Поделиться через

Предоставление общего доступа к изображениям с помощью коллекции сообщества

Чтобы предоставить общий доступ ко всем пользователям Azure, можно создать коллекцию сообщества. Любой пользователь, у которого есть подписка Azure, может использовать коллекции сообщества. Пользователь, создающий виртуальную машину, может просматривать образы, предоставляемые сообществу, с помощью портала Azure, REST API или Azure CLI. Совместное использование образов с сообществом — это новая возможность в коллекции вычислений Azure.

Вы можете сделать коллекции образов общедоступными и поделиться ими с клиентами Azure. Когда коллекция помечена как коллекция сообщества, все изображения в ней становятся доступными всем клиентам Azure в качестве нового типа ресурсов в разделе Microsoft.Compute/communityGalleries. Клиенты Azure могут просматривать коллекции и использовать их для создания виртуальных машин. Исходные ресурсы типа Microsoft.Compute/galleries по-прежнему находятся под подпиской и частными.

Внимание

Корпорация Майкрософт не предоставляет поддержку образов сообщества. Для любых проблем, связанных с изображением, обратитесь к издателям изображений. Однако корпорация Майкрософт предоставляет коммерческую поддержку для изоляции любой проблемы платформы, которая включает в себя образ сообщества. Контакт издателя можно найти, запрашивая изображение.

Существует три основных способа совместного использования образов в коллекции вычислений в зависимости от того, с какими пользователями вы хотите предоставить общий доступ:

Совместное использование: Люди Группы Принципал службы Все пользователи в определенной подписке или клиенте Общедоступный доступ ко всем пользователям в Azure
Общий доступ на основе ролей (RBAC) Да Да Да No No
RBAC + прямая общая коллекция Да Да Да Да No
RBAC + коллекция сообщества Да Да Да No Да

Примечание.

Образы можно использовать с разрешениями на чтение для развертывания виртуальных машин и дисков.

При использовании прямой общей коллекции образы распределяются широко всем пользователям в подписке или клиенте. Коллекция сообщества распространяет изображения публично. При совместном использовании изображений, содержащих интеллектуальную собственность, используйте осторожность, чтобы предотвратить широкое распространение.

Заявление об отказе

Корпорация Майкрософт не проверяет или не проверяет образы сообщества и связанные сведения о издателе. Вы несете ответственность за любой образ сообщества, который вы развертываете или используете. Вы несете ответственность за работу с издателями изображений. Утвержденные базовые образы операционной системы см. в списке на сайте GitHub. Сведения о других образах, созданных проверенными издателями, см. в Azure Marketplace.

Ограничения для предоставления общего доступа к изображениям в сообществе

  • Вы не можете преобразовать существующую частную коллекцию (коллекцию с поддержкой RBAC) в коллекцию сообщества.
  • Вы не можете использовать образ партнера из Azure Marketplace и опубликовать его в сообществе.
  • Зашифрованные изображения не поддерживаются.
  • Эта функция недоступна в облаках для государственных организаций.
  • Ресурсы изображений необходимо создать в том же регионе, что и коллекция. Например, если вы создаете коллекцию в Западной части США, определения изображений и версии изображений должны быть созданы в Западной части США, если вы хотите сделать их доступными.
  • В настоящее время вы не можете совместно использовать приложения виртуальных машин с сообществом.

Принцип предоставления общего доступа для сообщества

Вы создаете ресурс коллекции в разделе Microsoft.Compute/Galleries и выбираете community в качестве параметра общего доступа.

Когда вы будете готовы, помечаете коллекцию как готовую к общедоступному доступу. Только владелец подписки или пользователя или субъекта-службы с ролью администратора общего доступа к коллекции вычислений на уровне подписки или коллекции может включить общедоступный доступ к сообществу. На этом этапе инфраструктура Azure создает региональные ресурсы Microsoft.Compute/CommunityGalleries, доступные только для чтения прокси- сервера. Эти прокси-ресурсы являются общедоступными.

Пользователи могут взаимодействовать только с ресурсами прокси-сервера. Они никогда не взаимодействуют с частными ресурсами. В качестве издателя частного ресурса следует учитывать частный ресурс как дескриптор общедоступных прокси-ресурсов. Значение prefix , которое вы предоставляете при создании коллекции, используется вместе с GUID для создания общедоступного имени коллекции.

Пользователи Azure могут просматривать последние версии образов, которыми они поделились с сообществом на портале, или запрашивать их с помощью Azure CLI. В коллекции сообщества отображается только последняя версия образа.

При создании коллекции сообщества необходимо указать контактные данные для изображений. Эта информация помогает упростить взаимодействие между потребителем изображения и издателем, если потребитель нуждается в помощи. Корпорация Майкрософт не предлагает поддержку этих образов. Эта информация общедоступна, поэтому будьте осторожны при предоставлении:

  • Префикс коллекции сообщества.
  • Электронная почта поддержки издателя.
  • URL-адрес издателя.
  • URL-адрес юридического соглашения. Не помещайте секреты, пароли, URI подписи доступа (SAS) или другие конфиденциальные сведения в этом URL-адресе.

Сведения из определений изображений также общедоступны, в том числе сведения о том, что вы предоставляете для издателя, предложения и номера SKU.

Предупреждение

Если вы хотите прекратить общий доступ к коллекции публично, вы можете обновить коллекцию, чтобы прекратить общий доступ. Однако создание частной коллекции не позволит существующим пользователям масштабируемых наборов виртуальных машин масштабировать ресурсы.

