Partilhar via

Compartilhar imagens de VM da galeria entre locatários do Azure usando um registro de aplicativo

  • Artigo

Com as Galerias de Computação do Azure, você pode compartilhar uma imagem com outra organização usando um registro de aplicativo. Para obter mais informações sobre outras opções de compartilhamento, consulte a seção Compartilhar a galeria.

Mas, se você quiser compartilhar imagens fora do locatário do Azure, em escala, crie um registro de aplicativo. O uso de um registro de aplicativo pode habilitar cenários de compartilhamento mais complexos, como:

  • Gerir imagens partilhadas quando uma empresa adquire outra e a infraestrutura do Azure está espalhada por inquilinos separados.
  • Os Parceiros do Azure gerem a infraestrutura do Azure em nome dos seus clientes. A personalização das imagens é feita dentro do locatário do parceiro, mas as implantações de infraestrutura acontecerão no locatário do cliente.

Criar o registo de aplicações

Crie um registro de aplicativo que será usado por ambos os locatários para compartilhar os recursos da galeria de imagens.

  1. Abra os registros do aplicativo no portal do Azure.
  2. Selecione Novo registo no menu na parte superior da página.
  3. Em Nome, digite myGalleryApp.
  4. Em Tipos de conta suportados, selecione Contas em qualquer diretório organizacional (Qualquer diretório Microsoft Entra - Multilocatário) e contas pessoais da Microsoft (por exemplo, Skype, Xbox).
  5. Em Redirecionar URI, selecione Web na lista suspensa Selecione uma plataforma e digite https://www.microsoft.come, em seguida, selecione Registrar. Depois que o registro do aplicativo for criado, a página de visão geral será aberta.
  6. Na página de visão geral, copie a ID do aplicativo (cliente) e salve para uso posterior.
  7. Selecione Certificados e segredos e, em seguida, selecione Novo segredo de cliente.
  8. Em Descrição, digite Segredo do aplicativo multilocatário da Galeria.
  9. Em Expira, altere do padrão de 6 meses (recomendado) para 12 meses e selecione Adicionar.
  10. Copie o valor do segredo e salve-o em um lugar seguro. Não é possível recuperá-lo depois de sair da página.

Dê permissão ao registro do aplicativo para usar a galeria.

  1. No portal do Azure, selecione a Galeria de Computação do Azure que você deseja compartilhar com outro locatário.
  2. Selecione Controle de acesso (IAM) e, em Adicionar atribuição de função, selecione Adicionar.
  3. Em Função, selecione Leitor.
  4. Em Atribuir acesso a:, deixe isso como usuário, grupo ou entidade de serviço do Microsoft Entra.
  5. Em Selecionar membros, digite myGalleryApp e selecione-o quando aparecer na lista. Quando terminar, selecione Rever + atribuir.

Dar acesso ao Inquilino 2

Dê ao Locatário 2 acesso ao aplicativo solicitando um login usando um navegador. Substitua <a ID> do Locatário 2 pela ID do locatário com o qual você gostaria de compartilhar sua galeria de imagens. Os usuários podem ver sua ID de locatário usando o comando az account showCLI do Azure .

Substitua <a ID> do aplicativo (cliente) pela ID do aplicativo do registro do aplicativo que você criou. Quando terminar de fazer as substituições, cole o URL em um navegador e siga as instruções de entrada para entrar no Locatário 2.

https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F

No portal do Azure, entre como Locatário 2 e conceda ao registro do aplicativo acesso ao grupo de recursos onde você deseja criar a VM.

  1. Selecione o grupo de recursos e, em seguida, selecione Controle de acesso (IAM). Em Adicionar atribuição de função, selecione Adicionar.
  2. Em Função, digite Colaborador.
  3. Em Atribuir acesso a:, deixe isso como usuário, grupo ou entidade de serviço do Microsoft Entra.
  4. Em Selecionar membros , digite myGalleryApp e selecione-o quando ele aparecer na lista. Quando terminar, selecione Rever + atribuir.

Nota

Você precisa esperar que a versão da imagem termine completamente de ser construída e replicada antes de poder usar a mesma imagem gerenciada para criar outra versão da imagem.

Importante

Não é possível usar o portal para implantar uma VM a partir de uma imagem em outro locatário azure. Para criar uma VM a partir de uma imagem compartilhada entre locatários, você deve usar a CLI do Azure ou o PowerShell.

Criar a VM

Você precisará do seguinte antes de criar uma VM a partir de uma imagem compartilhada para você usando um registro de aplicativo:

  • Os IDs de locatário da assinatura de origem e da assinatura onde você deseja criar a VM.
  • O ID do cliente do registro do aplicativo e o segredo.
  • O ID da imagem que você deseja usar.

Entre na entidade de serviço do locatário 1 usando o appID, a chave do aplicativo e a ID do locatário 1. Você pode usar az account show --query "tenantId" para obter os IDs de locatário, se necessário.

Neste exemplo, estamos mostrando como criar uma VM a partir de uma imagem generalizada. Se você estiver usando uma imagem especializada, consulte Criar uma VM usando uma versão de imagem especializada.


tenant1='<ID for tenant 1>'
tenant2='<ID for tenant 2>'
appid='<client ID of the app registration>'
secret='<secret from the app registration>'

az account clear
az login --service-principal -u $appid -p $secret --tenant $tenant1
az account get-access-token

Entre na entidade de serviço do locatário 2 usando o appID, a chave do aplicativo e a ID do locatário 2:

az login --service-principal -u $appid -p $secret --tenant $tenant2
az account get-access-token

Crie a VM. Substitua as informações do exemplo pelas suas.

imageid="<ID of the image that you want to use>"
az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image $imageid \
  --admin-username azureuser \
  --generate-ssh-keys