Condividere immagini di macchine virtuali della raccolta tra tenant di Azure usando una registrazione dell'app

Con le raccolte di calcolo di Azure, è possibile condividere un'immagine in un'altra organizzazione usando una registrazione dell'app. Per altre informazioni sulle altre opzioni di condivisione, vedere Condividere la raccolta.

Tuttavia, se si vogliono condividere immagini al di fuori del tenant di Azure, su larga scala, è consigliabile creare una registrazione dell'app. L'uso di una registrazione dell'app può abilitare scenari di condivisione più complessi, ad esempio:

• La gestione delle immagini condivise quando un'azienda acquisisce un'altra e l'infrastruttura di Azure viene distribuita tra tenant separati.
• I partner di Azure gestiscono l'infrastruttura di Azure per conto dei clienti. La personalizzazione delle immagini viene eseguita all'interno del tenant dei partner, ma le distribuzioni dell'infrastruttura verranno eseguite nel tenant del cliente.

Creare la registrazione dell'app

Creare una registrazione dell'applicazione che verrà usata da entrambi i tenant per condividere le risorse della raccolta immagini.

1. Aprire il Registrazioni app nel portale di Azure.
2. Selezionare Nuova registrazione dal menu nella parte superiore della pagina.
3. In Nome digitare myGalleryApp.
4. In Tipi di account supportati selezionare Account in qualsiasi directory organizzativa (Qualsiasi directory Microsoft Entra - Multi-tenant) e account Microsoft personali (ad esempio Skype, Xbox).
5. In URI di reindirizzamento selezionare Web dall'elenco a discesa Selezionare una piattaforma e digitare https://www.microsoft.com, quindi selezionare Registra. Dopo aver creato la registrazione dell'app, verrà aperta la pagina di panoramica.
6. Nella pagina di panoramica copiare l'ID applicazione (client) e salvarlo per usarlo in un secondo momento.
7. Seleziona Certificati e segreti, quindi seleziona Nuovo segreto client.
8. In Descrizione digitare Raccolta segreto dell'app tra tenant.
9. In Scadenza passare dal valore predefinito di 6 mesi (scelta consigliata) a 12 mesi e quindi selezionare Aggiungi.
10. Copiare il valore del segreto e salvarlo in un luogo sicuro. Non è possibile recuperarlo dopo aver lasciato la pagina.

Concedere all'app l'autorizzazione di registrazione per usare la raccolta.

1. Nella portale di Azure selezionare la raccolta di calcolo di Azure che si vuole condividere con un altro tenant.
2. Selezionare Controllo di accesso (IAM) e in Aggiungi assegnazione di ruolo selezionare Aggiungi.
3. In Ruolo selezionare Lettore.
4. In Assegna accesso a lasciare questa opzione come utente, gruppo o entità servizio di Microsoft Entra.
5. In Seleziona membri digitare myGalleryApp e selezionarlo quando viene visualizzato nell'elenco. Al termine, selezionare Rivedi e assegna.

Concedere l'accesso al tenant 2

Concedere al tenant 2 l'accesso all'applicazione richiedendo un accesso tramite un browser. Sostituire <Tenant2 ID> con l'ID tenant per il tenant con cui si vuole condividere la raccolta immagini. Gli utenti possono visualizzare l'ID tenant usando il comando dell'interfaccia della riga di comando di az account showAzure.

Sostituire <l'ID> applicazione (client) con l'ID applicazione della registrazione dell'app creata. Al termine dell'esecuzione delle sostituzioni, incollare l'URL in un browser e seguire le istruzioni di accesso per accedere al tenant 2.

https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F 

Nel portale di Azure accedere come Tenant 2 e concedere alla registrazione dell'app l'accesso al gruppo di risorse in cui si vuole creare la macchina virtuale.

1. Selezionare il gruppo di risorse e quindi selezionare Controllo di accesso (IAM). In Aggiungi assegnazione di ruolo selezionare Aggiungi.
2. In Ruolo digitare Collaboratore.
3. In Assegna accesso a lasciare questa opzione come utente, gruppo o entità servizio di Microsoft Entra.
4. In Seleziona membri digitare myGalleryApp e quindi selezionarlo quando viene visualizzato nell'elenco. Al termine, selezionare Rivedi e assegna.

Nota

È necessario attendere che la creazione della versione dell'immagine venga interamente completata e replicata prima di poter usare la stessa immagine gestita o creare un'altra versione di immagine.

