你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
要与所有 Azure 用户共享库,可以创建社区库。 拥有 Azure 订阅的任何人都可以使用社区库。 创建虚拟机(VM)的人员可以使用 Azure 门户、REST API 或 Azure CLI 浏览与社区共享的映像。 与社区共享映像是 Azure 计算画廊中的一项新功能。
可以将映像库公开,并与 Azure 客户共享。 当图库被标记为社区图库时,其中的所有映像都将作为 Microsoft.Compute/communityGalleries 中的一种新资源类型,供所有 Azure 客户使用。 Azure 客户可以查看映像库,并使用它们创建虚拟机。 该类型 Microsoft.Compute/galleries 的原始资源仍属于您的订阅并保持私有。
重要说明
Microsoft不支持社区映像。 对于任何与映像相关的问题,请联系映像发布者。 但是,Microsoft 确实提供商业上合理的支持,以隔离涉及社区镜像的任何平台问题。 可以通过查询图像来查找发布者联系人。
在 Compute Gallery 中共享映像有三种主要方法,具体取决于要与之共享的用户:
| 共享对象: | 人员 | 组 | 服务主体 | 特定订阅或租户中的所有用户 | 与 Azure 中的所有用户公开共享 |
|---|---|---|---|---|---|
| 基于角色的访问控制 (RBAC) 共享 | 是 | 是 | 是 | 否 | 否 |
| RBAC + 直接共享库 | 是 | 是 | 是 | 是 | 否 |
| RBAC + 社区库 | 是 | 是 | 是 | 否 | 是 |
注意
可以使用具有读取权限的映像来部署虚拟机和磁盘。
使用直接共享库时,映像将广泛分发给订阅或租户中的所有用户。 社区库公开分发映像。 共享包含知识产权的图像时,请谨慎防止广泛分布。
免责声明
Microsoft不会验证或测试 社区映像 和相关发布者信息。 您对任何您部署或使用的社区镜像完全负责。 你负责与映像发布者的交易。 有关批准的操作系统基础映像,请参阅 GitHub 中的列表。 有关由已验证发布者创建的其他镜像,请参阅 Azure 市场。
与社区共享图像的限制
- 无法将现有的专用库(已启用 RBAC 的库)转换为社区库。
- 不能使用 Azure 市场的合作伙伴映像并将其发布到社区。
- 不支持加密映像。
- 此功能在政府云中不可用。
- 需要在库所在的同一区域中创建映像资源。 例如,如果在美国西部创建库,并希望提供映像定义和映像版本,则应在美国西部创建它们。
- 目前无法与社区共享 VM 应用程序 。
与社区共享的工作原理
在 Microsoft.Compute/Galleries 下创建库资源,然后选择 community 作为共享选项。
准备就绪后,将库标记为已准备好公开共享。 只有订阅的所有者或具有订阅或库级别的计算库共享管理员角色的用户或服务主体才能使库公开给社区。 此时,Azure 基础结构会在 Microsoft.Compute/CommunityGalleries 下创建代理只读区域资源。 这些代理资源是公共的。
用户只能与代理资源进行交互。 它们永远不会与您的私有资源交互。 作为专用资源的发布者,你应将专用资源视为公共代理资源的句柄。 创建图库时提供的prefix值与 GUID 一起用于为图库创建对外展示的名称。
Azure 用户可以在门户中查看与社区共享的最新映像版本,或使用 Azure CLI 查询它们。 社区库中仅列出最新版本的映像。
创建社区库时,需要提供映像的联系人信息。 如果使用者需要帮助,此信息有助于促进映像使用者与发布者之间的通信。 Microsoft 不提供对这些映像的支持。 此信息 公开提供,因此请在提供此信息时小心:
- 社区图库前缀。
- 发布者支持电子邮件。
- 发布者 URL。
- 法律协议 URL。 请勿在此 URL 中放置机密、密码、共享访问签名(SAS)URI 或任何其他敏感信息。
映像定义中的信息也可公开获取,包括你提供的 发布者、产品 和 SKU 的信息。
警告
如果要停止公开共享库,可以更新库以停止共享。 但是,将服务图库设置为私有将阻止虚拟机规模集的现有用户扩展其资源。
映像发布者在发布到 Azure 市场和社区库之间进行选择的方式
何时发布到 Azure 市场:
- 你已签署 Azure 市场条款。
- 你想要发布商业映像。
