privát Csatlakozás azure-beli tárolóregisztrációs adatbázishoz a Azure Private Link használatával

Hasznosnak találja ezt az oldalt?

További visszajelzés?

A visszajelzés a Microsoftnak lesz elküldve: ha az Elküld gombra kattint, visszajelzését felhasználjuk a Microsoft termékekeinek és szolgáltatásainak továbbfejlesztéséhez. Adatvédelmi szabályzat.

A beállításjegyzékhez való hozzáférés korlátozásához rendeljen virtuális hálózati magánhálózati IP-címeket a beállításjegyzék végpontjaihoz, és használja Azure Private Link. A virtuális hálózaton lévő ügyfelek és a beállításjegyzék privát végpontjai közötti hálózati forgalom áthalad a virtuális hálózaton és egy privát kapcsolaton a Microsoft gerinchálózatán, így kiküszöböli a nyilvános internetről való kitettséget. Private Link privát beállításjegyzék-hozzáférést is lehetővé tesz a helyszínről az Azure ExpressRoute privát társviszony-létesítésen vagy VPN-átjárón keresztül.

A beállításjegyzék privát végpontjaihoz konfigurálhatja a DNS-beállításokat , hogy a beállítások a beállításjegyzék lefoglalt magánhálózati IP-címére oldódjanak fel. A DNS-konfigurációval a hálózat ügyfelei és szolgáltatásai továbbra is hozzáférhetnek a beállításjegyzékhez a beállításjegyzék teljes tartománynevén, például myregistry.azurecr.io.

Ez a cikk bemutatja, hogyan konfigurálhat privát végpontot a regisztrációs adatbázishoz az Azure Portal (ajánlott) vagy az Azure CLI használatával. Ez a funkció a Prémium tárolóregisztrációs adatbázis szolgáltatási szintjén érhető el. További információ a beállításjegyzék szolgáltatási szintjeiről és korlátairól: Azure Container Registry szintek.

Fontos

Előfordulhat, hogy egyes funkciók nem érhetők el, vagy több konfigurációra van szükség egy tárolóregisztrációs adatbázisban, amely korlátozza a privát végpontokhoz, a kiválasztott alhálózatokhoz vagy IP-címekhez való hozzáférést.

• Ha egy beállításjegyzékhez való nyilvános hálózati hozzáférés le van tiltva, bizonyos megbízható szolgáltatások, köztük a Azure Security Center számára engedélyezni kell egy hálózati beállítás engedélyezését a hálózati szabályok megkerüléséhez.
• Bizonyos Azure-szolgáltatások, köztük az Azure DevOps Services példányai jelenleg nem tudnak hozzáférni a tárolóregisztrációs adatbázishoz.
• Ha a beállításjegyzék jóváhagyott privát végponttal rendelkezik, és a nyilvános hálózati hozzáférés le van tiltva, az adattárak és címkék nem listázottak a virtuális hálózaton kívül az Azure Portal, az Azure CLI vagy más eszközök használatával.

Megjegyzés

2021 októberétől az új tárolóregisztrációs adatbázisok legfeljebb 200 privát végpontot engedélyeznek. A korábban létrehozott beállításjegyzékek legfeljebb 10 privát végpontot engedélyeznek. A beállításjegyzék korlátjának megtekintéséhez használja az az acr show-usage parancsot.

Előfeltételek

• Egy virtuális hálózat és alhálózat, amelyben be kell állítani a privát végpontot. Szükség esetén hozzon létre egy új virtuális hálózatot és alhálózatot.
• Teszteléshez ajánlott virtuális gépet beállítani a virtuális hálózaton. A regisztrációs adatbázis eléréséhez használt teszt virtuális gép létrehozásának lépéseiért lásd: Docker-kompatibilis virtuális gép létrehozása.
• A cikkben szereplő Azure CLI-lépések használatához az Azure CLI 2.6.0-s vagy újabb verziója ajánlott. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése. Vagy futtassa az Azure Cloud Shell.
• Ha még nem rendelkezik tárolóregisztrációs adatbázissal, hozzon létre egyet (Prémium szint szükséges), és importáljon egy nyilvános mintalemezképet, például mcr.microsoft.com/hello-world Microsoft Container Registry. Például a Azure Portal vagy az Azure CLI használatával hozzon létre egy regisztrációs adatbázist.

