Принцип обслуживания возложить на кого? ACR или служба приложений?

У меня есть служба приложений Azure, которая извлекает изображение из Azure ACR и запускает изображение для запуска приложения.

Я бы хотел, чтобы служба приложений извлекала изображение из ACR по принципу службы. У меня вопрос: какому ресурсу следует назначить принципала-службы? ACR или веб-сервис?


azure azure-container-registry azure-appservice azure-service-principal
person SLN    schedule 14.10.2020    source источник

Ответы (2)


arrow_upward
1
arrow_downward

У меня вопрос: какому ресурсу назначить принцип обслуживания? ACR или веб-сервис?

Короткий ответ - ACR. На самом деле, правильное понимание состоит в том, что субъект-служба должен иметь разрешение на извлечение изображений из ACR, поэтому вам необходимо назначить разрешение ACR субъекту-службе.

person Charles Xu    schedule 15.10.2020
comment
@Charlex Но как я могу позволить службе приложений вытаскивать изображение? Разве добавление принципа службы с разрешением на извлечение в ACR позволяет извлекать из него все ресурсы? - person SLN; 15.10.2020
comment
@SLN Вы можете рассматривать принципала службы как учетную запись, используйте учетную запись, у которой есть разрешение, для извлечения изображений из ACR. Это не ограничивается определенными ресурсами. - person Charles Xu; 15.10.2020
comment
@SLN Есть еще обновления по этому вопросу? Решает ли это вашу проблему? - person Charles Xu; 16.10.2020

arrow_upward
1
arrow_downward

Используйте управляемое удостоверение в службе приложений, чтобы подготовить субъект-службу для службы приложений на серверной стороне. Затем вы можете использовать RBAC, чтобы предоставить удостоверению плана обслуживания приложения доступ к ACR.

Здесь показано, как это сделать с помощью ВМ, но это применимо к любой службе Azure, поддерживающей MI

person Josh    schedule 15.10.2020
comment
большое спасибо за помощь. это приятно без использования сервисного принципа. Попробую реализовать с помощью Terraform. - person SLN; 16.10.2020