Uzamčení image kontejneru v registru kontejneru Azure

V registru kontejneru Azure můžete uzamknout verzi image nebo úložiště, aby ho nebylo možné odstranit nebo aktualizovat. Pokud chcete uzamknout image nebo úložiště, aktualizujte jeho atributy pomocí příkazu Azure CLI az acr repository update.

Tento článek vyžaduje spuštění Azure CLI v Azure Cloud Shell nebo místně (doporučuje se verze 2.0.55 nebo novější). Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.

Důležité

Tento článek se nevztahuje na uzamčení celého registru, například použití zámků nastavení > v Azure Portal nebo az lock příkazů v Azure CLI. Uzamčení prostředku registru vám nebrání v vytváření, aktualizaci nebo odstraňování dat v úložištích. Uzamčení registru má vliv jenom na operace správy, jako je přidání nebo odstranění replikací nebo odstranění samotného registru. Další informace o uzamčení prostředků, které brání neočekávaným změnám.

Scénáře

Ve výchozím nastavení je označený obrázek v Azure Container Registry proměnlivý, takže s odpovídajícími oprávněními můžete opakovaně aktualizovat a odeslat image se stejnou značkou do registru. Image kontejnerů je také možné podle potřeby odstranit . Toto chování je užitečné při vývoji imagí a potřebujete zachovat velikost registru.

Když ale nasadíte image kontejneru do produkčního prostředí, budete možná potřebovat neměnnou image kontejneru. Neměnný obrázek je takový, který nemůžete omylem odstranit nebo přepsat.

Viz Doporučení pro označování a správu verzí imagí kontejnerů pro strategie označování a verzí imagí ve vašem registru.

Pomocí příkazu az acr repository update nastavte atributy úložiště, abyste mohli:

  • Uzamknutí verze image nebo celého úložiště

  • Ochrana verze image nebo úložiště před odstraněním, ale povolte aktualizace.

  • Zabránění operacím čtení (vyžádání) ve verzi image nebo celém úložišti

Příklady najdete v následujících částech.

Uzamčení image nebo úložiště

Zobrazení atributů aktuálního úložiště

Pokud chcete zobrazit aktuální atributy úložiště, spusťte následující příkaz az acr repository show :

az acr repository show \
    --name myregistry --repository myrepo \
    --output jsonc

Zobrazení atributů aktuálního obrázku

Pokud chcete zobrazit aktuální atributy značky, spusťte následující příkaz az acr repository show :

az acr repository show \
    --name myregistry --image myimage:tag \
    --output jsonc

Uzamknutí obrázku podle značky

Pokud chcete uzamknout image myimage:tag v myregistry, spusťte následující příkaz az acr repository update :

az acr repository update \
    --name myregistry --image myimage:tag \
    --write-enabled false

Uzamčení obrázku hodnotou hash manifestu

Pokud chcete uzamknout image myimage identifikovanou hodnotou hash manifestu (sha-256 hash, reprezentovanou jako sha256:...), spusťte následující příkaz. (Pokud chcete najít hodnotou hash manifestu přidruženou k jedné nebo více značek obrázků, spusťte příkaz az acr manifest list-metadata .)

az acr repository update \
    --name myregistry --image myimage@sha256:123456abcdefg \
    --write-enabled false

Uzamčení úložiště

Pokud chcete uzamknout úložiště myrepo a všechny image v něm, spusťte následující příkaz:

az acr repository update \
    --name myregistry --repository myrepo \
    --write-enabled false

Ochrana image nebo úložiště před odstraněním

Ochrana obrázku před odstraněním

Pokud chcete, aby se image myimage:tag aktualizovala, ale neodstranila, spusťte následující příkaz:

az acr repository update \
    --name myregistry --image myimage:tag \
    --delete-enabled false --write-enabled true

Ochrana úložiště před odstraněním

Následující příkaz nastaví úložiště myrepo , aby ho nebylo možné odstranit. Jednotlivé obrázky je možné aktualizovat nebo odstranit.

az acr repository update \
    --name myregistry --repository myrepo \
    --delete-enabled false --write-enabled true

Zabránění operacím čtení v imagi nebo úložišti

Pokud chcete zabránit operacím čtení (vyžádání) na imagi myimage:tag , spusťte následující příkaz:

az acr repository update \
    --name myregistry --image myimage:tag \
    --read-enabled false

Pokud chcete zabránit operacím čtení u všech imagí v úložišti myrepo , spusťte následující příkaz:

az acr repository update \
    --name myregistry --repository myrepo \
    --read-enabled false

Odemknutí image nebo úložiště

Pokud chcete obnovit výchozí chování image myimage:tag , aby bylo možné ji odstranit a aktualizovat, spusťte následující příkaz:

az acr repository update \
    --name myregistry --image myimage:tag \
    --delete-enabled true --write-enabled true

Pokud chcete obnovit výchozí chování úložiště myrepo a všech imagí, aby bylo možné je odstranit a aktualizovat, spusťte následující příkaz:

az acr repository update \
    --name myregistry --repository myrepo \
    --delete-enabled true --write-enabled true

Další kroky

V tomto článku jste se dozvěděli, jak pomocí příkazu az acr repository update zabránit odstranění nebo aktualizaci verzí imagí v úložišti. Pokud chcete nastavit další atributy, přečtěte si referenční informace o příkazu az acr repository update .

Pokud chcete zobrazit atributy nastavené pro verzi image nebo úložiště, použijte příkaz az acr repository show .

Podrobnosti o operacích odstranění najdete v tématu Odstranění imagí kontejneru v Azure Container Registry.