Katalógusbeli virtuálisgép-rendszerképek megosztása Azure-bérlők közöttShare gallery VM images across Azure tenants

A megosztott képtárak lehetővé teszik a képek megosztását a RBAC használatával.Shared Image Galleries let you share images using RBAC. A RBAC segítségével megoszthatja a bérlőn belüli képeket, és akár a bérlőn kívüli személyeket is.You can use RBAC to share images within your tenant, and even to individuals outside of your tenant. Ha azonban az Azure-bérlőn kívül szeretné megosztani a lemezképeket, akkor a megosztás megkönnyítéséhez létre kell hoznia egy alkalmazás-regisztrálást.But, if you want to share images outside of your Azure tenant, at scale, you should create an app registration to facilitate sharing. Az alkalmazások regisztrálásával összetettebb megosztási forgatókönyvek is engedélyezhetők, például a következő esetekben:Using an app registration can enable more complex sharing scenarios, like:

  • Megosztott lemezképek kezelése, amikor egy vállalat megvásárol egy másikat, az Azure-infrastruktúra pedig külön bérlők között oszlik meg.Managing shared images when one company acquires another, and the Azure infrastructure is spread across separate tenants.
  • Az Azure-partnerek az Azure-infrastruktúrát az ügyfeleik nevében kezelhetik.Azure Partners manage Azure infrastructure on behalf of their customers. A képek testreszabása a partnerek bérlőn belül történik, de az infrastruktúra központi telepítései az ügyfél bérlője számára történnek.Customization of images is done within the partners tenant, but the infrastructure deployments will happen in the customer's tenant.

Az alkalmazás regisztrációjának létrehozásaCreate the app registration

Hozzon létre egy alkalmazás-regisztrációt, amelyet mindkét bérlő használni fog a képkatalógus erőforrásainak megosztásához.Create an application registration that will be used by both tenants to share the image gallery resources.

  1. Nyissa meg a Azure Portal Alkalmazásregisztrációk (előzetes verzió).Open the App registrations (preview) in the Azure portal.
  2. Az oldal tetején található menüben válassza az új regisztráció lehetőséget.Select New registration from the menu at the top of the page.
  3. A névmezőbe írja be a következőt: myGalleryApp.In Name, type myGalleryApp.
  4. A támogatott fióktípusterületen válassza a fiókok lehetőséget bármely szervezeti címtárban és személyes Microsoft-fiókban.In Supported account types, select Accounts in any organizational directory and personal Microsoft accounts.
  5. Az átirányítási URImezőbe https://www.microsoft.com írja be a nevet, majd válassza a regisztrációlehetőséget.In Redirect URI, type https://www.microsoft.com and then select Register. Az alkalmazás regisztrációjának létrehozása után megnyílik az áttekintő oldal.After the app registration has been created, the overview page will open.
  6. Az Áttekintés lapon másolja az alkalmazás (ügyfél) azonosítóját , és mentse a alkalmazást később.On the overview page, copy the Application (client) ID and save for use later.
  7. Válassza a tanúsítványok & titkoklehetőséget, majd válassza az új ügyfél titkalehetőséget.Select Certificates & secrets, and then select New client secret.
  8. A Leírásmezőbe írja be a megosztott rendszerkép-katalógus több-bérlős alkalmazás titkos kulcsát.In Description, type Shared image gallery cross-tenant app secret.
  9. A lejáratnál hagyja meg az alapértelmezett 1 év értéket, majd válassza a Hozzáadáslehetőséget.In Expires, leave the default of In 1 year and then select Add.
  10. Másolja a titkos kulcs értékét, és mentse egy biztonságos helyre.Copy the value of the secret and save it to a safe place. Az oldal elhagyása után nem kérhető le.You cannot retrieve it after you leave the page.

Adja meg az alkalmazás regisztrációjának engedélyét a megosztott képtárat használva.Give the app registration permission to use the shared image gallery.

  1. A Azure Portal válassza ki azt a megosztott képtárat, amelyet másik Bérlővel szeretne megosztani.In the Azure portal, select the Shared Image Gallery that you want to share with another tenant.
  2. Válassza a hozzáférés-vezérlés kiválasztása (iam) lehetőséget, majd a szerepkör-hozzárendelés hozzáadása területen válassza a Hozzáadáslehetőséget.Select select Access control (IAM), and under Add role assignment select Add.
  3. A szerepkörterületen válassza az olvasólehetőséget.Under Role, select Reader.
  4. A hozzáférés társítása akövetkezőhöz területen hagyja ezt az Azure ad-felhasználó,-csoport vagy egyszerű szolgáltatásnévbeállításnál.Under Assign access to:, leave this as Azure AD user, group, or service principal.
  5. A Select (kijelölés) területen írja be a myGalleryApp , és válassza ki azt, amikor megjelenik a listában.Under Select, type myGalleryApp and select it when it shows up in the list. Ha elkészült, válassza a Mentéslehetőséget.When you are done, select Save.

