Dela via

Dela vm-avbildningar för gallerier i Azure-klientorganisationer med hjälp av en appregistrering

  • Artikel

Med Azure Compute Galleries kan du dela en avbildning till en annan organisation med hjälp av en appregistrering. Mer information om andra delningsalternativ finns i Dela galleriet.

Men om du vill dela avbildningar utanför din Azure-klientorganisation i stor skala bör du skapa en appregistrering. Om du använder en appregistrering kan du aktivera mer komplexa delningsscenarier, till exempel:

  • Hantera delade avbildningar när ett företag hämtar en annan och Azure-infrastrukturen är utspridd över separata klienter.
  • Azure-partner hanterar Azure-infrastruktur för sina kunders räkning. Anpassning av avbildningar görs i partnerklientorganisationen, men infrastrukturdistributionerna sker i kundens klientorganisation.

Skapa en programregistrering

Skapa en programregistrering som ska användas av båda klienterna för att dela avbildningsgalleriresurserna.

  1. Öppna Appregistreringar i Azure-portalen.
  2. Välj Ny registrering på menyn överst på sidan.
  3. I Namn skriver du myGalleryApp.
  4. I Kontotyper som stöds väljer du Konton i valfri organisationskatalog (Alla Microsoft Entra-kataloger – Multitenant) och personliga Microsoft-konton (t.ex. Skype, Xbox).
  5. I Omdirigerings-URI väljer du Webb i listrutan Välj en plattform och skriver https://www.microsoft.comoch väljer sedan Registrera. När appregistreringen har skapats öppnas översiktssidan.
  6. På översiktssidan kopierar du program-ID:t (klient)-ID:t och sparar för användning senare.
  7. Välj Certifikat och hemligheter och välj sedan Ny klienthemlighet.
  8. I Beskrivning skriver du Galleri apphemlighet mellan klientorganisationer.
  9. I Upphör att gälla ändrar du från standardvärdet 6 månader (rekommenderas) till 12 månader och väljer sedan Lägg till.
  10. Kopiera värdet för hemligheten och spara den på en säker plats. Du kan inte hämta den när du har lämnat sidan.

Ge appregistreringen behörighet att använda galleriet.

  1. I Azure-portalen väljer du det Azure Compute-galleri som du vill dela med en annan klientorganisation.
  2. Välj Åtkomstkontroll (IAM) och under Lägg till rolltilldelning väljer du Lägg till.
  3. Under Roll väljer du Läsare.
  4. Under Tilldela åtkomst till:lämnar du detta som Microsoft Entra-användare, grupp eller tjänstens huvudnamn.
  5. Under Välj medlemmar skriver du myGalleryApp och väljer den när den visas i listan. När du är klar väljer du Granska + tilldela.

Ge klientorganisation 2 åtkomst

Ge klientorganisation 2 åtkomst till programmet genom att begära en inloggning med hjälp av en webbläsare. Ersätt <Klientorganisation2-ID> med klientorganisations-ID:t för den klientorganisation som du vill dela bildgalleriet med. Användare kan se sitt klient-ID med hjälp av Azure CLI-kommandot az account show.

Ersätt program-ID ><(klient) med program-ID:t för den appregistrering som du skapade. När du är klar med att göra ersättningarna klistrar du in URL:en i en webbläsare och följer inloggningsprompterna för att logga in på Klientorganisation 2.

https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F

I Azure-portalen loggar du in som klientorganisation 2 och ger appregistreringen åtkomst till resursgruppen där du vill skapa den virtuella datorn.

  1. Välj resursgruppen och välj sedan Åtkomstkontroll (IAM). Under Lägg till rolltilldelning väljer du Lägg till.
  2. Under Roll skriver du Deltagare.
  3. Under Tilldela åtkomst till:lämnar du detta som Microsoft Entra-användare, grupp eller tjänstens huvudnamn.
  4. Under Välj medlemmar skriver du myGalleryApp och väljer det sedan när det visas i listan. När du är klar väljer du Granska + tilldela.

Kommentar

Du måste vänta tills avbildningsversionen har skapats och replikerats helt innan du kan använda samma hanterade avbildning för att skapa en annan avbildningsversion.

Viktigt!

Du kan inte använda portalen för att distribuera en virtuell dator från en avbildning i en annan Azure-klientorganisation. Om du vill skapa en virtuell dator från en avbildning som delas mellan klientorganisationer måste du använda Azure CLI eller PowerShell.

Skapa den virtuella datorn

Du behöver följande innan du skapar en virtuell dator från en avbildning som delas till dig med hjälp av en appregistrering:

  • Klientorganisations-ID:n från både källprenumerationen och prenumerationen där du vill skapa den virtuella datorn.
  • Klient-ID för appregistreringen och hemligheten.
  • Bild-ID:t för den avbildning som du vill använda.

Logga in tjänstens huvudnamn för klientorganisation 1 med hjälp av appID, appnyckeln och ID:t för klientorganisation 1. Du kan använda az account show --query "tenantId" för att hämta klientorganisations-ID:t om det behövs.

I det här exemplet visar vi hur du skapar en virtuell dator från en generaliserad avbildning. Om du använder en specialiserad avbildning läser du Skapa en virtuell dator med en specialiserad avbildningsversion.


tenant1='<ID for tenant 1>'
tenant2='<ID for tenant 2>'
appid='<client ID of the app registration>'
secret='<secret from the app registration>'

az account clear
az login --service-principal -u $appid -p $secret --tenant $tenant1
az account get-access-token

Logga in tjänstens huvudnamn för klientorganisation 2 med hjälp av appID, appnyckeln och ID:t för klientorganisation 2:

az login --service-principal -u $appid -p $secret --tenant $tenant2
az account get-access-token

Skapa den virtuella datorn. Ersätt informationen i exemplet med din egen.

imageid="<ID of the image that you want to use>"
az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image $imageid \
  --admin-username azureuser \
  --generate-ssh-keys