Совместное использование коллекции со всеми пользователями в подписке или клиентах (предварительная версия)

В этой статье описано, как предоставить общий доступ к Коллекции вычислений Azure определенным подпискам или арендаторам, используя коллекцию, к которой предоставлен прямой доступ. Совместное использование коллекции с арендаторами и подписками предоставляет им доступ к коллекции только для чтения.

Внимание

Коллекция вычислений Azure — это общая коллекция, которая в настоящее время работает в режиме предварительной версии и распространяется на условиях предварительной версии коллекции вычислений Azure.

Чтобы опубликовать образы в коллекции, к которой предоставлен прямой доступ, на этапе предварительной версии, необходимо зарегистрироваться на странице https://aka.ms/directsharedgallery-preview. Отправьте форму и поделитесь своим бизнес-делом. Для использования образов не требуется дополнительный доступ. Создание виртуальных машин из прямой общей коллекции открыто для всех пользователей Azure в целевой подписке или арендаторе, которому предоставлен общий доступ к коллекции. В большинстве сценариев общий доступ к RBAC или межтенантному совместному использованию субъекта-службы достаточно и рекомендует клиентам использовать общий доступ к RBAC. Запрос доступа к функции общей коллекции Direct только в том случае, если вы хотите совместно использовать образы со всеми пользователями в подписке или клиенте, и если для вашего бизнеса требуется доступ к прямой общей коллекции.

На этапе предварительной версии необходимо создать коллекцию со свойством sharingProfile.permissions со значением Groups. При использовании CLI для создания коллекции воспользуйтесь параметром --permissions groups. Существующую коллекцию использовать нельзя; в настоящее время свойство обновить нельзя.

Примечание.

Обратите внимание, что образы можно использовать с разрешениями на чтение для развертывания виртуальных машин и дисков.

При использовании прямой общей коллекции образы распределяются широко всем пользователям в подписке или клиенте, а коллекция сообщества распространяет образы публично. Рекомендуется соблюдать осторожность при обмене изображениями, содержащими интеллектуальную собственность, чтобы предотвратить широкое распространение.

Существует три основных способа предоставления общего доступа к образами в Коллекции вычислений Azure (в зависимости от того, кому предоставляется доступ):

Совместное использование:	Люди	Группы	Субъект-служба	Все пользователи в определенном клиенте подписки (или)	Общедоступный доступ ко всем пользователям в Azure
Общий доступ к RBAC	Да	Да	Да	No	No
RBAC + Общая коллекция Direct	Да	Да	Да	Да	Нет
Коллекция RBAC + Community	Да	Да	Да	No	Да

Ограничения

На этапе предварительной версии:

• Вы можете предоставить общий доступ только 30 подпискам и 5 арендаторам.
• Общий доступ можно предоставлять только к образам. Вы не можете напрямую предоставить общий доступ к приложению виртуальной машины во время предварительной версии.
• Коллекция, к которой предоставлен прямой доступ, не может содержать зашифрованные версии образа. Зашифрованные образы не могут быть созданы в коллекции, к которой предоставлен прямой доступ.
• Только владелец подписки, пользователь или субъект-служба, которым назначена роль Compute Gallery Sharing Admin на уровне подписки или коллекции, смогут включить общий доступ для групп.
• Необходимо создать коллекцию со свойством sharingProfile.permissions со значением Groups. При использовании CLI для создания коллекции воспользуйтесь параметром --permissions groups. Существующую коллекцию использовать нельзя; в настоящее время свойство обновить нельзя.
• Поддержка портала доступна только RestAPI, CLI, портал в предварительной версии. Поддержка PowerShell, Terraform появится позже.
• Хотя поддержка портала доступна для этой функции, использование образов на портале доступно только в колонке создания vm/VMSS, и нет возможности просматривать прямые общие образы непосредственно на портале.
• Область версии образа в коллекции должна совпадать с регионом домашнего региона, создавая межрегионную версию, в которой домашний регион отличается от того, что коллекция не поддерживается, однако после того как изображение находится в домашнем регионе, его можно реплицировать в другие регионы.
• Недоступно в облаках для государственных организаций
• Известная проблема. Если во время создания виртуальной машины из образа, к которому предоставлен прямой доступ, на портале Azure вы выберете регион, образ, а затем измените регион, вы получите сообщение об ошибке: You can only create VM in the replication regions of this image (Вы можете создавать виртуальные машины только в регионах репликации этого образа), даже если образ реплицировано в этот регион. Чтобы устранить ошибку, выберите другой регион, а затем снова выберите нужный регион. Если образ доступен, сообщение об ошибке не отображается.

Необходимые компоненты

Необходимо создать коллекцию, к которой предоставлен прямой доступ. В коллекции, к которой предоставлен прямой доступ, для свойства sharingProfile.permissions задано значение Groups. При использовании CLI для создания коллекции воспользуйтесь параметром --permissions groups. Существующую коллекцию использовать нельзя; в настоящее время свойство обновить нельзя.

