тем не менее, с издателей содержимого будет взиматься:

• плата за версии приложений и реплики в каждом регионе (исходном и целевом). Эти расходы зависят от выбранного типа учетной записи хранения.
• Плата за исходящий сетевой трафик репликации между регионами.

Потребители образа могут платить дополнительные затраты на программное обеспечение, если базовый образ использует образ Azure Marketplace с расходами на программное обеспечение.

Вопрос. Безопасно ли использовать образы, которые являются общедоступными для сообщества?

Ответ. Пользователи должны проявлять осторожность при использовании изображений из не проверенных источников, так как эти образы не подлежат сертификации и не проверяются на наличие вредоносных программ и уязвимостей и сведений о издателе не проверяются.

Вопрос: К кому обращаться за поддержкой, если образ, который является общедоступным для сообщества, не работает?

Ответ. Azure не несет ответственности за какие-либо проблемы, с которыми пользователи могут столкнуться с общими образами сообщества. Поддержка предоставляется издателем образа. Найдите контактные данные издателя для образа и обратитесь к ним за любой поддержкой.

Вопрос. Является ли функция совместного использования коллекции сообщества частью Azure Marketplace?

Ответ. Нет, общий доступ к коллекции сообщества не является частью Azure Marketplace, это функция "Коллекция вычислений Azure". Любой пользователь с подпиской Azure может использовать коллекцию сообщества и сделать их образы общедоступными.

Вопрос. У меня есть опасения по поводу образа, к кому мне обращаться?

Ответ. В случае проблем с образами, предоставленными сообществу:

• Чтобы сообщить о вредоносных образах, воспользуйтесь ссылкой Сообщение о нарушениях.
• Чтобы сообщить об образах, которые могут нарушать права интеллектуальной собственности, воспользуйтесь ссылкой Сообщение о нарушении прав.

Вопрос. Как можно отправить запрос на репликацию в конкретный регион для образа, доступного сообществу?

Ответ. Регионы, в которых доступны образы, определяют только издатели содержимого. Если вы не можете найти образ в определенном регионе, обратитесь к издателю напрямую.

Начало предоставления общего доступа

Чтобы предоставить общий доступ к коллекции, ее необходимо создать как коллекцию сообщества. Дополнительные сведения см. в разделе Создание коллекции сообщества

CLI

Когда вы будете готовы сделать коллекцию доступной для общественности, включите коллекцию сообщества с помощью az sig share enable-community. Общий доступ к коллекции для сообщества может активировать только пользователь, указанный в определении роли Owner.

az sig share enable-community \
   --gallery-name $galleryName \
   --resource-group $resourceGroup 

Чтобы вернуться только предоставлению общего доступа только с помощью функции управления доступом на основе ролей, используйте команду az sig share reset.

Чтобы удалить коллекцию, являющуюся общедоступной для сообщества, необходимо сначала запустить az sig share reset, чтобы прекратить общий доступ, а затем удалить коллекцию.

REST

Чтобы активировать общий доступ для сообщества, отправьте следующий запрос POST. Добавьте в запрос свойство operationType со значением EnableCommunity.

POST 
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Compu 
te/galleries/{galleryName}/share?api-version=2021-07-01 
{ 
  "operationType" : "EnableCommunity"
} 

Портал

Когда будете готовы сделать коллекцию общедоступной:

1. На странице коллекции в левом меню выберите Общий доступ.
2. Выберите Общий доступ в верхней части страницы.
3. По завершении выберите Сохранить.

Важно!

Если вы являетесь владельцем подписки, но у вас возникли проблемы с организацией общего доступа к коллекции, возможно, потребуется явным образом еще раз добавить себя в качестве владельца.

Чтобы вернуться только предоставлению общего доступа только с помощью функции управления доступом на основе ролей, используйте команду az sig share reset.

Чтобы удалить коллекцию, являющуюся общедоступной для сообщества, необходимо сначала запустить az sig share reset, чтобы прекратить общий доступ, а затем удалить коллекцию.

Следующие шаги

Создание определения образа и версии образа.

Создайте виртуальную машину из обобщенного или специализированного образа в коллекции сообщества.