使用社群資源庫共用映像
若要與所有 Azure 使用者共用資源庫,可以建立社群資源庫。 社群資源庫可供具有 Azure 訂用帳戶的任何人使用。 建立 VM 的人員可以使用入口網站、REST 或 Azure CLI 來瀏覽與社群共用的映像。
與社群共用映像是 Azure Compute Gallery 中的新功能。 您可以公開映像庫,並與所有 Azure 客戶共用映像庫。 當資源庫標示為社群資源庫時,所有 Azure 客戶皆可以在 Microsoft.Compute/communityGalleries 下使用資源庫下的所有映像作為新的資源類型。 所有 Azure 客戶都可以查看資源庫,並使用這些資源庫來建立 VM。 此類型 Microsoft.Compute/galleries 的原始資源仍在您的訂用帳戶下,並屬於私人。
重要
Microsoft 不支援與社群共用的映像。
根據您想要共用的對象,在 Azure Compute Gallery 中共用映像有三種主要方式:
| 共用對象: | 人員 | 群組 | Service Principal | 特定訂用帳戶 (或) 租使用者中的所有使用者 | 與 Azure 中的所有使用者全體 |
|---|---|---|---|---|---|
| RBAC 共用 | Yes | .是 | .是 | 無 | No |
| RBAC + 直接共用資源庫 | Yes | .是 | .是 | .是 | No |
| RBAC + 社群資源庫 | Yes | .是 | .是 | 無 | .是 |
注意
請注意,映像可以在具有讀取權限的情況下,用於部署虛擬機器和磁碟。
使用直接共用資源庫時,映像會廣泛散發給訂用帳戶/租用戶中的所有使用者,社群資源庫則會公開散發映像。 共用包含智慧財產內容的映像時請小心,以避免廣泛散發。
免責聲明
Microsoft 不會驗證或測試社群映像和相關聯的發行者資訊。 您僅須對自己部署或使用的任何社群映像負責。 您須負責與映像發行者交涉。 有關已核准的作業系統基底映像,請參閱已核准的基底映像。 有關已驗證的發行者所建立的其他映像,請參閱 Azure Marketplace。
與社群共用的映像限制
與社群共用您的資源庫具有一些限制:
- 您無法將現有的私人資源庫 (已啟用 RBAC 的資源庫) 轉換為社群資源庫。
- 您無法使用來自 Marketplace 的第三方映像,也不可將其發佈至社群。 如需已核准的作業系統基底映像清單,請參閱已核准的基底映像。
- 不支援加密的映像
- 映像資源必須在與資源庫相同的區域中建立。 例如,假設您在美國西部建立資源庫,如果您想要提供映像定義和映像版本,則應在美國西部加以建立。
- 您還無法與社群共用 VM 應用程式。
與社群共用的運作方式
您會在 Microsoft.Compute/Galleries 下 建立資源庫資源,然後選擇 community 作為共用選項。
當您準備就緒時,請將資源庫標示為準備好公開共用。 只有訂用帳戶的擁有者,或訂用帳戶或資源庫層級中具有 Compute Gallery Sharing Admin 角色的使用者或服務主體,才能向社群公開資源庫。 屆時,Azure 基礎結構會在 Microsoft.Compute/CommunityGalleries 下 建立公用的 Proxy 唯讀區域資源。
使用者僅可與 Proxy 資源互動,而一律不會與您的私人資源互動。 身為私人資源的發行者,您應該將私人資源視為公用 Proxy 資源的控制代碼。 使用您在建立資源庫時提供的 prefix 以及唯一 GUID,為您的資源庫建立對外公開名稱。
Azure 使用者可以在入口網站中查看與社群共用的最新映像版本,或使用 CLI 加以查詢。 只有最新版的映像會列在社群資源庫中。
建立社群資源庫時,您必須提供映像的連絡資訊。 這項資訊的目的和基本意圖是促進映像取用者與發行者之間溝通,例如,當取用者需要協助時。 Microsoft 不提供這些映像的支援。 此資訊將會公開顯示,因此在提供時務必小心:
- 社群資源庫前置詞
- 發行者支援電子郵件
- 發行者 URL
- 法律合約 URL (請勿將秘密、密碼、SASURI 等資訊放置在法律合約 URL 欄位中)
映像定義中的資訊也可公開取得,例如您針對發行者、供項目應和 SKU 提供的資訊。
警告
如果您想要停止公開共用資源庫,則可以更新資源庫以停止共用,但將資源庫變成私人會防止現有的虛擬機器擴展集使用者調整其資源。
為何要與社群共用?