Принцип предоставления общего доступа для коллекции, к которой предоставлен прямой доступ

Сначала в разделе Microsoft.Compute/Galleries необходимо создать коллекцию и в качестве параметра общего доступа выбрать groups.

Когда все будет готово, вы предоставляете общий доступ к коллекции подпискам и арендаторам. Предоставить общий доступ к коллекции может только владелец подписки, пользователь или субъект-служба с ролью Compute Gallery Sharing Admin на уровне подписки или коллекции. На этом этапе инфраструктура Azure создает региональные прокси-ресурсы, доступные только для чтения, в Microsoft.Compute/SharedGalleries. Только подписки и арендаторы, которым вы предоставили общий доступ, могут взаимодействовать с прокси-ресурсами. Они никогда не взаимодействуют с вашими личными ресурсами. Как издатель частного ресурса вы можете считать частный ресурс дескриптором общедоступных прокси-ресурсов. Подписки и арендаторы, которым вы предоставили общий доступ к своей коллекции, увидят имя коллекции в качестве идентификатора подписки, в которой была создана коллекция, за которым последует имя коллекции.

Портал

Примечание.

Известная проблема. Если на портале Azure появляется сообщение об ошибке "Не удалось обновить Коллекцию вычислений Azure", убедитесь, что у вас есть разрешение владельца (или) администратора совместного доступа коллекции вычислений в коллекции.

1. Войдите на портал Azure.

2. Введите Коллекция вычислений Azure в поле поиска и выберите в результатах Коллекция вычислений Azure.

3. На странице Коллекция вычислений Azure нажмите кнопку Добавить.

4. На странице Создание Коллекции вычислений Azure выберите нужную подписку.

5. Заполните все сведения на странице.

6. В нижней части страницы выберите Далее: Метод общего доступа.

7. На вкладке Общий доступ выберите RBAC + прямой общий доступ.

   

8. Когда все будет готово, нажмите кнопку Просмотр и создание.

9. После прохождения проверки выберите Создать.

10. Когда развертывание будет завершено, выберите Перейти ресурсу.

Предоставление общего доступа к коллекции

1. На странице коллекции в левом меню выберите Общий доступ.

2. В разделе Direct sharing settings (Параметры прямого общего доступа) нажмите кнопку Add (Добавить).

   

3. Если вы хотите предоставить общий доступ кому-то в вашей организации, для параметра Type (Тип) выберите Subscription (Подписка) или Tenant (Арендатор) и выберите соответствующий элемент в раскрывающемся списке Tenants and subscriptions (Арендаторы и подписки). Если вы хотите предоставить общий доступ кому-то за пределами вашей организации, выберите Subscription outside of my organization (Подписка за пределами моей организации) или Tenant outside of my organization (Арендатор за пределами моей организации), а затем вставьте или введите идентификатор в текстовое поле.

   При совместном использовании коллекции с клиентом все подписки в клиенте получат доступ к образу и не должны предоставлять доступ к нему с отдельными подписками в клиенте.

4. Добавив элементы, выберите Save (Сохранить).

CLI

Чтобы создать коллекцию, к которой предоставлен прямой доступ, необходимо создать ее с помощью параметра --permissions, для которого задано значение groups.

az sig create \
   --gallery-name myGallery \
   --permissions groups \
   --resource-group myResourceGroup  

Чтобы предоставить общий доступ к коллекции подписке или арендатору, используйте команду az sig share add.

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>
az sig share add \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

Отключите доступ для подписки или арендатора с помощью команды az sig share remove.

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>

az sig share remove \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

REST

Создайте коллекцию для общего доступа на уровне подписки или арендатора с помощью REST API Azure.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{gallery-name}?api-version=2020-09-30

{
	"properties": {
		"sharingProfile": {
			"permissions": "Groups"
		}
	},
	"location": "{location}
}
 

Предоставьте общий доступ к коллекции подписке или арендатору.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
  "operationType": "Add",
  "groups": [
    {
      "type": "Subscriptions",
      "ids": [
        "{SubscriptionID}"
      ]
    },
    {
      "type": "AADTenants",
      "ids": [
        "{tenantID}"
      ]
    }
  ]
}

Отключите доступ для подписки или арендатора.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
	"operationType": "Remove",
	"groups":[ 
		{
			"type": "Subscriptions",
			"ids": [
				"{subscriptionId1}",
				"{subscriptionId2}"
			],
},
{
			"type": "AADTenants",
			"ids": [
				"{tenantId1}",
				"{tenantId2}"
			]
		}
	]
}

Сбросьте общий доступ, чтобы очистить все элементы в sharingProfile.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30 

{ 
 "operationType" : "Reset", 
} 

Следующие шаги

• Создание определения образа и версии образа.
• Создайте виртуальную машину из универсального или специализированного образа, которому предоставлен прямой доступ, в целевой подписке или арендаторе.