Importante

Non è possibile usare il portale per distribuire una macchina virtuale da un'immagine in un altro tenant di Azure. Per creare una macchina virtuale da un'immagine condivisa tra tenant, è necessario usare l'interfaccia della riga di comando di Azure o PowerShell.

Creare la macchina virtuale

È necessario quanto segue prima di creare una macchina virtuale da un'immagine condivisa usando una registrazione dell'app:

• ID tenant della sottoscrizione di origine e della sottoscrizione in cui si vuole creare la macchina virtuale.
• ID client della registrazione dell'app e del segreto.
• ID immagine dell'immagine da usare.

CLI

Accedere all'entità servizio per il tenant 1 usando l'ID app, la chiave dell'app e l'ID del tenant 1. È possibile usare az account show --query "tenantId" per ottenere gli ID tenant, se necessario.

In questo esempio viene illustrato come creare una macchina virtuale da un'immagine generalizzata. Se si usa un'immagine specializzata, vedere Creare una macchina virtuale usando una versione di immagine specializzata.

tenant1='<ID for tenant 1>'
tenant2='<ID for tenant 2>'
appid='<client ID of the app registration>'
secret='<secret from the app registration>'

az account clear
az login --service-principal -u $appid -p $secret --tenant $tenant1
az account get-access-token 

Accedere all'entità servizio per il tenant 2 usando l'ID app, la chiave dell'app e l'ID del tenant 2:

az login --service-principal -u $appid -p $secret --tenant $tenant2
az account get-access-token

Creare la macchina virtuale. Sostituire le informazioni nell'esempio con le proprie.

imageid="<ID of the image that you want to use>"
az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image $imageid \
  --admin-username azureuser \
  --generate-ssh-keys

PowerShell

Accedere a entrambi i tenant usando l'ID applicazione, il segreto e l'ID tenant.

$applicationId = '<App ID>'
$secret = <Secret> | ConvertTo-SecureString -AsPlainText -Force
$tenant1 = "<Tenant 1 ID>"
$tenant2 = "<Tenant 2 ID>"
$cred = New-Object -TypeName PSCredential -ArgumentList $applicationId, $secret
Clear-AzContext
Connect-AzAccount -ServicePrincipal -Credential $cred  -Tenant "<Tenant 1 ID>"
Connect-AzAccount -ServicePrincipal -Credential $cred -Tenant "<Tenant 2 ID>"

Creare la macchina virtuale nel gruppo di risorse con l'autorizzazione per la registrazione dell'app. Sostituire le informazioni in questo esempio con le proprie.

In questo esempio viene illustrato come creare una macchina virtuale da un'immagine generalizzata. Se si usa un'immagine specializzata, vedere Creare una macchina virtuale usando una versione di immagine specializzata.

$resourceGroup = "myResourceGroup"
$location = "South Central US"
$vmName = "myVMfromImage"

# Set a variable for the image version in Tenant 1 using the full image ID of the image version
$image = "/subscriptions/<Tenant 1 subscription>/resourceGroups/<Resource group>/providers/Microsoft.Compute/galleries/<Gallery>/images/<Image definition>/versions/<version>"

# Create user object
$cred = Get-Credential -Message "Enter a username and password for the virtual machine."

# Create a resource group
New-AzResourceGroup -Name $resourceGroup -Location $location

# Networking pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name mySubnet -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork -ResourceGroupName $resourceGroup -Location $location `
  -Name MYvNET -AddressPrefix 192.168.0.0/16 -Subnet $subnetConfig
$pip = New-AzPublicIpAddress -ResourceGroupName $resourceGroup -Location $location `
  -Name "mypublicdns$(Get-Random)" -AllocationMethod Static -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig -Name myNetworkSecurityGroupRuleRDP  -Protocol Tcp `
  -Direction Inbound -Priority 1000 -SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * `
  -DestinationPortRange 3389 -Access Allow
$nsg = New-AzNetworkSecurityGroup -ResourceGroupName $resourceGroup -Location $location `
  -Name myNetworkSecurityGroup -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface -Name myNic -ResourceGroupName $resourceGroup -Location $location `
  -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -NetworkSecurityGroupId $nsg.Id

# Create a virtual machine configuration using the $image variable to specify the image
$vmConfig = New-AzVMConfig -VMName $vmName -VMSize Standard_D1_v2 | `
Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
Set-AzVMSourceImage -Id $image | `
Add-AzVMNetworkInterface -Id $nic.Id

# Create a virtual machine
New-AzVM -ResourceGroupName $resourceGroup -Location $location -VM $vmConfig

Passaggi successivi

Se si verificano problemi, è possibile risolvere i problemi delle raccolte.