Principy přístupu k připojenému registru

  • Článek

Pro přístup k připojenému registru a jeho správu se v současné době podporuje pouze ověřování založené na tokenech ACR. Jak je znázorněno na následujícím obrázku, každý připojený registr používá dva různé typy tokenů:

  • Klientské tokeny – Jeden nebo více tokenů, které místní klienti používají k ověřování v připojeném registru a odesílání nebo načítání imagí a artefaktů do nebo z něj.
  • Synchronizační token – token, který každý připojený registr používá pro přístup k nadřazené sadě a synchronizaci obsahu.

Verview ověřování připojeného registru

Důležité

Hesla tokenů pro každý připojený registr ukládejte na bezpečném místě. Po jejich vytvoření se hesla tokenů nedají načíst. Hesla tokenů můžete kdykoli znovu vygenerovat.

Klientské tokeny

Pokud chcete spravovat klientský přístup k připojenému registru, vytvoříte tokeny vymezené pro akce v jednom nebo více úložištích. Po vytvoření tokenu nakonfigurujte připojený registr tak, aby token přijímal pomocí příkazu az acr connected-registry update . Klient pak může přihlašovací údaje tokenu použít pro přístup ke koncovému bodu připojeného registru – například k použití příkazů Rozhraní příkazového řádku Dockeru k vyžádání nebo vložení imagí do připojeného registru.

Možnosti konfigurace akcí tokenu klienta závisí na tom, jestli připojený registr umožňuje operace nabízení a vyžádání, nebo funguje jako zrcadlo jen pro vyžádání.

  • Připojený registr ve výchozím režimu ReadWrite umožňuje operace pull i push, takže můžete vytvořit token, který umožňuje akce čtení izápisu obsahu úložiště v tomto registru.
  • V případě připojeného registru v režimu Jen pro čtení můžou klientské tokeny povolit pouze akce pro čtení obsahu úložiště.

Správa klientských tokenů

Aktualizujte klientské tokeny, hesla nebo mapy oborů podle potřeby pomocí příkazů az acr token a az acr scope-map . Aktualizace klientských tokenů se automaticky šíří do připojených registrů, které token přijímají.

Synchronizační token

Každý připojený registr používá k ověření u svého bezprostředně nadřazeného objektu synchronizační token, kterým může být jiný připojený registr nebo cloudový registr. Připojený registr tento token automaticky používá při synchronizaci obsahu s nadřazenou položkou nebo při provádění jiných aktualizací.

  • Token synchronizace a hesla se vygenerují automaticky při vytvoření připojeného prostředku registru. Spuštěním příkazu az acr connected-registry install renew-credentials znovu vygenerujte hesla.
  • Do konfigurace použité k místnímu nasazení připojeného registru zahrňte přihlašovací údaje synchronizačního tokenu.
  • Ve výchozím nastavení má synchronizační token oprávnění k synchronizaci vybraných úložišť s nadřazeným objektem. Při vytváření připojeného prostředku registru musíte zadat existující token synchronizace nebo jedno nebo více úložišť, která se mají synchronizovat.
  • Má také oprávnění ke čtení a zápisu synchronizačních zpráv na bráně, která se používá ke komunikaci s nadřazeným objektem připojeného registru. Tyto zprávy řídí plán synchronizace a spravují další aktualizace mezi připojeným registrem a jeho nadřazeným objektem.

Správa tokenu synchronizace

Podle potřeby aktualizujte synchronizační tokeny, hesla nebo mapy oborů pomocí příkazů az acr token a az acr scope-map . Aktualizace synchronizačního tokenu se automaticky šíří do připojeného registru. Při aktualizaci synchronizačního tokenu dodržujte standardní postupy obměně hesel.

Poznámka

Synchronizační token nelze odstranit, dokud nebude odstraněn připojený registr přidružený k tokenu. Připojený registr můžete zakázat nastavením stavu synchronizačního tokenu na disabled.

Koncové body registru

Přihlašovací údaje tokenů pro připojené registry jsou omezené na přístup ke konkrétním koncovým bodům registru:

  • Token klienta přistupuje ke koncovému bodu připojeného registru. Připojený koncový bod registru je identifikátor URI přihlašovacího serveru, což je obvykle IP adresa serveru nebo zařízení, které ho hostuje.

  • Token synchronizace přistupuje ke koncovému bodu nadřazeného registru, což je jiný připojený koncový bod registru nebo samotný cloudový registr. Pokud je token synchronizace vymezený pro přístup ke cloudovému registru, musí mít přístup ke dvěma koncovým bodům registru:

    • Plně kvalifikovaný název přihlašovacího serveru, contoso.azurecr.ionapříklad . Tento koncový bod se používá k ověřování.
    • Plně kvalifikovaný regionální koncový bod dat pro cloudový registr, contoso.westus2.data.azurecr.ionapříklad . Tento koncový bod se používá k výměně zpráv s připojeným registrem pro účely synchronizace.

Další kroky

Pokračujte k následujícímu článku, ve kterém se dozvíte o konkrétních scénářích, ve kterých je možné využít připojený registr.

Přehled: Připojený registr a IoT Edge