身為內容發行者,您可能會想要與社群共用資源庫:
如果您在 Azure 上廣泛共用非商業、非專屬的內容。
您想要更充分控制映像可用性的版本數目、區域和持續時間。
您想要在客戶快速分享日間或夜間建置。
您不想在與 Azure 上的多租用戶共用時,處理多租用戶驗證的複雜性。
我應使用 Marketplace 映像還是社群資源庫映像?
您有可能基於諸多原因選擇使用 Azure Marketplace 映像,而不是社群資源庫映像。 選擇 Azure Marketplace 映像的主要原因是 Microsoft 加以支援,而社群映像則不受支援。
為何要使用 Marketplace 映像?
- Microsoft 認證映像
- 可用於生產工作負載
- 第一方和第三方映像
- 具有其他軟體供應項目的付費映像
- 受 Microsoft 支援
何時應使用社群映像?
- 您信任並知道如何聯繫發行者
- 您正在尋求開放原始碼社群所發行的社群版本映像
- 使用映像進行測試
- 社群映像是免費的
- 映像擁有者予以支援,Microsoft 則否。
報告社群映像的問題
使用社群提交的虛擬機器映像有數個風險。 映像可能包含惡意程式碼、安全性弱點或違反某人智慧財產權。 為了協助建立安全可靠的社群體驗,您可在發現這些問題時報告映像。
報告社群資源庫問題的最簡單方式是使用入口網站,這會預設填入報告的諮詢:
- 針對連結問題或映像定義中欄位的其他資訊,請選取 [報告社群映像]。
- 如果映像版本包含惡意程式碼或特定映像版本發生其他問題,請在映像版本表格的 [報告版本] 資料行下選取 [報告]。
您也可使用下列連結以報告問題,但不會預先填入表單:
最佳作法
- 發佈至社群資源庫的映像應為已移除敏感性或機器特定資訊的一般化映像。 如需準備映像的詳細資訊,請參閱 Linux 或 Windows 的作業系統特定資訊。
- 如果您想要在組織層級禁止與社群共用映像,請使用下列原則規則建立 Azure 原則,以拒絕與社群共用。
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Compute/galleries"
},
{
"field": "Microsoft.Compute/galleries/sharingProfile.permissions",
"equals": "Community"
}
]
},
"then": {
"effect": "[parameters('effect')]"
}
}
常見問題集
問題:使用與社群共用的資源庫的費用為何?
解答:使用服務本身為免費。 不過,內容發行者需支付下列各項費用:
- 每個區域 (來源和目標) 中應用程式版本和複本的儲存體費用。 這些費用是依據所選的儲存體帳戶類型為基礎。
- 跨區域複寫的網路輸出費用。
如果基礎映像使用包含軟體費用的 Azure Marketplace 映像,則映像的取用者可能需要支付額外的軟體成本。
問題:使用與社群共用的映像是否安全?
答:使用者應謹慎使用未驗證來源的映像,因為這些映像未經認證,也未接受過惡意程式碼/弱點掃描,且發行者詳細資料也未經驗證。
問題:如果與社群共用的映像無法運作,我要與誰連絡以取得支援?
答:Azure 對於使用者可能會遇到的社群共用映像問題概不負責。 映像發行者提供社群共用映像的支援。 請查詢映像的發行者連絡資訊並聯繫,以取得任何支援。
問:社群資源庫共用功能是否屬於 Azure Marketplace 的一部分?
答:否,社群資源庫共用不屬於 Azure Marketplace,而是 'Azure Compute Gallery' 的功能。 任何人只要有 Azure 訂用帳戶即可使用「社群資源庫」,並將其映像公開。
問題:我有有關映像的疑慮,我要與誰連絡?
解答:針對與社群共用的映像問題:
問題:如何要求將與社群共用的映像複寫到特定區域?
解答:只有內容發行者可以控制其映像可用的區域。 如果您在特定區域中找不到映像,請直接連絡發行者。
開始公開共用
為了公開共用資源庫,必須將其建立為社群資源庫。 如需詳細資訊,請參閱建立社群資源庫
在您準備好要公開資源庫之後,請使用 az sig share enable-community 來啟用社群資源庫。 只有 Owner 角色定義中的使用者可以在社群共用資源庫。
az sig share enable-community \
--gallery-name $galleryName \
--resource-group $resourceGroup
若要回復為根據 RBAC 來共用,請使用 az sig share reset 命令。
若要刪除與社群共用的資源庫,您必須先執行 az sig share reset 以停止共用,然後再刪除資源庫。
重要
如果您名列訂用帳戶擁有者,但無法公開共用資源庫,則可能需要再次明確地將自己新增為擁有者。
若要回復為根據 RBAC 來共用,請使用 az sig share reset 命令。
若要刪除與社群共用的資源庫,您必須先執行 az sig share reset 以停止共用,然後再刪除資源庫。
下一步
建立映像定義和映像版本。