Tárolóregisztrációs adatbázis erőforrás-szolgáltató regisztrálása

Ha privát kapcsolaton keresztül szeretné konfigurálni a beállításjegyzékhez való hozzáférést egy másik Azure-előfizetésben vagy -bérlőben, regisztrálnia kell az erőforrás-szolgáltatót a Azure Container Registry az előfizetésben. Használja a Azure Portal, az Azure CLI vagy más eszközöket.

Példa:

az account set --subscription <Name or ID of subscription of private link>

az provider register --namespace Microsoft.ContainerRegistry

Privát végpont beállítása – portál (ajánlott)

Privát végpont beállítása beállításjegyzék létrehozásakor, vagy privát végpont hozzáadása egy meglévő beállításjegyzékhez.

Privát végpont létrehozása – új beállításjegyzék

1. Amikor létrehoz egy beállításjegyzéket a portálon, az Alapvető beállítások lap termékváltozatábanválassza Prémium.

2. Válassza a Hálózatkezelés lapot.

3. A Hálózati kapcsolat területen válassza a Privát végpont>+ Hozzáadás lehetőséget.

4. Adja meg vagy válassza ki a következő adatokat:

   Beállítás	Érték
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Adja meg egy meglévő csoport nevét, vagy hozzon létre egy újat.
   Name	Adjon meg egy egyedi nevet.
   Beállításjegyzék-alforrás	Beállításjegyzék kiválasztása
   Hálózat
   Virtuális hálózat	Válassza ki a privát végpont virtuális hálózatát. Példa: myDockerVMVNET.
   Alhálózat	Válassza ki a privát végpont alhálózatát. Példa: myDockerVMSubnet.
   saját DNS integráció
   Integrálás saját DNS-zónával	Válassza az Igen lehetőséget.
   Privát DNS-zóna	Válassza az (Új) privatelink.azurecr.io

5. Konfigurálja a fennmaradó beállításjegyzék-beállításokat, majd válassza az Áttekintés + létrehozás lehetőséget.

A privát kapcsolat most már konfigurálva van, és használatra kész.

Privát végpont létrehozása – meglévő beállításjegyzék

1. A portálon lépjen a tárolóregisztrációs adatbázishoz.

2. A Gépház területen válassza a Hálózatkezelés lehetőséget.

3. A Privát végpontok lapon válassza a + Privát végpont lehetőséget.

4. Az Alapok lapon adja meg vagy válassza ki a következő információkat:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Adja meg egy meglévő csoport nevét, vagy hozzon létre egy újat.
   Példány adatai
   Name	Adjon meg egy nevet.
   Region	Válasszon régiót.

5. Válassza a Tovább: Erőforrás lehetőséget.

6. Adja meg vagy válassza ki a következő adatokat:

   Beállítás	Érték
   Kapcsolati módszer	Ebben a példában válassza Csatlakozás egy Azure-erőforráshoz a címtáramban.
   Előfizetés	Válassza ki előfizetését.
   Erőforrás típusa	Válassza a Microsoft.ContainerRegistry/beállításjegyzékek lehetőséget.
   Erőforrás	Válassza ki a beállításjegyzék nevét
   Cél-alforrás	Beállításjegyzék kiválasztása

7. Válassza a Tovább: Konfigurálás lehetőséget.

8. Adja meg vagy válassza ki az adatokat:

   Beállítás	Érték
   Hálózat
   Virtuális hálózat	Válassza ki a privát végpont virtuális hálózatát
   Alhálózat	Válassza ki a privát végpont alhálózatát
   saját DNS-integráció
   Integrálás saját DNS-zónával	Válassza az Igen lehetőséget.
   Privát DNS-zóna	Válassza az (Új) privatelink.azurecr.io

9. Válassza az Áttekintés + létrehozás lehetőséget. Az Áttekintés és létrehozása lapra kerül, ahol az Azure érvényesíti az Ön konfigurációját.

10. Amikor megjelenik a Megfelelt az ellenőrzésen üzenet, válassza a Létrehozás lehetőséget.

Végpontkonfiguráció megerősítése

A privát végpont létrehozása után a privát zónában lévő DNS-beállítások megjelennek a privát végpontok beállításaival együtt a portálon:

1. A portálon lépjen a tárolóregisztrációs adatbázishoz, és válassza a Gépház > Hálózatkezelés lehetőséget.
2. A Privát végpontok lapon válassza ki a létrehozott privát végpontot.
3. Válassza ki a DNS-konfigurációt.
4. Tekintse át a hivatkozásbeállításokat és az egyéni DNS-beállításokat.