Когда нужно опубликовать в Azure Marketplace:

  • Вы подписали условия Azure Marketplace.
  • Вы хотите опубликовать коммерческие образы.
  • Вы хотите опубликовать стабильную версию или основной выпуск.

Когда следует опубликовать в коллекции сообщества:

  • Вы не можете подписать условия Azure Marketplace и по-прежнему хотите совместно использовать образы в Azure.
  • Вы хотите опубликовать некоммерческие образы.
  • Вы хотите публиковать ежедневные или ночные сборки.

Как потребитель изображений выбирает образы между Azure Marketplace и образами сообщества

Потребитель может выбрать образы Azure Marketplace, когда это требуется потребителю:

  • Образы, сертифицированные корпорацией Майкрософт.
  • Образы для рабочих нагрузок.
  • Образы Майкрософт и партнеров.
  • Платные изображения с дополнительными предложениями программного обеспечения.
  • Образы, поддерживаемые корпорацией Майкрософт.

Потребитель может выбрать образы сообщества, когда это требуется потребителю:

  • Версия сообщества образа, опубликованного сообществом с открытым исходным кодом.
  • Изображения доверенного издателя с известными контактными данными.
  • Изображения для тестирования.
  • Бесплатные изображения.
  • Изображения, поддерживаемые владельцами образов, а не корпорацией Майкрософт.

Создание отчетов о проблемах с изображением сообщества

Использование образов виртуальных машин, отправленных сообществом, имеет несколько рисков. Образы могут содержать вредоносные программы, уязвимости безопасности или интеллектуальную собственность. Чтобы создать безопасный и надежный интерфейс для сообщества, вы можете сообщить о изображениях при появлении этих проблем.

Самый простой способ сообщить о проблемах с коллекцией сообщества — использовать портал, который предварительно заполняет сведения для отчета:

  • Для проблем с ссылками или другими сведениями в полях определения изображения выберите образ сообщества отчетов.
  • Для вредоносного кода или других проблем в определенной версии образа выберите отчет в столбце версии отчета в таблице версий образа.

Кроме того, можно использовать следующие ссылки на проблемы с отчетами, но формы не заполнены.

Рекомендации

  • Изображения, опубликованные в коллекции сообщества, должны быть обобщены и не имеют конфиденциальных сведений или сведений о компьютере. Дополнительные сведения о подготовке образа см. в сведениях о конкретной ОС для Linux или Windows.

  • Если вы хотите заблокировать общий доступ к образам с сообществом на уровне организации, создайте политику Azure со следующим правилом политики:

      "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.Compute/galleries"
          },
          {
            "field": "Microsoft.Compute/galleries/sharingProfile.permissions",
            "equals": "Community"
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]"
      }
    }

Вопросы и ответы

Плата за использование самой службы не взимается. Однако издатели содержимого получают:

  • плата за версии приложений и реплики в каждом регионе (исходном и целевом). Эти расходы основаны на выбранном типе учетной записи хранения.
  • Плата за исходящий сетевой трафик репликации между регионами.

Потребителям образа может потребоваться платить дополнительные затраты на программное обеспечение, если базовый образ использует образ Azure Marketplace с расходами на программное обеспечение.

Безопасно ли использовать образы, совместно используемые сообществом?

Пользователи должны проявлять осторожность при использовании изображений из непроверенных источников. Эти образы не подлежат сертификации, и они не проверяются на наличие вредоносных программ или уязвимостей.

Если образ, который предоставлен сообществу, не работает, кто предоставляет поддержку?

Azure не несет ответственности за какие-либо проблемы, с которыми пользователи могут столкнуться с общими образами сообщества. Издатель образов предоставляет поддержку. Если вам нужна поддержка, используйте контактные данные издателя изображений.

Нет, общий доступ к коллекции сообщества не является частью Azure Marketplace. Это функция коллекции вычислений Azure. Любой пользователь, у которого есть подписка Azure, может использовать коллекцию сообщества, чтобы сделать свои образы общедоступными.

Как запросить, чтобы образ, общий доступ к которому предоставлен сообществу, реплицируется в определенный регион?

Только издатели содержимого контролируют регионы, где доступны их образы. Если вы не найдете изображение в определенном регионе, обратитесь к издателю напрямую.

Начало предоставления общего доступа

Чтобы коллекция была общедоступной, ее необходимо создать как коллекцию сообщества. Дополнительные сведения см. в статье "Создание коллекции сообщества".

Когда вы будете готовы сделать коллекцию доступной для сообщества, используйте az sig share enable-community команду. Только пользователь в определении роли владельца может включить коллекцию для общего доступа к сообществу.

az sig share enable-community \
   --gallery-name $galleryName \
   --resource-group $resourceGroup

Чтобы вернуться только к совместному использованию на основе RBAC, используйте az sig share reset команду.

Чтобы удалить коллекцию, предоставленную сообществу, необходимо сначала запустить az sig share reset , чтобы прекратить общий доступ. Затем можно удалить коллекцию.

Внимание

Если вы являетесь владельцем подписки, но у вас возникли проблемы с общедоступным доступом к коллекции, вам может потребоваться явно добавить себя в качестве владельца.

Чтобы вернуться только к совместному использованию на основе RBAC, используйте az sig share reset команду.

Чтобы удалить коллекцию, предоставленную сообществу, необходимо сначала запустить az sig share reset , чтобы прекратить общий доступ. Затем можно удалить коллекцию.

Связанный контент

  • Last updated on