Udostępnianie galerii wszystkim użytkownikom w subskrypcji lub dzierżawach (wersja zapoznawcza)

W tym artykule opisano sposób udostępniania galerii obliczeń platformy Azure określonym subskrypcjom lub dzierżawom przy użyciu bezpośredniej galerii udostępnionej. Galerie udostępnione dzierżawom i subskrypcjom zapewniają im dostęp tylko do odczytu.

Ważne

Galeria usługi Azure Compute — bezpośrednia galeria udostępniona jest obecnie dostępna w wersji zapoznawczej i podlega warunkom wersji zapoznawczej galerii obliczeń platformy Azure.

Aby opublikować obrazy w bezpośredniej galerii udostępnionej w wersji zapoznawczej, musisz zarejestrować się pod adresem https://aka.ms/directsharedgallery-preview. Prześlij formularz i udostępnij swój przypadek biznesowy. Brak dodatkowego dostępu wymaganego do korzystania z obrazów. Tworzenie maszyn wirtualnych z bezpośredniej galerii udostępnionej jest otwarte dla wszystkich użytkowników platformy Azure w docelowej subskrypcji lub dzierżawie, z których jest udostępniana galeria. W większości scenariuszy funkcja RBAC/współużytkowanie między dzierżawami przy użyciu jednostki usługi jest wystarczająca i zachęca klientów do korzystania z udostępniania RBAC. Zażądaj dostępu do funkcji bezpośredniej galerii udostępnionej tylko wtedy, gdy chcesz udostępniać obrazy szeroko wszystkim użytkownikom w subskrypcji/dzierżawie i jeśli twój przypadek biznesowy wymaga dostępu do bezpośredniej galerii udostępnionej.

Podczas korzystania z wersji zapoznawczej musisz utworzyć nową galerię z właściwością sharingProfile.permissions ustawioną na Groups. W przypadku tworzenia galerii przy użyciu interfejsu wiersza polecenia użyj parametru --permissions groups . Nie można użyć istniejącej galerii. Nie można obecnie zaktualizować właściwości.

Uwaga

Należy pamiętać, że obrazy mogą być używane z uprawnieniami do odczytu na nich w celu wdrożenia maszyn wirtualnych i dysków.

W przypadku korzystania z bezpośredniej galerii udostępnionej obrazy są szeroko dystrybuowane do wszystkich użytkowników w ramach subskrypcji/dzierżawy, podczas gdy galeria społeczności rozpowszechnia obrazy publicznie. Zaleca się zachowanie ostrożności podczas udostępniania obrazów zawierających własność intelektualną, aby zapobiec powszechnemu rozpowszechnianiu.

Istnieją trzy główne sposoby udostępniania obrazów w galerii obliczeń platformy Azure, w zależności od tego, z kim chcesz udostępnić:

Udostępnianie za pomocą:	Osoby	Grupy	Jednostka usługi	Wszyscy użytkownicy w określonej subskrypcji (lub) dzierżawie	Publicznie ze wszystkimi użytkownikami na platformie Azure
Udostępnianie kontroli dostępu opartej na rolach	Tak	Tak	Tak	Nie.	Nie.
Kontrola dostępu oparta na rolach i bezpośrednia galeria udostępniona	Tak	Tak	Tak	Tak	Nie.
Kontrola dostępu oparta na rolach i galeria społeczności	Tak	Tak	Tak	Nie	Tak

Ograniczenia

Podczas korzystania z wersji zapoznawczej:

• Możesz udostępniać tylko 30 subskrypcji i 5 dzierżaw.
• Można udostępniać tylko obrazy. Nie można bezpośrednio udostępniać aplikacji maszyny wirtualnej w wersji zapoznawczej.
• Galeria udostępniona bezpośrednio nie może zawierać zaszyfrowanych wersji obrazów. W galerii udostępnionej bezpośrednio nie można tworzyć zaszyfrowanych obrazów.
• Tylko właściciel subskrypcji lub użytkownik lub jednostka usługi przypisana do Compute Gallery Sharing Admin roli na poziomie subskrypcji lub galerii będzie mogła włączyć udostępnianie oparte na grupach.
• Musisz utworzyć nową galerię z właściwością sharingProfile.permissions ustawioną na Groups. W przypadku tworzenia galerii przy użyciu interfejsu wiersza polecenia użyj parametru --permissions groups . Nie można użyć istniejącej galerii. Nie można obecnie zaktualizować właściwości.
• Rozwiązania PowerShell, Ansible i Terraform nie są obecnie obsługiwane.
• Region wersji obrazu w galerii powinien być taki sam jak region główny regionu, tworząc wersję między regionami, w której region macierzysny jest inny niż galeria, ale gdy obraz znajduje się w regionie macierzystym, można go replikować do innych regionów
• Niedostępne w chmurach dla instytucji rządowych
• W przypadku korzystania z bezpośrednich obrazów udostępnionych w subskrypcji docelowej można znaleźć tylko w bloku tworzenia maszyn wirtualnych/zestawów skalowania maszyn wirtualnych.
• Znany problem: Podczas tworzenia maszyny wirtualnej na podstawie bezpośredniego obrazu udostępnionego przy użyciu witryny Azure Portal, jeśli wybierzesz region, wybierz obraz, a następnie zmienisz region, zostanie wyświetlony komunikat o błędzie: "Możesz utworzyć maszynę wirtualną tylko w regionach replikacji tego obrazu" nawet wtedy, gdy obraz jest replikowany do tego regionu. Aby pozbyć się błędu, wybierz inny region, a następnie wróć do żądanego regionu. Jeśli obraz jest dostępny, powinien zostać wyczyszczyszyny komunikat o błędzie.

