Lemezképek lekérése egy tárolóregisztrációs adatbázisból egy másik Microsoft Entra-bérlő AKS-fürtjére

  • Cikk

Bizonyos esetekben előfordulhat, hogy az Azure AKS-fürt egy Microsoft Entra-bérlőben, az Azure Container Registry pedig egy másik bérlőben található. Ez a cikk bemutatja a bérlők közötti hitelesítés engedélyezésének lépéseit az AKS szolgáltatásnév hitelesítő adataival a tárolóregisztrációs adatbázisból való lekéréshez.

Megjegyzés:

Ha a fürt és a tárolóregisztrációs adatbázis különböző bérlőkben található, nem csatolhatja a beállításjegyzéket és nem hitelesíthető AKS által felügyelt identitással.

Forgatókönyv áttekintése

A példához tartozó feltételezések:

  • Az AKS-fürt az A bérlőben, az Azure-tárolóregisztrációs adatbázis pedig a B bérlőben található.
  • Az AKS-fürt szolgáltatásnév-hitelesítéssel van konfigurálva az A bérlőben. További információ arról, hogyan hozhat létre és használhat egyszerű szolgáltatást az AKS-fürthöz.

Legalább az AKS-fürt előfizetésében közreműködői szerepkörre és a tárolóregisztrációs adatbázis előfizetésében lévő tulajdonosi szerepkörre van szüksége.

A következő lépések végrehajtásával végezheti el a következőket:

  • Hozzon létre egy új több-bérlős alkalmazást (szolgáltatásnév) az A bérlőben.
  • Az alkalmazás kiépítése a B bérlőben.
  • A szolgáltatásnév konfigurálása a beállításjegyzékből való lekérésre a B bérlőben
  • Az A bérlő AKS-fürtjének frissítése az új szolgáltatásnév használatával történő hitelesítéshez

Step-by-step instructions

1. lépés: Több-bérlős Microsoft Entra-alkalmazás létrehozása

  1. Jelentkezzen be az Azure Portalra az A bérlőben.

  2. Search for and select Microsoft Entra ID.

  3. A Kezelés területen válassza a Alkalmazásregisztrációk > + Új regisztráció lehetőséget.

  4. A támogatott fióktípusokban válassza a Fiókok lehetőséget bármely szervezeti címtárban.

  5. Az Átirányítási URI elemnél írja be a következőt: https://www.microsoft.com.

  6. Válassza ki a pénztárgépet.

  7. Az Áttekintés lapon jegyezze fel az alkalmazás (ügyfél) azonosítóját. A 2. és a 4. lépésben fogjuk használni.

    Service principal application ID

  8. A Tanúsítványok > titkos kódok területen válassza az +Új ügyfélkód lehetőséget.

  9. Adjon meg egy leírást, például jelszót, és válassza a Hozzáadás lehetőséget.

  10. Az ügyfél titkos kulcsaiban jegyezze fel az ügyfél titkos kódjának értékét. Ezzel frissítheti az AKS-fürt szolgáltatásnevét a 4. lépésben.

    Configure client secret

2. lépés: A szolgáltatásnév kiépítése az ACR-bérlőben

  1. Nyissa meg a következő hivatkozást egy rendszergazdai fiókkal a B bérlőben. Ahol ez látható, szúrja be a B bérlő azonosítóját és a több-bérlős alkalmazás alkalmazásazonosítóját (ügyfél-azonosítóját).

    https://login.microsoftonline.com/<Tenant B ID>/oauth2/authorize?client_id=<Multitenant application ID>&response_type=code&redirect_uri=<redirect url>

  2. Válassza ki a hozzájárulást a szervezet nevében, majd az Elfogadás lehetőséget.

    Grant tenant access to application

3. lépés: Szolgáltatásnév engedélyének megadása a beállításjegyzékből való lekéréshez

A B bérlőben rendelje hozzá az AcrPull szerepkört a szolgáltatásnévhez, amely a céltároló-beállításjegyzékre terjed ki. A szerepkör hozzárendeléséhez használhatja az Azure Portalt vagy más eszközöket. Az Azure CLI használatával végzett lépésekért lásd : Azure Container Registry-hitelesítés szolgáltatásnevek használatával.

Assign acrpull role to multitenant app

4. lépés: Az AKS frissítése a Microsoft Entra alkalmazás titkos kódjával

Használja az 1. lépésben összegyűjtött több-bérlős alkalmazásazonosítót és ügyfélkulcsot az AKS szolgáltatásnév hitelesítő adatainak frissítéséhez.

A szolgáltatásnév frissítése több percet is igénybe vehet.

További lépések