Compartir vía


Uso compartido de imágenes de VM de la galería entre inquilinos de Azure mediante un registro de aplicación

Con Azure Compute Galleries, puede compartir una imagen en otra organización mediante un registro de aplicaciones. Para más información sobre otras opciones de uso compartido, consulte Compartir la galería.

Pero si quiere compartir las imágenes fuera de su inquilino de Azure, a escala, debe crear un registro de aplicación. Usar un registro de aplicación puede habilitar escenarios de uso compartidos más complejos, como por ejemplo:

  • Administración de imágenes compartidas cuando una compañía adquiere otra y la infraestructura de Azure se distribuye entre inquilinos independientes.
  • Los asociados de Azure administran la infraestructura de Azure en nombre de sus clientes. La personalización de imágenes se realiza en el inquilino de los asociados, pero las implementaciones de infraestructura se realizarán en el inquilino del cliente.

Creación del registro de aplicaciones

Cree un registro de aplicación que usarán ambos inquilinos para compartir los recursos de la galería de imágenes.

  1. Abra Registros de aplicaciones en Azure Portal.
  2. En el menú de la parte superior de la página, seleccione Nuevo registro.
  3. En Nombre, escriba myGalleryApp.
  4. En Tipos de cuenta admitidos, seleccione Cuentas en cualquier directorio organizativo (cualquier directorio de Microsoft Entra: multiinquilino) y cuentas de Microsoft personales (como Skype o Xbox).
  5. En URI de redirección, seleccione Web en la lista desplegable Selección de una plataforma y escriba https://www.microsoft.com; a continuación, seleccione Registrar. Una vez creado el registro de aplicación, se abrirá la página de información general.
  6. En la página de información general, copie el identificador de aplicación (cliente) y guárdelo para usarlo más adelante.
  7. Seleccione Certificados y secretos y seleccione Nuevo secretos de cliente.
  8. En Descripción, escriba Secreto de aplicación entre inquilinos de la galería.
  9. En Expiración, cambie del valor predeterminado de 6 meses (recomendado) a 12 meses y seleccione Agregar.
  10. Copie el valor del secreto y guárdelo en un lugar seguro. No podrá recuperarlo después de salir de la página.

Conceda permiso al registro de aplicación para usar la galería.

  1. En Azure Portal, seleccione la instancia de Azure Compute Gallery que quiere compartir con otro inquilino.
  2. Seleccione Control de acceso (IAM) y en Agregar asignación de roles, seleccione Agregar.
  3. En Rol, seleccione Lector.
  4. En Asignar acceso a, déjelo como Usuario, grupo o entidad de servicio de Microsoft Entra.
  5. En Seleccionar miembros, escriba myGalleryApp y selecciónelo cuando aparezca en la lista. Cuando haya terminado, seleccione Revisar y asignar.

Conceder acceso a Inquilino 2

Conceda acceso a Inquilino 2 a la aplicación solicitando un inicio de sesión mediante un explorador. Reemplace <Tenant2 ID> con el id. del inquilino con el que le gustaría compartir la galería de imágenes. Los usuarios pueden ver su identificador de inquilino mediante el comando az account show de la CLI de Azure.

Reemplace <Application (client) ID> con el identificador de la aplicación del registro de aplicación que creó. Cuando haya terminado de realizar los reemplazos, pegue la dirección URL en un explorador y siga las instrucciones de inicio de sesión para iniciar sesión en Inquilino 2.

https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F 

En Azure Portal, inicie sesión como Inquilino 2 y dé acceso de registro de aplicación al grupo de recursos donde quiere crear la máquina virtual.

  1. Seleccione el grupo de recursos, y luego haga clic en Control de acceso (IAM) . En Agregar asignación de roles, seleccione Agregar.
  2. En Rol, escriba Colaborador.
  3. En Asignar acceso a, déjelo como Usuario, grupo o entidad de servicio de Microsoft Entra.
  4. En Seleccionar miembros, escriba myGalleryApp y selecciónelo cuando aparezca en la lista. Cuando haya terminado, seleccione Revisar y asignar.

Nota

Deberá esperar a que la versión de la imagen termine de compilarse y replicarse por completo antes de poder usar la misma imagen administrada para crear otra versión de la imagen.

Importante

No se puede usar el portal para implementar una VM desde una imagen en otro inquilino de Azure. Para crear una VM desde una imagen que se comparte entre los inquilinos, debe usar la CLI de Azure o Powershell.

Creación de la máquina virtual

Necesitará lo siguiente antes de crear una máquina virtual a partir de una imagen compartida mediante un registro de aplicación:

  • Los identificadores de inquilino de la suscripción de origen y la suscripción en la que quiere crear la máquina virtual.
  • El identificador de cliente del registro de la aplicación y el secreto.
  • El identificador de la imagen que quiere usar.

Inicie sesión en la entidad de servicio del inquilino 1 mediante el id. de la aplicación, la clave de aplicación y el identificador del inquilino 1. Puede usar az account show --query "tenantId" para obtener el identificador del inquilino, si es necesario.

En este ejemplo se muestra cómo crear una máquina virtual a partir de una imagen generalizada. Si quiere usar una imagen especializada, consulte Creación de una VM mediante una versión de imagen especializada.


tenant1='<ID for tenant 1>'
tenant2='<ID for tenant 2>'
appid='<client ID of the app registration>'
secret='<secret from the app registration>'

az account clear
az login --service-principal -u $appid -p $secret --tenant $tenant1
az account get-access-token 

Inicie sesión en la entidad de servicio del inquilino 2 mediante el id. de la aplicación, la clave de aplicación y el identificador del inquilino 2:

az login --service-principal -u $appid -p $secret --tenant $tenant2
az account get-access-token

Cree la máquina virtual. Reemplace la información del ejemplo por la suya.

imageid="<ID of the image that you want to use>"
az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image $imageid \
  --admin-username azureuser \
  --generate-ssh-keys