Privát végpont beállítása – parancssori felület

A cikkben szereplő Azure CLI-példák az alábbi környezeti változókat használják. A privát végpont beállításához szüksége lesz egy meglévő tárolóregisztrációs adatbázis, virtuális hálózat és alhálózat nevére. Helyettesítse be a környezetének megfelelő értékeket. Minden példa a Bash-felülethez van formázva:

REGISTRY_NAME=<container-registry-name>
REGISTRY_LOCATION=<container-registry-location> # Azure region such as westeurope where registry created
RESOURCE_GROUP=<resource-group-name> # Resource group for your existing virtual network and subnet
NETWORK_NAME=<virtual-network-name>
SUBNET_NAME=<subnet-name>

Hálózati szabályzatok letiltása az alhálózatban

Tiltsa le a hálózati házirendeket , például a privát végpont alhálózatában található hálózati biztonsági csoportokat. Frissítse az alhálózat konfigurációját az az network vnet subnet update használatával:

az network vnet subnet update \
 --name $SUBNET_NAME \
 --vnet-name $NETWORK_NAME \
 --resource-group $RESOURCE_GROUP \
 --disable-private-endpoint-network-policies

A privát DNS-zóna konfigurálása

Hozzon létre egy privát Azure DNS-zónát a privát Azure tárolóregisztrációs adatbázis tartományához. A későbbi lépésekben ebben a DNS-zónában hozza létre a regisztrációs adatbázis tartományához tartozó DNS-rekordokat. További információt a dns-konfigurációs lehetőségekről a cikk későbbi részében talál.

Ha privát zónát szeretne használni az Azure Container Registry alapértelmezett DNS-feloldásának felülbírálásához, a zónának privatelink.azurecr.io kell lennie. Futtassa az alábbi az network private-dns zone create parancsot a privát zóna létrehozásához:

az network private-dns zone create \
  --resource-group $RESOURCE_GROUP \
  --name "privatelink.azurecr.io"

Társítás létrehozása hivatkozás

Futtassa az az network private-dns link vnet create parancsot a privát zóna és a virtuális hálózat társításához. Ez a példa létrehoz egy myDNSLink nevű hivatkozást.

az network private-dns link vnet create \
  --resource-group $RESOURCE_GROUP \
  --zone-name "privatelink.azurecr.io" \
  --name MyDNSLink \
  --virtual-network $NETWORK_NAME \
  --registration-enabled false

Privát beállításazonosító-végpont létrehozása

Ebben a szakaszban hozza létre a regisztrációs adatbázis privát végpontját a virtuális hálózaton. Először kérje le a beállításjegyzék erőforrás-azonosítóját:

REGISTRY_ID=$(az acr show --name $REGISTRY_NAME \
  --query 'id' --output tsv)

Futtassa az az network private-endpoint create parancsot a beállításjegyzék privát végpontjának létrehozásához.

Az alábbi példa létrehozza a myPrivateEndpoint végpontot és a myConnection szolgáltatáskapcsolatot. A végpont tárolóregisztrációs adatbázis-erőforrásának megadásához adja meg a következőt --group-ids registry:

az network private-endpoint create \
    --name myPrivateEndpoint \
    --resource-group $RESOURCE_GROUP \
    --vnet-name $NETWORK_NAME \
    --subnet $SUBNET_NAME \
    --private-connection-resource-id $REGISTRY_ID \
    --group-ids registry \
    --connection-name myConnection

Végpont IP-konfigurációjának lekérése

A DNS-rekordok konfigurálásához kérje le a privát végpont IP-konfigurációját. Ebben a példában a privát végpont hálózati adapteréhez két privát IP-cím tartozik a tárolóregisztrációs adatbázishoz: az egyik a regisztrációs adatbázishoz, a másik pedig a regisztrációs adatbázis adatvégpontja. Ha a beállításjegyzék georeplikált, minden replikához egy további IP-cím lesz társítva.

