Kapsayıcı kayıt defterinden farklı bir Microsoft Entra kiracısında AKS kümesine görüntü çekme

Bazı durumlarda Azure AKS kümeniz bir Microsoft Entra kiracısında ve Azure kapsayıcı kayıt defteriniz farklı bir kiracıda olabilir. Bu makalede, kapsayıcı kayıt defterinden çekmek için AKS hizmet sorumlusu kimlik bilgilerini kullanarak kiracılar arası kimlik doğrulamasını etkinleştirme adımları adım adım izlenmektedir.

Dekont

Küme ve kapsayıcı kayıt defteri farklı kiracılarda olduğunda AKS yönetilen kimliği kullanarak kayıt defterini ekleyemez ve kimlik doğrulaması yapamazsınız.

Senaryoya genel bakış

Bu örnek için varsayımlar:

• AKS kümesi A Kiracısında ve Azure kapsayıcı kayıt defteri B Kiracısındadır.
• AKS kümesi, A Kiracısı'nda hizmet sorumlusu kimlik doğrulamasıyla yapılandırılır. AKS kümeniz için hizmet sorumlusu oluşturma ve kullanma hakkında daha fazla bilgi edinin.

AKS kümesinin aboneliğinde en azından Katkıda Bulunan rolüne ve kapsayıcı kayıt defterinin aboneliğinde Sahip rolüne ihtiyacınız vardır.

Aşağıdaki adımları kullanarak:

• A Kiracısında yeni bir çok kiracılı uygulama (hizmet sorumlusu) oluşturun.
• Uygulamayı B Kiracısında sağlayın.
• Hizmet sorumlusunu B Kiracısı'ndaki kayıt defterinden çekecek şekilde yapılandırma
• Yeni hizmet sorumlusunu kullanarak kimlik doğrulaması yapmak için A Kiracısı'ndaki AKS kümesini güncelleştirme

Adım adım yönergeler

1. Adım: Çok kiracılı Microsoft Entra uygulaması oluşturma

1. A Kiracısı'nda Azure portalındaoturum açın.

2. Microsoft Entra ID öğesini arayıp seçin.

3. Yönet'in altında Uygulama kayıtları > + Yeni kayıt'ı seçin.

4. Desteklenen hesap türleri bölümünde Herhangi bir kuruluş dizinindeki Hesaplar'ı seçin.

5. Yeniden yönlendirme URI'si olarak https://www.microsoft.com girin.

6. Kaydet'i seçin.

7. Genel Bakış sayfasında Uygulama (istemci) kimliğini not alın. 2. Ve 4. Adım'da kullanılır.

   

8. Sertifikalar ve gizli diziler bölümünde İstemci gizli dizileri altında + Yeni istemci gizli dizisi'ni seçin.

9. Parola gibi bir Açıklama girin ve Ekle'yi seçin.

10. İstemci gizli dizilerinde, istemci gizli dizisinin değerini not alın. 4. Adımda AKS kümesinin hizmet sorumlusunu güncelleştirmek için bunu kullanırsınız.

    

2. Adım: ACR kiracısında hizmet sorumlusunu sağlama

1. B Kiracısında bir yönetici hesabı kullanarak aşağıdaki bağlantıyı açın. Burada belirtilirse, B Kiracısının kimliğini ve çok kiracılı uygulamanın uygulama kimliğini (istemci kimliği) ekleyin.

   https://login.microsoftonline.com/<Tenant B ID>/oauth2/authorize?client_id=<Multitenant application ID>&response_type=code&redirect_uri=<redirect url>
   

2. Kuruluşunuz adına Onay'ı ve ardından Kabul Et'i seçin.

   

3. Adım: Hizmet sorumlusuna kayıt defterinden çekme izni verme

B Kiracısı'nda, hedef kapsayıcı kayıt defteri kapsamında hizmet sorumlusuna AcrPull rolünü atayın. Rolü atamak için Azure portalını veya diğer araçları kullanabilirsiniz. Azure CLI'yı kullanma adımları için bkz . Hizmet sorumlularıyla Azure Container Registry kimlik doğrulaması.

4. Adım: AKS'yi Microsoft Entra uygulama gizli dizisiyle güncelleştirme

AKS hizmet sorumlusu kimlik bilgilerini güncelleştirmek için 1. Adımda toplanan çok kiracılı uygulama (istemci) kimliğini ve istemci gizli dizisini kullanın.

Hizmet sorumlusunun güncelleştirilmesi birkaç dakika sürebilir.

Sonraki adımlar

• Hizmet sorumlularıyla azure container registry kimlik doğrulaması hakkında daha fazla bilgi edinin
• Kubernetes belgelerinde görüntü çekme gizli dizileri hakkında daha fazla bilgi edinin

• Microsoft Entra Id'deki Uygulama ve hizmet sorumlusu nesneleri hakkında bilgi edinin
• Kubernetes kümesinden Azure Container Registry ile kimlik doğrulama senaryoları hakkında daha fazla bilgi edinin