Uso compartido de imágenes de máquina virtual de la galería en inquilinos de Azure mediante un registro de aplicaciones

Con Azure Compute Gallery, puede compartir una imagen de máquina virtual (VM) con otra organización mediante un registro de aplicación. Para obtener información sobre otras opciones de uso compartido, consulte Uso compartido de recursos de la galería entre suscripciones e inquilinos mediante RBAC.

Pero si quiere compartir las imágenes fuera de su inquilino de Azure, a escala, debe crear un registro de aplicación. Usar un registro de aplicación puede habilitar escenarios de uso compartidos más complejos, como por ejemplo:

• Administración de imágenes compartidas cuando una compañía adquiere otra y la infraestructura de Azure se distribuye entre inquilinos independientes.
• Los asociados de Azure administran la infraestructura de Azure en nombre de sus clientes. La personalización de imágenes se realiza en el inquilino de los asociados, pero las implementaciones de infraestructura se realizarán en el inquilino del cliente.

Creación del registro de aplicaciones

Cree un registro de aplicación que usarán ambos inquilinos para compartir los recursos de la galería de imágenes.

1. Abra Registros de aplicaciones en Azure Portal.
2. En el menú de la parte superior de la página, seleccione Nuevo registro.
3. En Nombre, escriba myGalleryApp.
4. En Tipos de cuenta admitidos, seleccione Cuentas en cualquier directorio organizativo (cualquier directorio de Microsoft Entra: multiinquilino) y cuentas de Microsoft personales (como Skype o Xbox).
5. En URI de redirección, seleccione Web en la lista desplegable Selección de una plataforma y escriba https://www.microsoft.com; a continuación, seleccione Registrar. Una vez creado el registro de aplicación, se abrirá la página de información general.
6. En la página de información general, copie el identificador de aplicación (cliente) y guárdelo para usarlo más adelante.
7. Seleccione Certificados y secretos y seleccione Nuevo secretos de cliente.
8. En Descripción, escriba Secreto de aplicación entre inquilinos de la galería.
9. En Expiración, cambie del valor predeterminado de 6 meses (recomendado) a 12 meses y seleccione Agregar.
10. Copie el valor del secreto y guárdelo en un lugar seguro. No podrá recuperarlo después de salir de la página.

Conceda permiso al registro de aplicación para usar la galería.

1. En Azure Portal, seleccione la instancia de Azure Compute Gallery que quiere compartir con otro inquilino.
2. Seleccione Control de acceso (IAM) y en Agregar asignación de roles, seleccione Agregar.
3. En Rol, seleccione Lector.
4. En Asignar acceso a, déjelo como Usuario, grupo o entidad de servicio de Microsoft Entra.
5. En Seleccionar miembros, escriba myGalleryApp y selecciónelo cuando aparezca en la lista. Cuando haya terminado, seleccione Revisar y asignar.

Conceder acceso a Inquilino 2

Conceda acceso a Inquilino 2 a la aplicación solicitando un inicio de sesión mediante un explorador. Reemplace <Tenant2 ID> con el id. del inquilino con el que le gustaría compartir la galería de imágenes. Los usuarios pueden ver su identificador de inquilino mediante el comando az account show de la CLI de Azure.

Reemplace <Application (client) ID> con el identificador de la aplicación del registro de aplicación que creó. Cuando haya terminado de realizar los reemplazos, pegue la dirección URL en un explorador y siga las instrucciones de inicio de sesión para iniciar sesión en Inquilino 2.

https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F 

En Azure Portal, inicie sesión como Inquilino 2 y dé acceso de registro de aplicación al grupo de recursos donde quiere crear la máquina virtual.

1. Seleccione el grupo de recursos, y luego haga clic en Control de acceso (IAM) . En Agregar asignación de roles, seleccione Agregar.
2. En Rol, escriba Colaborador.
3. En Asignar acceso a, déjelo como Usuario, grupo o entidad de servicio de Microsoft Entra.
4. En Seleccionar miembros, escriba myGalleryApp y selecciónelo cuando aparezca en la lista. Cuando haya terminado, seleccione Revisar y asignar.

Creación de la máquina virtual

Necesita la siguiente información antes de crear una máquina virtual a partir de una imagen compartida con usted mediante un registro de aplicación:

• Identificadores de inquilino de la suscripción de origen y la suscripción donde desea crear la máquina virtual.
• El identificador de cliente del registro de la aplicación y el secreto
• Identificador de imagen de la imagen que desea usar

tenant1='<ID for tenant 1>'
tenant2='<ID for tenant 2>'
appid='<client ID of the app registration>'
secret='<secret from the app registration>'

az account clear
az login --service-principal -u $appid -p $secret --tenant $tenant1
az account get-access-token 

az login --service-principal -u $appid -p $secret --tenant $tenant2
az account get-access-token

imageid="<ID of the image that you want to use>"
az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image $imageid \
  --admin-username azureuser \
  --generate-ssh-keys

$applicationId = '<App ID>'
$secret = <Secret> | ConvertTo-SecureString -AsPlainText -Force
$tenant1 = "<Tenant 1 ID>"
$tenant2 = "<Tenant 2 ID>"
$cred = New-Object -TypeName PSCredential -ArgumentList $applicationId, $secret
Clear-AzContext
Connect-AzAccount -ServicePrincipal -Credential $cred  -Tenant "<Tenant 1 ID>"
Connect-AzAccount -ServicePrincipal -Credential $cred -Tenant "<Tenant 2 ID>"

$resourceGroup = "myResourceGroup"
$location = "South Central US"
$vmName = "myVMfromImage"

# Set a variable for the image version in Tenant 1 by using the full image ID of the image version
$image = "/subscriptions/<Tenant 1 subscription>/resourceGroups/<Resource group>/providers/Microsoft.Compute/galleries/<Gallery>/images/<Image definition>/versions/<version>"

# Create a user object
$cred = Get-Credential -Message "Enter a username and password for the virtual machine."

# Create a resource group
New-AzResourceGroup -Name $resourceGroup -Location $location

# Networking pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name mySubnet -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork -ResourceGroupName $resourceGroup -Location $location `
  -Name MYvNET -AddressPrefix 192.168.0.0/16 -Subnet $subnetConfig
$pip = New-AzPublicIpAddress -ResourceGroupName $resourceGroup -Location $location `
  -Name "mypublicdns$(Get-Random)" -AllocationMethod Static -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig -Name myNetworkSecurityGroupRuleRDP  -Protocol Tcp `
  -Direction Inbound -Priority 1000 -SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * `
  -DestinationPortRange 3389 -Access Allow
$nsg = New-AzNetworkSecurityGroup -ResourceGroupName $resourceGroup -Location $location `
  -Name myNetworkSecurityGroup -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface -Name myNic -ResourceGroupName $resourceGroup -Location $location `
  -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -NetworkSecurityGroupId $nsg.Id

# Create a virtual machine configuration by using the $image variable to specify the image
$vmConfig = New-AzVMConfig -VMName $vmName -VMSize Standard_D1_v2 | `
Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
Set-AzVMSourceImage -Id $image | `
Add-AzVMNetworkInterface -Id $nic.Id

# Create a virtual machine
New-AzVM -ResourceGroupName $resourceGroup -Location $location -VM $vmConfig

Contenido relacionado

• Si tiene algún problema, puede solucionar problemas de galerías.