Wymagania wstępne

Musisz utworzyć nową bezpośrednią galerię udostępnioną . Bezpośrednia galeria udostępniona ma właściwość ustawioną sharingProfile.permissions na Groups. W przypadku tworzenia galerii przy użyciu interfejsu wiersza polecenia użyj parametru --permissions groups . Nie można użyć istniejącej galerii. Nie można obecnie zaktualizować właściwości.

Jak działa udostępnianie bezpośredniej galerii udostępnionej

Najpierw utwórz galerię w obszarze Microsoft.Compute/Galleries i wybierz jako groups opcję udostępniania.

Gdy wszystko będzie gotowe, udostępniasz galerię subskrypcjom i dzierżawom. Tylko właściciel subskrypcji lub użytkownik lub jednostka usługi z Compute Gallery Sharing Admin rolą na poziomie subskrypcji lub galerii mogą udostępniać galerię. W tym momencie infrastruktura platformy Azure tworzy zasoby regionalne tylko do odczytu serwera proxy w obszarze Microsoft.Compute/SharedGalleries. Tylko subskrypcje i dzierżawy udostępnione przez Ciebie mogą wchodzić w interakcje z zasobami serwera proxy, nigdy nie wchodzą w interakcje z zasobami prywatnymi. Jako wydawca zasobu prywatnego należy rozważyć zasób prywatny jako dojście do zasobów publicznego serwera proxy. Subskrypcje i dzierżawy udostępnione galerii będą widzieć nazwę galerii jako identyfikator subskrypcji, w której utworzono galerię, a następnie nazwę galerii.

Portal

Uwaga

Znany problem: W witrynie Azure Portal jeśli wystąpi błąd "Nie można zaktualizować galerii obliczeniowej platformy Azure", sprawdź, czy masz uprawnienia administratora do udostępniania galerii obliczeniowej (lub) właściciela galerii obliczeniowej.

1. Zaloguj się w witrynie Azure Portal.

2. Wpisz Azure Compute Gallery w polu wyszukiwania i wybierz pozycję Galeria obliczeń platformy Azure w wynikach.

3. Na stronie Galeria obliczeń platformy Azure kliknij pozycję Dodaj.

4. Na stronie Tworzenie galerii zasobów obliczeniowych platformy Azure wybierz poprawną subskrypcję.

5. Wypełnij wszystkie szczegóły na stronie.

6. W dolnej części strony wybierz pozycję Dalej: Metoda udostępniania.

7. Na karcie Udostępnianie wybierz pozycję Kontrola dostępu opartej na rolach i udostępnianie bezpośrednio.

   

8. Po zakończeniu wybierz pozycję Przejrzyj i utwórz.

9. Po zakończeniu walidacji wybierz pozycję Utwórz.

10. Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu.

Aby udostępnić galerię:

1. Na stronie galerii wybierz pozycję Udostępnianie z menu po lewej stronie.

2. W obszarze Ustawienia udostępniania bezpośredniego wybierz pozycję Dodaj.

   

3. Jeśli chcesz udostępnić komuś w organizacji, w polu Typ wybierz pozycję Subskrypcja lub Dzierżawa i wybierz odpowiedni element z listy rozwijanej Dzierżawy i subskrypcje. Jeśli chcesz udostępnić kogoś spoza organizacji, wybierz pozycję Subskrypcja poza moją organizacją lub Dzierżawą spoza mojej organizacji , a następnie wklej lub wpisz identyfikator w polu tekstowym.

   Gdy galeria zostanie udostępniona dzierżawie, wszystkie subskrypcje w ramach dzierżawy uzyskają dostęp do obrazu i nie muszą udostępniać jej poszczególnym subskrypcjom w dzierżawie

4. Po zakończeniu dodawania elementów wybierz pozycję Zapisz.

Interfejs wiersza polecenia

Aby utworzyć bezpośrednią galerię udostępnioną, musisz utworzyć galerię z parametrem ustawionym na --permissionsgroupswartość .

az sig create \
   --gallery-name myGallery \
   --permissions groups \
   --resource-group myResourceGroup  

Aby rozpocząć udostępnianie galerii za pomocą subskrypcji lub dzierżawy, użyj polecenia az sig share add

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>
az sig share add \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

Usuń dostęp dla subskrypcji lub dzierżawy przy użyciu polecenia az sig share remove.

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>

az sig share remove \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

REST

Utwórz galerię na potrzeby udostępniania na poziomie subskrypcji lub dzierżawy przy użyciu interfejsu API REST platformy Azure.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{gallery-name}?api-version=2020-09-30

{
	"properties": {
		"sharingProfile": {
			"permissions": "Groups"
		}
	},
	"location": "{location}
}
 

Udostępnianie galerii do subskrypcji lub dzierżawy.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
  "operationType": "Add",
  "groups": [
    {
      "type": "Subscriptions",
      "ids": [
        "{SubscriptionID}"
      ]
    },
    {
      "type": "AADTenants",
      "ids": [
        "{tenantID}"
      ]
    }
  ]
}

Usuń dostęp dla subskrypcji lub dzierżawy.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
	"operationType": "Remove",
	"groups":[ 
		{
			"type": "Subscriptions",
			"ids": [
				"{subscriptionId1}",
				"{subscriptionId2}"
			],
},
{
			"type": "AADTenants",
			"ids": [
				"{tenantId1}",
				"{tenantId2}"
			]
		}
	]
}

Zresetuj udostępnianie, aby wyczyścić wszystkie elementy w pliku sharingProfile.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30 

{ 
 "operationType" : "Reset", 
} 

Następne kroki

• Utwórz definicję obrazu i wersję obrazu.
• Utwórz maszynę wirtualną na podstawie uogólnionego lub wyspecjalizowanego obrazu z bezpośredniego udostępnionego obrazu w subskrypcji docelowej lub dzierżawie.