如何从Azure中的不同订阅和租户ID中提取ACR中可用的Docker映像

时间:2019-03-24 21:15:03

标签: azure docker azure-container-registry

我们有两个不同的Azure订阅和租户ID。一个用于开发环境,另一个用于生产环境。作为CI-CD管道,我们正在构建docker映像,并将这些映像推送到dev subscription中的ACR。 我们要在产品环境中运行k8s集群时重用dev订阅ACR中可用的docker映像。

据我了解,我们无法重用来自不同订阅和租户ID的ACR。唯一可行的解​​决方案是让租户ID至少相同。

我们有什么方法可以重用这些docker镜像。

2 个答案:

答案 0 :(得分:0)

为什么不这样做,您只需要认证acr,然后就可以从该ACR中提取图像。您将无法为此使用Azure连接,但可以为此使用docker连接(在kubernetes和azure devops中)。

答案 1 :(得分:0)

从ACR pov开始,它受支持。假设您在tenant1 / sub1中创建了一个服务主体SP1,并为tenant1 / sub1中的Registry1分配了AcrPull角色。 SP1现在可以访问Registry1。然后,您可以在另一个租户tenant2 / sub2中为注册表2的AcrPull角色分配相同的SP1(这实际上使SP1成为tenant2中的来宾服务主体)。现在,SP1也可以从Registry2中提取。 只要授予SP从注册表中提取权限的权限,您就可以使用SP作为用户/密码来从任何地方访问注册表。您能详细说明什么不起作用吗?