Uzamknutí image kontejneru ve službě Azure Container Registry

  • Článek
  • 3 min ke čtení

Ve službě Azure Container Registry můžete zamknout verzi Image nebo úložiště, aby se nemohlo odstranit ani aktualizovat. Pokud chcete zamknout Image nebo úložiště, aktualizujte jeho atributy pomocí příkazu Azure CLI AZ ACR úložiště Update.

Tento článek vyžaduje, abyste spouštěli Azure CLI v Azure Cloud Shell nebo lokálně (doporučuje se verze 2.0.55 nebo novější). Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.

Důležité

tento článek se nevztahuje na uzamykání celého registru, například pomocí Nastavení > zámků v Azure Portal, nebo az lock v příkazech Azure CLI. Uzamykání prostředku registru nebrání v vytváření, aktualizaci nebo odstraňování dat v úložištích. Uzamknutí registru má vliv jenom na operace správy, jako je přidání nebo odstranění replikace nebo odstranění samotného registru. Další informace o uzamčení prostředků, aby se zabránilo neočekávaným změnám.

Scénáře

Ve výchozím nastavení je označený obrázek v Azure Container Registry proměnlivý, takže s příslušnými oprávněními můžete opakovaně aktualizovat a nasdílet image se stejnou značkou do registru. V případě potřeby můžete také Odstranit image kontejneru. Toto chování je užitečné při vývoji imagí a potřebě udržovat velikost registru.

Pokud však nasadíte image kontejneru do produkčního prostředí, budete možná potřebovat neměnné image kontejneru. Neproměnlivá Image je taková, kterou nemůžete omylem odstranit ani přepsat.

v tématu Recommendations pro označování a image kontejnerů , které umožňují strategie označení a verze imagí v registru, najdete v tématu.

Pomocí příkazu AZ ACR úložiště Update nastavte atributy úložiště, abyste mohli:

  • Uzamčení verze bitové kopie nebo celého úložiště

  • Ochrana verze bitové kopie nebo úložiště před odstraněním, ale povolení aktualizací

  • Zabránit operacím čtení (přijetí) v imagi verze nebo v celém úložišti

Příklady najdete v následujících oddílech.

Uzamknutí obrázku nebo úložiště

Zobrazit aktuální atributy úložiště

Pokud chcete zobrazit aktuální atributy úložiště, spusťte následující příkaz AZ ACR úložiště show :

az acr repository show \
    --name myregistry --repository myrepo \
    --output jsonc

Zobrazit aktuální atributy obrázku

Chcete-li zobrazit aktuální atributy značky, spusťte následující příkaz AZ ACR úložiště show :

az acr repository show \
    --name myregistry --image myimage:tag \
    --output jsonc

Uzamknutí obrázku podle značky

Chcete-li uzamknout obrázek značky MyImage: tag v myregistry, spusťte následující příkaz AZ ACR úložiště Update :

az acr repository update \
    --name myregistry --image myimage:tag \
    --write-enabled false

Uzamknutí obrázku pomocí výtahu manifestu

Chcete-li uzamknout MyImage bitovou kopii identifikovanou algoritmem Digest (SHA-256 hash, reprezentovaná jako sha256:... ), spusťte následující příkaz. (Chcete-li zjistit, který výtah manifestu je přidružen k jedné nebo více značkám obrázku, spusťte příkaz AZ ACR úložištì show-Manifests .)

az acr repository update \
    --name myregistry --image myimage@sha256:123456abcdefg \
    --write-enabled false

Uzamčení úložiště

Chcete-li uzamknout úložiště myrepo a všechny bitové kopie, spusťte následující příkaz:

az acr repository update \
    --name myregistry --repository myrepo \
    --write-enabled false

Ochrana Image nebo úložiště před odstraněním

Ochrana obrázku před odstraněním

Pokud chcete, aby se image MyImage: tag aktualizovala, ale neodstranila, spusťte následující příkaz:

az acr repository update \
    --name myregistry --image myimage:tag \
    --delete-enabled false --write-enabled true

Ochrana úložiště před odstraněním

Následující příkaz nastaví úložiště myrepo tak, aby se nemohlo odstranit. Jednotlivé image se pořád dají aktualizovat nebo odstranit.

az acr repository update \
    --name myregistry --repository myrepo \
    --delete-enabled false --write-enabled true

Zabránit operacím čtení na obrázku nebo v úložišti

Chcete-li zabránit operacím čtení (pull) na obrázku MyImage: tag , spusťte následující příkaz:

az acr repository update \
    --name myregistry --image myimage:tag \
    --read-enabled false

Pokud chcete zabránit operacím čtení na všech obrázcích v úložišti myrepo , spusťte následující příkaz:

az acr repository update \
    --name myregistry --repository myrepo \
    --read-enabled false

Odemčení Image nebo úložiště

Chcete-li obnovit výchozí chování obrázku značky MyImage: tag , aby jej bylo možné odstranit a aktualizovat, spusťte následující příkaz:

az acr repository update \
    --name myregistry --image myimage:tag \
    --delete-enabled true --write-enabled true

Chcete-li obnovit výchozí chování úložiště myrepo a všech imagí, aby bylo možné je odstranit a aktualizovat, spusťte následující příkaz:

az acr repository update \
    --name myregistry --repository myrepo \
    --delete-enabled true --write-enabled true

Další kroky

V tomto článku jste se dozvěděli o použití příkazu AZ ACR úložištì Update , který zabraňuje odstranění nebo aktualizaci verzí imagí v úložišti. Informace o nastavení dalších atributů najdete v referenčních informacích k příkazu AZ ACR úložiště Update .

Pokud chcete zobrazit atributy nastavené pro verzi Image nebo úložiště, použijte příkaz AZ ACR úložištì show .

Podrobnosti o operacích odstranění najdete v tématu Odstranění imagí kontejneru v Azure Container Registry.