2. bérlői hozzáférés biztosításaGive Tenant 2 access

Adja meg a bérlő 2 hozzáférését az alkalmazáshoz egy böngésző használatával történő bejelentkezés kérésével.Give Tenant 2 access to the application by requesting a sign-in using a browser. Cserélje le <a Tenant2 ID > a bérlői azonosítóra annak a bérlőnek a bérlői azonosítójával, amelyhez meg szeretné osztani a rendszerkép-katalógust.Replace <Tenant2 ID> with the tenant ID for the tenant that you would like to share your image gallery with. Cserélje le <az alkalmazás (ügyfél) azonosítóját > a létrehozott alkalmazás-regisztráció alkalmazás-azonosítójával.Replace <Application (client) ID> with the application ID of the app registration you created. Ha végzett a kihelyezéssel, illessze be az URL-címet egy böngészőben, és kövesse a bejelentkezési utasításokat a 2. Bérlőbe való bejelentkezéshez.When done making the replacements, paste the URL into a browser and follow the sign-in prompts to sign into Tenant 2.

https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F 

A Azure Portal jelentkezzen be bérlői 2-ként, és adja meg az alkalmazás regisztrációs hozzáférését ahhoz az erőforráscsoporthoz, amelyben létre szeretné hozni a virtuális gépet.In the Azure portal sign in as Tenant 2 and give the app registration access to the resource group where you want to create the VM.

  1. Válassza ki az erőforráscsoportot, majd válassza a hozzáférés-vezérlés (iam) lehetőséget.Select the resource group and then select Access control (IAM). A szerepkör-hozzárendelés hozzáadása területen válassza a Hozzáadáslehetőséget.Under Add role assignment select Add.
  2. A szerepköralatt írja be a közreműködőt.Under Role, type Contributor.
  3. A hozzáférés társítása akövetkezőhöz területen hagyja ezt az Azure ad-felhasználó,-csoport vagy egyszerű szolgáltatásnévbeállításnál.Under Assign access to:, leave this as Azure AD user, group, or service principal.
  4. A Select Type MyGalleryApp (típus kiválasztása) területen válassza ki azt, amikor megjelenik a listában.Under Select type myGalleryApp then select it when it shows up in the list. Ha elkészült, válassza a Mentéslehetőséget.When you are done, select Save.

Megjegyzés

Meg kell várnia, amíg a rendszerkép verziója teljesen elkészült és replikálva lett ahhoz, hogy ugyanazt a felügyelt képet használhassa egy másik rendszerkép-verzió létrehozásához.You need to wait for the image version to completely finish being built and replicated before you can use the same managed image to create another image version.

Fontos

A portálon nem lehet virtuális gépet üzembe helyezni egy másik Azure-bérlő lemezképéről.You cannot use the portal to deploy a VM from an image in another azure tenant. Ha a bérlők között megosztott rendszerképből szeretne virtuális gépet létrehozni, az Azure CLI -t vagy a PowerShellt kell használnia.To create a VM from an image shared between tenants, you must use the Azure CLI or Powershell.

Virtuális gép létrehozása a PowerShell használatávalCreate a VM using PowerShell

Jelentkezzen be mindkét bérlőbe az alkalmazás-azonosító, a titkos kulcs és a bérlő azonosítója használatával.Log into both tenants using the application ID, secret and tenant ID.

$applicationId = '<App ID>'
$secret = <Secret> | ConvertTo-SecureString -AsPlainText -Force
$tenant1 = "<Tenant 1 ID>"
$tenant2 = "<Tenant 2 ID>"
$cred = New-Object -TypeName PSCredential -ArgumentList $applicationId, $secret
Clear-AzContext
Connect-AzAccount -ServicePrincipal -Credential $cred  -Tenant "<Tenant 1 ID>"
Connect-AzAccount -ServicePrincipal -Credential $cred -Tenant "<Tenant 2 ID>"

Hozza létre a virtuális gépet abban az erőforráscsoporthoz, amely jogosult az alkalmazás regisztrálására.Create the VM in the resource group that has permission on the app registration. Cserélje le az ebben a példában szereplő adatokat a saját adataira.Replace the information in this example with your own.

$resourceGroup = "myResourceGroup"
$location = "South Central US"
$vmName = "myVMfromImage"

# Set a variable for the image version in Tenant 1 using the full image ID of the shared image version
$image = "/subscriptions/<Tenant 1 subscription>/resourceGroups/<Resource group>/providers/Microsoft.Compute/galleries/<Gallery>/images/<Image definition>/versions/<version>"

# Create user object
$cred = Get-Credential -Message "Enter a username and password for the virtual machine."

# Create a resource group
New-AzResourceGroup -Name $resourceGroup -Location $location

# Networking pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name mySubnet -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork -ResourceGroupName $resourceGroup -Location $location `
  -Name MYvNET -AddressPrefix 192.168.0.0/16 -Subnet $subnetConfig
$pip = New-AzPublicIpAddress -ResourceGroupName $resourceGroup -Location $location `
  -Name "mypublicdns$(Get-Random)" -AllocationMethod Static -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig -Name myNetworkSecurityGroupRuleRDP  -Protocol Tcp `
  -Direction Inbound -Priority 1000 -SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * `
  -DestinationPortRange 3389 -Access Allow
$nsg = New-AzNetworkSecurityGroup -ResourceGroupName $resourceGroup -Location $location `
  -Name myNetworkSecurityGroup -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface -Name myNic -ResourceGroupName $resourceGroup -Location $location `
  -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -NetworkSecurityGroupId $nsg.Id

# Create a virtual machine configuration using the $image variable to specify the shared image
$vmConfig = New-AzVMConfig -VMName $vmName -VMSize Standard_D1_v2 | `
Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
Set-AzVMSourceImage -Id $image | `
Add-AzVMNetworkInterface -Id $nic.Id

# Create a virtual machine
New-AzVM -ResourceGroupName $resourceGroup -Location $location -VM $vmConfig

További lépésekNext steps

A Azure Portalhasználatával közös rendszerkép-katalógusbeli erőforrásokat is létrehozhat.You can also create shared image gallery resources using the Azure portal.