與訂用帳戶或租用戶中的所有使用者共用資源庫 (預覽)
本文涵蓋如何使用直接共用資源庫,與特定訂用帳戶或租用戶共用 Azure Compute Gallery。 與租用戶和訂用帳戶共用資源庫之後,租用戶和訂用帳戶會取得資源庫的唯讀權限。
重要
Azure Compute Gallery - 直接共用資源庫目前為「預覽」,並遵守 Azure Compute Gallery 的預覽條款。
若要在預覽期間將映像發佈至直接共用資源庫,您必須在 https://aka.ms/directsharedgallery-preview 註冊。 請提交表單並共用您的商務案例。 使用映像不需要額外的存取權,目標訂用帳戶中的所有 Azure 使用者,或共用資源庫的租用戶都可以從直接共用資源庫建立 VM。 在大部分情況下,使用服務主體的 RBAC/跨租用戶共用就已足夠,並鼓勵客戶利用 RBAC 共用。 只有在您想要廣泛與訂用帳戶/租用戶中的所有使用者共用映像,以及您的商務案例需要存取直接共用資源庫時,才要求直接共用資源庫功能的存取權。
在預覽期間,您必須建立新的資源庫,並將屬性 sharingProfile.permissions 設定為 Groups。 使用 CLI 建立資源庫時,請使用 --permissions groups 參數。 您無法使用現有的資源庫,目前無法更新此屬性。
注意
請注意,映像可以在具有讀取權限的情況下,用於部署虛擬機器和磁碟。
使用直接共用資源庫時,映像會廣泛散發給訂用帳戶/租用戶中的所有使用者,社群資源庫則會公開散發映像。 建議在共用包含智慧財產權的映像以防止廣泛散發時,請小心謹慎。
根據您想要共用的對象,在 Azure Compute Gallery 中共用映像有三種主要方式:
| 共用對象: | 人員 | 群組 | Service Principal | 特定訂用帳戶 (或) 租使用者中的所有使用者 | 與 Azure 中的所有使用者全體 |
|---|---|---|---|---|---|
| RBAC 共用 | Yes | .是 | .是 | 無 | No |
| RBAC + 直接共用資源庫 | Yes | .是 | .是 | .是 | No |
| RBAC + 社群資源庫 | Yes | .是 | .是 | 無 | Yes |
限制
在預覽期間:
- 您只能與 30 個訂用帳戶和 5 個租用戶共用。
- 只能共用映像。 您無法在預覽期間直接共用 VM 應用程式。
- 直接共用資源庫不能包含加密的映像版本。 無法在直接共用的資源庫中建立加密映像。
- 只有訂用帳戶的擁有者,或指派給訂用帳戶或資源庫層級
Compute Gallery Sharing Admin角色的使用者或服務主體,才能啟用以社群為基礎的共用。 - 您必須建立新的資源庫,並將屬性
sharingProfile.permissions設定為Groups。 使用 CLI 建立資源庫時,請使用--permissions groups參數。 您無法使用現有的資源庫,目前無法更新此屬性。 - 預覽版中僅提供 RestAPI、CLI、入口網站支援。 PowerShell、Terraform 支援將於稍後提供。
- 雖然入口網站支援適用於這項功能,但入口網站中的映像使用量僅適用於 VM/VMSS 建立刀鋒視窗,而且無法直接在入口網站中流覽直接共用映像。
- 資源庫中的映像版本區域應與區域主區域相同,不支援建立主區域與資源庫不同的跨區域版本,但是一旦映像位於主區域,就可以將其複製到其他區域
- 無法在政府雲端中使用
- 已知問題:使用 Azure 入口網站,從直接共用映像建立 VM 時,如果您選取區域,再選取映像,然後變更區域,則您會收到錯誤訊息:「您只能在此映像的複寫區域中建立 VM」,即使映像複寫到該區域也一樣。 若要解決錯誤,請選取不同的區域,然後切換回您想要的區域。 如果映像可用,系統應該會清除錯誤訊息。
必要條件
您必須建立新的直接共用資源庫。 直接共用資源庫已將 sharingProfile.permissions 屬性設定為 Groups。 使用 CLI 建立資源庫時,請使用 --permissions groups 參數。 您無法使用現有的資源庫,目前無法更新此屬性。
與直接共用資源庫共用的運作方式
首先您會在 Microsoft.Compute/Galleries 底下建立資源庫,然後選擇 groups 作為共用選項。
當準備好時,您會與訂用帳戶和租用戶共用資源庫。 只有訂用帳戶的擁有者,或訂用帳戶或資源庫層級中具有 Compute Gallery Sharing Admin 角色的使用者或服務主體,才能共用資源庫。 此時,Azure 基礎結構會在 Microsoft.Compute/SharedGalleries 底下建立 Proxy 唯讀區域資源。 只有您與其共用的訂用帳戶和租用戶才能與 Proxy 資源互動,其永遠不會與您的私人資源互動。 身為私人資源的發行者,您應該將私人資源視為公用 Proxy 資源的控制代碼。 您與其共用資源庫的訂用帳戶和租用戶將會看到資源庫名稱,作為資源庫建立所在的訂用帳戶識別碼,後面接著資源庫名稱。
注意
已知問題:在Azure 入口網站中,如果您收到「無法更新 Azure Compute Gallery」錯誤,請驗證您是否具有在資源庫上共用管理員權限的擁有者 (或) 計算資源庫。
登入 Azure 入口網站。
在搜尋方塊中輸入 Azure Compute Gallery,然後在結果中選取 [Azure Compute Gallery]。
在 [Azure Compute Gallery] 頁面中,按一下 [新增]。
在 [建立 Azure Compute Gallery] 頁面上,選取正確的訂用帳戶。
完成頁面上的所有詳細資料。
在頁面底部,選取 [下一步:共用方法]。
在 [共用] 索引標籤上,選取 [RBAC + 直接共用]。
當您完成時,選取 [檢閱 + 建立]。
通過驗證之後,選取 [建立]。
部署完成之後,請選取 [移至資源]。
若要共用資源庫:
在資源庫的頁面上,從左側功能表中選取 [共用]。
在 [直接共用設定] 底下,選取 [新增]。
如果您想要與組織內的某人共用,請針對 [類型] 選取 [訂用帳戶] 或 [租用戶],然後從 [租用戶和訂用帳戶] 下拉式清單中選擇適當的項目。 如果您想要與組織外的某人共用,請選取 [我組織外的訂用帳戶] 或 [我組織外的租用戶],然後將識別碼貼入或輸入至文字方塊。
當資源庫與租用戶共用時,租用戶中的所有訂用帳戶都會取得映像的存取權,而且不需要與租用戶中的個別訂用帳戶共用
當您完成新增項目時,請選取 [儲存]。