你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
与订阅或租户中的所有用户共享库(预览版)
本文介绍如何使用直接共享库与特定订阅或租户共享 Azure Compute Gallery。 与租户和订阅共享库可为其提供对库的只读访问权限。
重要
Azure Compute Gallery - 直接共享库目前处于预览阶段,并受 Azure Compute Gallery 预览条款的约束。
要在预览期间将映像发布到直接共享库,需要在 https://aka.ms/directsharedgallery-preview 注册。 请提交表单,分享你的业务案例。 使用映像不需要额外的访问权限,与库共享的目标订阅或租户中的所有 Azure 用户均可从直接共享库创建 VM。 在大多数情况下,使用服务主体的 RBAC/跨租户共享就足够了,并鼓励客户利用 RBAC 共享。 仅当你希望与订阅/租户中的所有用户广泛共享图片,并且你的业务案例需要访问直接共享库时,才请求访问直接共享库功能。
在预览期间,需要新建一个库,并将属性 sharingProfile.permissions
设置为 Groups
。 使用 CLI 创建库时,请使用 --permissions groups
参数。 不能使用现有库,当前无法更新该属性。
注意
请注意,映像可在具有读取权限的情况下用于部署虚拟机和磁盘。
使用直接共享库时,映像将广泛分发给订阅/租户中的所有用户,而社区库则会公开分发映像。 建议谨慎共享包含知识产权的图像,以防止广泛分发。
Azure 计算库中有三种共享映像的主要方法,具体取决于要与谁共享:
共享对象: | 人员 | 组 | Service Principal | 特定订阅(或)租户中的所有用户 | 与 Azure 中的所有用户公开共享 |
---|---|---|---|---|---|
RBAC 共享 | 是 | 是 | 是 | 否 | 否 |
RBAC + 直接共享库 | 是 | 是 | 是 | 是 | 否 |
RBAC + 社区库 | 是 | 是 | 是 | No | 是 |
限制
预览期间:
- 只能与 30 个订阅和 5 个租户共享。
- 只能共享映像。 无法在预览期间直接共享 VM 应用程序。
- 直接共享库不能包含加密的映像版本。 无法在直接共享库中创建加密映像。
- 只有订阅的所有者或在订阅或库级别分配有
Compute Gallery Sharing Admin
角色的用户或服务主体将能够启用基于组的共享。 - 需要新建一个库,并将属性
sharingProfile.permissions
设置为Groups
。 使用 CLI 创建库时,请使用--permissions groups
参数。 不能使用现有库,当前无法更新该属性。 - 仅以预览版形式提供 RestAPI、CLI、门户支持。 不久将提供 PowerShell 和 Terraform 支持。
- 虽然此功能提供门户支持,但只能通过“创建 VM/VMSS”边栏选项卡使用门户中的映像,并且无法直接在门户中浏览直接共享的映像。
- 库中的映像版本区域应与主区域相同,不支持创建主区域不同于库的跨区域版本,但一旦映像位于主区域,就可以将其复制到其他区域
- 在政府云中不可用
- 已知问题:使用 Azure 门户从直接共享映像创建 VM,如果选择某个区域,选择某个映像,然后更改该区域,你将收到一条错误消息:“只能在此映像的复制区域中创建 VM”,即使该映像已复制到该区域。 要消除该错误,请选择其他区域,然后切换回所需的区域。 如果该映像可用,应会清除错误消息。
先决条件
需要创建新的直接共享库。 将直接共享库的属性 sharingProfile.permissions
设置为 Groups
。 使用 CLI 创建库时,请使用 --permissions groups
参数。 不能使用现有库,当前无法更新该属性。
使用直接共享库共享的工作原理
首先,在 Microsoft.Compute/Galleries
下创建库,然后选择 groups
作为共享选项。
准备就绪后,请与订阅和租户共享库。 只有订阅的所有者或在订阅或库级别具有 Compute Gallery Sharing Admin
角色的用户或服务主体才能共享库。 此时,Azure 基础结构会在 Microsoft.Compute/SharedGalleries
下创建代理只读区域资源。 只有已经与之共享的订阅和租户才能与代理资源交互,它们永远不会与专用资源交互。 作为专用资源的发布者,你应将专用资源视为公共代理资源的句柄。 与之共享库的订阅和租户会将库名称视为在其中创建库的订阅 ID,后跟库名称。
注意
已知问题:在 Azure 门户中,如果收到错误“无法更新 Azure Compute Gallery”,请验证你是否拥有库的所有者(或)计算库共享管理员权限。
登录 Azure 门户。
在搜索框中键入“Azure Compute Gallery”,并在结果中选择“Azure Compute Gallery”。
在“Azure Compute Gallery”页中,单击“添加”。
在“创建 Azure Compute Gallery”页上,选择正确的订阅。
填写此页上的所有详细信息。
在页面底部,选择“下一步:共享方法”。
在“共享”选项卡上,选择“RBAC + 直接共享”。
完成操作后,选择“查看 + 创建”。
通过验证后,选择“创建”。
部署完成后,选择“转到资源”。
共享库:
在库的页面上,从左侧菜单中选择“共享”。
在“直接共享设置”下,选择“添加”。
如果要与组织中的人员共享,请选择“订阅”或“租户”作为“类型”,并从“租户和订阅”下拉列表中选择相应的项。 如果要与组织外部的人员共享,请选择“组织外部的订阅”或“组织外部的租户”,然后将 ID 粘贴到或键入文本框中。
与租户共享库时,该租户中的所有订阅都可以访问此映像,并且不必与租户中的单个订阅共享该映像
完成添加项后,选择“保存”。