Partager des images de machine virtuelle de la galerie entre des locataires Azure à l’aide d’une inscription d’application
Avec des galeries Azure Compute Gallery, vous pouvez partager une image avec une autre organisation à l’aide d’une inscription d’application. Pour plus d’informations sur d’autres options de partage, consultez Partager la galerie.
Toutefois, si vous souhaitez partager à grande échelle des images hors de votre locataire Azure, vous devez créer une inscription d’application. À l’aide d’une inscription d’application, vous pouvez activer des scénarios de partage plus complexes, comme :
- la gestion d’images partagées lorsqu’une entreprise en acquiert une autre, ou la répartition de l’infrastructure Azure entre plusieurs locataires distincts.
- Les partenaires Azure gèrent l’infrastructure Azure pour le compte de leurs clients. Les images sont personnalisées au sein du locataire des partenaires, mais les déploiements d’infrastructure s’effectuent dans celui du client.
Créer l’inscription d’application
Créez une inscription d’application qui sera utilisée par les deux locataires pour partager les ressources des galeries d’images.
- Ouvrez les Inscriptions d’applications dans le portail Azure.
- Sélectionnez l’option Nouvelle inscription dans le menu situé en haut de la page.
- Dans Nom, saisissez myGalleryApp.
- Dans Types de comptes pris en charge, sélectionnez Comptes dans un annuaire d’organisation (tout annuaire Microsoft Entra : multilocataire) et comptes Microsoft personnels (par exemple, Skype, Xbox).
- Dans URI de redirection, sélectionnez Web dans la liste déroulante Sélectionner une plateforme et tapez https://www.microsoft.com, puis sélectionnez Inscrire. Une fois l’inscription d’application créée, la page Vue d’ensemble s’ouvre.
- Sur cette page, copiez l’ID d’application (client) et enregistrez-le pour une utilisation ultérieure.
- Sélectionnez Certificats et secrets, puis Nouveau secret client.
- DansDescription, saisissez Secret d’application proposé entre plusieurs locataires dans la galerie.
- Dans Expiration, modifiez la valeur par défaut (6 mois (recommandé)) en 12 mois, puis sélectionnez Ajouter.
- Copiez la valeur du secret et placez-la dans un endroit sûr. Vous ne pouvez pas la récupérer une fois que vous avez quitté cette page.
Fournissez l’autorisation de l’inscription d’application pour utiliser la galerie.
- Dans le Portail Azure, sélectionnez la galerie Azure Compute Gallery que vous souhaitez partager avec un autre locataire.
- Sélectionnez Contrôle d’accès (IAM) et, sous Ajouter une attribution de rôle, sélectionnez Ajouter.
- Sous Rôle, sélectionnez Lecteur.
- Sous Attribuer l’accès à :, laissez-le comme Utilisateur, groupe ou principal du service Microsoft Entra.
- Sous Sélectionner des membres, saisissez myGalleryApp et sélectionnez cet élément lorsqu’il s’affiche dans la liste. Quand vous avez terminé, sélectionnez Vérifier + attribuer.
Accorder l’accès au locataire 2
Accordez l’accès au locataire 2 à l’application, en demandant la connexion via un navigateur. Remplacez <Tenant2 ID> par l’ID de locataire avec lequel vous souhaitez partager votre galerie d’images. Les utilisateurs peuvent voir leur ID de locataire à l’aide de la commande az account show
Azure CLI.
Remplacez <Application (client) ID> par l’ID d’application de l’inscription d’application que vous avez créée. Lorsque vous avez effectué ces remplacements, collez l’adresse URL dans un navigateur et suivez les invites pour vous connecter au locataire 2.
https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F
Dans le portail Microsoft Azure, connectez-vous en tant que locataire 2 et accordez à l’inscription d’application un accès au groupe de ressources dans lequel vous souhaitez créer la machine virtuelle.
- Sélectionnez le groupe de ressources, puis Contrôle d’accès (IAM) . Sous Ajouter une attribution de rôle, sélectionnez Ajouter.
- Sous Rôle, saisissez Contributeur.
- Sous Attribuer l’accès à :, laissez-le comme Utilisateur, groupe ou principal du service Microsoft Entra.
- Sous Sélectionner des membres, saisissez myGalleryApp, puis sélectionnez cet élément lorsqu’il s’affiche dans la liste. Quand vous avez terminé, sélectionnez Vérifier + attribuer.
Notes
Vous devez attendre que la version d’image soit totalement intégrée et répliquée avant de pouvoir utiliser la même image managée pour créer une autre version d’image.
Important
Vous ne pouvez pas utiliser le portail pour déployer une machine virtuelle à partir d’une image dans un autre locataire Azure. Pour créer une machine virtuelle à partir d’une image partagée entre des locataires, vous devez utiliser Azure CLI ou PowerShell.
Création de la machine virtuelle
Vous aurez besoin des éléments suivants avant de créer une machine virtuelle à partir d’une image qui a été partagée avec vous à l’aide d’une inscription d’application :
- Les ID de locataire de l’abonnement source et de l’abonnement dans lesquels vous souhaitez créer la machine virtuelle.
- L’ID client de l’inscription de l’application et du secret.
- L’ID d’image de l’image que vous souhaitez utiliser.
Connectez le principal du service pour le locataire 1 à l’aide de l’ID d’application, de la clé d’application et de l’ID du locataire 1. Vous pouvez utiliser az account show --query "tenantId"
pour obtenir les ID des locataires si nécessaire.
Dans cet exemple, nous montrons comment créer une machine virtuelle à partir d’une image généralisée. Si vous utilisez une image spécialisée, consultez Créer une machine virtuelle à l’aide d’une version d’image spécialisée.
tenant1='<ID for tenant 1>'
tenant2='<ID for tenant 2>'
appid='<client ID of the app registration>'
secret='<secret from the app registration>'
az account clear
az login --service-principal -u $appid -p $secret --tenant $tenant1
az account get-access-token
Connectez le principal du service pour le locataire 2 à l’aide de l’ID d’application, de la clé d’application et de l’ID du locataire 2 :
az login --service-principal -u $appid -p $secret --tenant $tenant2
az account get-access-token
Créez la machine virtuelle. Remplacez les informations dans l’exemple par vos propres données.
imageid="<ID of the image that you want to use>"
az vm create \
--resource-group myResourceGroup \
--name myVM \
--image $imageid \
--admin-username azureuser \
--generate-ssh-keys