Először futtassa az az network private-endpoint show parancsot a hálózati adapter azonosítójának privát végpontjának lekérdezéséhez:

NETWORK_INTERFACE_ID=$(az network private-endpoint show \
  --name myPrivateEndpoint \
  --resource-group $RESOURCE_GROUP \
  --query 'networkInterfaces[0].id' \
  --output tsv)

Az alábbi az network nic show parancsok lekérik a tárolóregisztrációs adatbázis és a beállításjegyzék adatvégpontja magánhálózati IP-címeit és teljes tartományneveit:

REGISTRY_PRIVATE_IP=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry'].privateIpAddress" \
  --output tsv)

DATA_ENDPOINT_PRIVATE_IP=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REGISTRY_LOCATION'].privateIpAddress" \
  --output tsv)

# An FQDN is associated with each IP address in the IP configurations

REGISTRY_FQDN=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry'].privateLinkConnectionProperties.fqdns" \
  --output tsv)

DATA_ENDPOINT_FQDN=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REGISTRY_LOCATION'].privateLinkConnectionProperties.fqdns" \
  --output tsv)

További végpontok georeplikákhoz

Ha a beállításjegyzék georeplikált, kérdezze le a további adatvégpontot az egyes beállításjegyzék-replikákhoz. Például az eastus régióban:

REPLICA_LOCATION=eastus
GEO_REPLICA_DATA_ENDPOINT_PRIVATE_IP=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REPLICA_LOCATION'].privateIpAddress" \
  --output tsv) 

GEO_REPLICA_DATA_ENDPOINT_FQDN=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REPLICA_LOCATION'].privateLinkConnectionProperties.fqdns" \
  --output tsv)

DNS-rekordok létrehozása a privát zónában

Az alábbi parancsok DNS-rekordokat hoznak létre a privát zónában a beállításazonosító végpontja és adatvégpontja számára. Ha például van egy myregistry nevű regisztrációs adatbázisa a westeurope régióban, a végpontok neve myregistry.azurecr.io és myregistry.westeurope.data.azurecr.ioa .

Először futtassa az az network private-dns record-set a create parancsot üres A-rekordhalmazok létrehozásához a beállításazonosító végpontjához és az adatvégponthoz:

az network private-dns record-set a create \
  --name $REGISTRY_NAME \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP

# Specify registry region in data endpoint name
az network private-dns record-set a create \
  --name ${REGISTRY_NAME}.${REGISTRY_LOCATION}.data \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP

Futtassa az az network private-dns record-set a add-record parancsot a beállításazonosító végpont és az adatvégpont A-rekordjainak létrehozásához:

az network private-dns record-set a add-record \
  --record-set-name $REGISTRY_NAME \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP \
  --ipv4-address $REGISTRY_PRIVATE_IP

# Specify registry region in data endpoint name
az network private-dns record-set a add-record \
  --record-set-name ${REGISTRY_NAME}.${REGISTRY_LOCATION}.data \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP \
  --ipv4-address $DATA_ENDPOINT_PRIVATE_IP

További rekordok a georeplikákhoz

Ha a beállításjegyzék georeplikált, hozzon létre további DNS-beállításokat az egyes replikákhoz. A példa folytatása az eastus régióban:

az network private-dns record-set a create \
  --name ${REGISTRY_NAME}.${REPLICA_LOCATION}.data \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP

az network private-dns record-set a add-record \
  --record-set-name ${REGISTRY_NAME}.${REPLICA_LOCATION}.data \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP \
  --ipv4-address $GEO_REPLICA_DATA_ENDPOINT_PRIVATE_IP

A privát kapcsolat most már konfigurálva van, és használatra kész.

Nyilvános hozzáférés letiltása

Számos esetben tiltsa le a beállításjegyzék nyilvános hálózatokról való elérését. Ez a konfiguráció megakadályozza, hogy a virtuális hálózaton kívüli ügyfelek elérjék a beállításjegyzék végpontjait.

Nyilvános hozzáférés letiltása – portál

1. A portálon lépjen a tárolóregisztrációs adatbázishoz, és válassza a Gépház > Hálózatkezelés lehetőséget.
2. A Nyilvános hozzáférés lap Nyilvános hálózati hozzáférés engedélyezése területén válassza a Letiltva lehetőséget. Kattintson a Mentés gombra.

