как получить изображение докера, доступное в ACR, из другой подписки и идентификатора клиента в Azure

Question

у нас есть две разные подписки Azure и идентификаторы клиентов. один для разработки env и другой для производственной среды. как конвейер CI-CD, мы создаем образы докеров и помещаем эти образы в ACR в подписке dev. мы хотим повторно использовать образы докеров, доступные в ACR подписки dev, при запуске кластера k8s в среде prod.

Насколько я понимаю, мы не можем повторно использовать ACR из другой подписки и идентификатора клиента. единственно возможное решение - иметь хотя бы один и тот же идентификатор арендатора.

есть ли у нас какой-либо способ, которым мы можем использовать эти образы докера.

Answer 1

От ACR pov, это поддерживается.Скажем, вы создаете компонент Service SP1 в tenant1 / sub1 и назначаете ему роль AcrPull для registry1 в tenant1 / sub1.SP1 теперь может получить доступ к Registry1.Затем вы можете назначить тому же SP1 роль AcrPull для registry2 в другом tenant tenant2 / sub2 (это, по сути, делает SP1 основным гостевым сервисом в tenant2);теперь SP1 также можно вытащить из реестра2.Пока SP получает разрешение на извлечение из реестра, вы можете использовать SP как user / pwd для доступа к реестру из любого места.Можете ли вы объяснить, что не работает?

Answer 2

почему бы и нет, вам просто нужно авторизоваться в acr, а затем вы можете извлечь изображения из этого ACR. вы не сможете использовать для этого соединение Azure, но вы можете использовать для этого соединение с докером (как в kubernetes, так и в devure dev).