- 你想要发布稳定版本或主要版本。
何时发布到社区画廊:
- 无法对 Azure 市场条款进行签名,仍希望在 Azure 上公开共享映像。
- 你想要发布非商业映像。
- 你想要发布每日构建或夜间构建。
映像使用者如何在 Azure 市场和社区映像之间进行选择
消费者可能会在需要以下情况时选择 Azure 市场映像:
- Microsoft认证的映像。
- 用于生产工作负载的映像。
- Microsoft和合作伙伴图像。
- 具有其他软件产品/服务的付费映像。
- Microsoft支持的图像。
当使用者需要时,使用者可能会选择社区映像:
- 由开源社区发布的映像的社区版本。
- 来自具有已知联系信息的受信任发布者的图像。
- 用于测试的图像。
- 免费图像。
- 由图像所有者支持的图像,而非由微软支持。
报告与社区映像有关的问题
使用社区提交的 VM 映像存在多种风险。 映像可能包含恶意软件、安全漏洞或知识产权。 为了帮助为社区创建安全可靠的体验,可以在发现这些问题时报告映像。
对于社区画廊的问题,最简单的报告方法是使用一个能够自动预填报表信息的门户。
- 对于映像定义字段中的链接或其他信息的问题,请选择“报告社区映像”。
- 对于特定映像版本中的恶意代码或其他问题,请选择映像版本表中的“报表版本”列下的“报表”。
还可以使用以下链接来报告问题,但表单未预先填充:
最佳做法
发布到社区库的图像应 通用化 ,并且没有敏感或特定于计算机的详细信息。 若要了解有关准备映像的详细信息,请参阅适用于 Linux 或 Windows 的特定于 OS 的信息。
如果要在组织级别阻止与社区共享映像,请使用以下策略规则创建 Azure 策略:
"policyRule": { "if": { "allOf": [ { "field": "type", "equals": "Microsoft.Compute/galleries" }, { "field": "Microsoft.Compute/galleries/sharingProfile.permissions", "equals": "Community" } ] }, "then": { "effect": "[parameters('effect')]" } }
FAQ
使用与社区共享的画廊的费用是多少?
使用服务本身不收取任何费用。 但是,内容发布者确实会收到:
- 每个区域(源和目标)中的应用程序版本和副本的存储费用。 这些费用基于所选的存储帐户类型。
- 跨区域复制的网络出口费用。
如果基础映像使用具有软件费用的 Azure 市场映像,映像的使用者可能需要支付额外的软件费用。
是否安全使用与社区共享的图像?
用户在使用来自未验证源的图像时应谨慎行事。 这些映像不受认证的约束,不会扫描它们是否存在恶意软件或漏洞。
如果与社区共享的图像不起作用,则谁提供支持?
Azure 不负责用户可能会遇到社区共享映像的任何问题。 映像发布者提供支持。 如果需要支持,请使用映像发布者的联系信息。
社区画廊共享是否是 Azure 市场的一部分?
否,社区库共享不是 Azure 市场的一部分。 它是 Azure 计算资源库的一项功能。 拥有 Azure 订阅的任何人都可以使用社区库将其映像公开。
如何请求将与社区共享的映像复制到特定区域?
只有内容发布者可以控制其映像可用的区域。 如果未在特定区域中找到映像,请直接与发布者联系。
开始公开共享
要实现画廊的公开共享,需要将其创建为社区画廊。 有关详细信息,请参阅 创建社区画廊。
准备好将图库开放给社区时,请使用az sig share enable-community命令。 只有在拥有者角色定义中的用户才能为社区共享启用画廊。
az sig share enable-community \
--gallery-name $galleryName \
--resource-group $resourceGroup
若要仅返回到基于 RBAC 的共享,请使用 az sig share reset 该命令。
要删除与社区共享的相册,必须先运行 az sig share reset 以停止共享。 然后,可以删除图库。
重要说明
如果你被列为订阅的所有者,但在公开共享库时遇到问题,则可能需要显式再次将自己添加为所有者。
若要仅返回到基于 RBAC 的共享,请使用 az sig share reset 该命令。
若要删除与社区共享的图片库,必须先运行 az sig share reset 来停止共享。 然后,可以删除图库。