Nyilvános hozzáférés letiltása – parancssori felület

Megjegyzés

Ha a nyilvános hozzáférés le van tiltva, a az acr build parancsok nem fognak működni.

Ha le szeretné tiltani a nyilvános hozzáférést az Azure CLI-vel, futtassa az az acr update parancsot , és állítsa a következőre --public-network-enabledfalse: .

az acr update --name $REGISTRY_NAME --public-network-enabled false

Hajtsa végre a az acr build privát végponttal és a privát beállításjegyzékkel

A sikeres végrehajtáshoz vegye figyelembe az az acr build alábbi lehetőségeket.

Megjegyzés

Ha itt letiltja a nyilvános hálózati hozzáférést, a az acr build parancsok nem fognak működni.

1. Rendeljen hozzá egy dedikált ügynökkészletet.
2. Ha az ügynökkészlet nem érhető el a régióban, adja hozzá a regionális Azure Container Registry szolgáltatáscímke IPv4-jét a tűzfal hozzáférési szabályaihoz.
3. Hozzon létre egy felügyelt identitással rendelkező ACR-feladatot, és engedélyezze, hogy a megbízható szolgáltatások hozzáférjenek a korlátozott hálózati ACR-hez.

Privát kapcsolat kapcsolatának ellenőrzése

Győződjön meg arról, hogy a privát végpont alhálózatán belüli erőforrások privát IP-címen keresztül csatlakoznak a regisztrációs adatbázishoz, és a megfelelő privát DNS-zónaintegrációval rendelkeznek.

A privát kapcsolat ellenőrzéséhez csatlakozzon a virtuális hálózaton beállított virtuális géphez.

Futtasson egy segédprogramot, például nslookupdig keresse meg a beállításjegyzék IP-címét a privát kapcsolaton keresztül. Például:

dig $REGISTRY_NAME.azurecr.io

A példakimenetben a beállításjegyzék IP-címe látható az alhálózat címterében:

[...]
; <<>> DiG 9.11.3-1ubuntu1.13-Ubuntu <<>> myregistry.azurecr.io
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52155
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;myregistry.azurecr.io.         IN      A

;; ANSWER SECTION:
myregistry.azurecr.io.  1783    IN      CNAME   myregistry.privatelink.azurecr.io.
myregistry.privatelink.azurecr.io. 10 IN A      10.0.0.7

[...]

Hasonlítsa össze ezt az eredményt az ugyanazon beállításjegyzék kimenetében lévő dig nyilvános IP-címmel egy nyilvános végponton:

[...]
;; ANSWER SECTION:
myregistry.azurecr.io.	2881	IN	CNAME	myregistry.privatelink.azurecr.io.
myregistry.privatelink.azurecr.io. 2881	IN CNAME xxxx.xx.azcr.io.
xxxx.xx.azcr.io.	300	IN	CNAME	xxxx-xxx-reg.trafficmanager.net.
xxxx-xxx-reg.trafficmanager.net. 300 IN	CNAME	xxxx.westeurope.cloudapp.azure.com.
xxxx.westeurope.cloudapp.azure.com. 10	IN A 20.45.122.144

[...]

Beállításjegyzék-műveletek privát kapcsolaton keresztül

Azt is ellenőrizze, hogy végrehajthat-e beállításjegyzék-műveleteket a hálózat virtuális gépéről. Hozzon létre egy SSH-kapcsolatot a virtuális géppel, és futtassa az az acr login parancsot a regisztrációs adatbázisba való bejelentkezéshez. A virtuális gép konfigurációjától függően előfordulhat, hogy a következő parancsokat kell előtaggal elneveznie sudo.

az acr login --name $REGISTRY_NAME

Olyan beállításjegyzék-műveleteket hajthat végre, mint docker pull egy mintarendszerkép lekérése a beállításjegyzékből. Cserélje le hello-world:v1 a beállításjegyzéknek megfelelő rendszerképre és címkére, amely a regisztrációs adatbázis bejelentkezési kiszolgálójának nevével (csupa kisbetűs):

docker pull myregistry.azurecr.io/hello-world:v1

A Docker sikeresen lekéri a rendszerképet a virtuális gépre.

