Вот настройки:
- Реестр контейнеров Azure
- Сервисная ткань
- VMSS с идентификатором SystemAssigned (он же «Управляемый идентификатор службы», он же MSI)
- Удостоверение VMSS с предоставленной ролью «Читатель» доступом к реестру контейнеров Azure
- ApplicationManifest.xml
- ServiceManifest.xml, ссылающийся на контейнер в реестре
Cool.
За исключением того, что сервисная фабрика не может запускать экземпляры приложения, поскольку она не может извлечь контейнер из реестра. Когда я RDP в VM и тянуть, он говорит мне «требуется проверка подлинности»
Я понимаю, что могу добавить в мой ApplicationManifest.xml. С моим паролем На учетную запись администратора контейнера. Что кажется «плохим», даже если зашифровано. Определенно менее удобно, чем работа MSI.
Работая локально, MSI отлично работает после пары небольших az acr команд.
Можно ли все это каким-то образом обернуть в файлы ApplicationManifest / ServiceManifest.xml, чтобы MSI удостоился чести при извлечении из реестра контейнера Azure?