Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I vissa fall kan du ha ditt Azure AKS-kluster i en Microsoft Entra-klientorganisation och ditt Azure-containerregister i en annan klientorganisation. Den här artikeln går igenom stegen för att aktivera autentisering mellan klientorganisationer med hjälp av AKS-tjänstens huvudnamnsautentiseringsuppgifter för att hämta från containerregistret.
Kommentar
Du kan inte koppla registret och autentisera med en AKS-hanterad identitet när klustret och containerregistret finns i olika klientorganisationer.
Scenarioöversikt
Antaganden för det här exemplet:
- AKS-klustret finns i Klient A och Azure-containerregistret finns i klient B.
- AKS-klustret konfigureras med autentisering med tjänstens huvudnamn i Klient A. Mer information finns i Skapa och använda ett huvudnamn för tjänsten för ditt AKS-kluster.
Du behöver minst deltagarrollen i AKS-klustrets prenumeration. Du behöver också minst rollerna Rollbaserad åtkomstkontrolladministratör och Behållarregisterbidragsgivare och Administratör för datakaccesskonfiguration i containerregistrets prenumeration.
Använd följande steg för att:
- Skapa en ny app för flera klienter (tjänstens huvudnamn) i klientorganisation A.
- Tilldela appen i Tenant B.
- Konfigurera tjänstens princip för att hämta från registret i klient B.
- Uppdatera AKS-klustret i Hyresgäst A för att autentisera med den nya tjänstens huvudansvarig.
Stegvisa instruktioner
Steg 1: Skapa Microsoft Entra-program med flera klientorganisationer
Logga in på Azure-portalen i tenantenhet A.
Sök efter och markera Microsoft Entra ID.
Under Hantera väljer du Appregistreringar > + Ny registrering.
I Kontotyper som stöds väljer du Konton i valfri organisationskatalog.
I Redirect URI (Omdirigerings-URI) anger du https://www.microsoft.com.
Välj Registrera.
På sidan Översikt noterar du program-ID:t (klient-ID). Du använder det här ID:t i steg 2 och steg 4.
I Certifikat och hemligheter går du till Klienthemligheter och väljer + Ny klienthemlighet.
Ange en Beskrivning , till exempel Lösenord och välj Lägg till.
Anteckna värdet för klienthemligheten i Klienthemligheter. Du använder det för att uppdatera AKS-klustrets tjänsthuvudnamn i steg 4.
Steg 2: Etablera tjänstens huvudnamn i ACR-klientorganisationen
Öppna följande länk med ett administratörskonto i Klient B. När detta anges infogar du ID för klient B och program-ID (klient-ID ) för multitenantappen.
https://login.microsoftonline.com/<Tenant B ID>/oauth2/authorize?client_id=<Multitenant application ID>&response_type=code&redirect_uri=<redirect url>Välj Medgivande för din organisations räkning och sedan Acceptera.
Steg 3: Bevilja service principal behörighet att hämta från registret
I Klient B tilldelar du rätt roll till tjänstens huvudnamn, begränsat till målcontainerregistret. Du måste tilldela antingen Container Registry Repository Reader (för ABAC-aktiverade register) eller AcrPull (för icke-ABAC-register).
Du kan använda Azure Portal eller andra verktyg för att tilldela rollen. Exempel på steg med hjälp av Azure CLI finns i Azure Container Registry-autentisering med tjänsthuvudnamn.
Skärmbild av tilldelning av roll till fleranvändarapplikation.
Steg 4: Uppdatera AKS med Microsoft Entra-programhemligheten
Använd multitenantapplikations-ID och klienthemligheten som du samlade in i steg 1 för att uppdatera AKS-tjänstens autentiseringsuppgifter.
Det kan ta flera minuter att uppdatera tjänstens princip.
Nästa steg
- Läs mer om Azure Container Registry-autentisering med tjänstens huvudnamn.
- Läs mer om hämtningshemligheter för avbildningar i Kubernetes-dokumentationen.
- Lär dig mer om program- och tjänsthuvudobjekt i Microsoft Entra-ID.
- Läs mer om scenarier för att autentisera med Azure Container Registry från ett Kubernetes-kluster.