Privátvégpont-kapcsolatok kezelése

A beállításjegyzék privát végpontkapcsolatainak kezelése a Azure Portal vagy az az acr private-endpoint-connection parancscsoport parancsaival. A műveletek közé tartozik a beállításjegyzék privát végpontkapcsolatainak jóváhagyása, törlése, listázása, elutasítása vagy részleteinek megjelenítése.

Egy beállításjegyzék privát végpontkapcsolatainak listázásához például futtassa az az acr private-endpoint-connection list parancsot. Például:

az acr private-endpoint-connection list \
  --registry-name $REGISTRY_NAME 

Amikor a jelen cikkben ismertetett lépésekkel állít be privát végpontkapcsolatot, a beállításjegyzék automatikusan elfogadja az azure RBAC-engedélyekkel rendelkező ügyfelek és szolgáltatások kapcsolatait a beállításjegyzékben. Beállíthatja a végpontot úgy, hogy manuális jóváhagyást igényeljen a kapcsolatokhoz. A privát végpontkapcsolatok jóváhagyásáról és elutasításáról további információt a Privátvégpont-kapcsolat kezelése című témakörben talál.

Fontos

Jelenleg, ha töröl egy privát végpontot egy beállításjegyzékből, előfordulhat, hogy a virtuális hálózat privát zónára mutató hivatkozását is törölnie kell. Ha a hivatkozás nem törlődik, a következőhöz hasonló hibaüzenet jelenhet meg unresolvable host.

DNS-konfigurációs beállítások

A példában szereplő privát végpont egy alapszintű virtuális hálózathoz társított privát DNS-zónával integrálható. Ez a beállítás az Azure által biztosított DNS-szolgáltatással oldja fel a regisztrációs adatbázis nyilvános teljes tartománynevét a virtuális hálózatban lévő magánhálózati IP-címekre.

A privát kapcsolat támogatja a privát zónát használó további DNS-konfigurációs forgatókönyveket, beleértve az egyéni DNS-megoldásokat is. Előfordulhat például, hogy egyéni DNS-megoldás van üzembe helyezve a virtuális hálózaton, vagy egy olyan hálózaton, amelyhez VPN-átjáró vagy Azure ExpressRoute használatával csatlakozik a virtuális hálózathoz.

Ha ezekben a forgatókönyvekben fel szeretné oldani a beállításjegyzék nyilvános teljes tartománynevét a magánhálózati IP-címre, konfigurálnia kell egy kiszolgálószintű továbbítót az Azure DNS szolgáltatáshoz (168.63.129.16). A pontos konfigurációs lehetőségek és lépések a meglévő hálózatoktól és a DNS-től függnek. Példákért lásd az Azure privát végpont DNS-konfigurációját.

Fontos

Ha a magas rendelkezésre állás érdekében több régióban hozott létre privát végpontokat, javasoljuk, hogy minden régióban külön erőforráscsoportot használjon, és helyezze bele a virtuális hálózatot és a hozzá tartozó privát DNS-zónát. Ez a konfiguráció megakadályozza az ugyanazon privát DNS-zóna megosztása által okozott kiszámíthatatlan DNS-feloldást is.

DNS-rekordok manuális konfigurálása

Bizonyos esetekben előfordulhat, hogy manuálisan kell konfigurálnia a DNS-rekordokat egy privát zónában az Azure által biztosított privát zóna használata helyett. Mindenképpen hozzon létre rekordokat a következő végpontokhoz: a beállításazonosító végponthoz, a beállításjegyzék adatvégpontjaihoz és a további regionális replikák adatvégpontjaihoz. Ha nincs konfigurálva minden rekord, előfordulhat, hogy a beállításjegyzék nem érhető el.

Fontos

Ha később új replikát ad hozzá, manuálisan kell hozzáadnia egy új DNS-rekordot az adott régióban lévő adatvégponthoz. Ha például létrehoz egy replikát a myregistryből a northeurope helyen, adjon hozzá egy rekordot a következőhöz myregistry.northeurope.data.azurecr.io: .

A DNS-rekordok létrehozásához szükséges teljes tartománynevek és magánhálózati IP-címek a privát végpont hálózati adapteréhez vannak társítva. Ezeket az információkat az Azure Portal vagy az Azure CLI használatával szerezheti be.

• A portálon lépjen a privát végpontra, és válassza ki a DNS-konfigurációt.
• Az Azure CLI használatával futtassa az az network nic show parancsot. A parancsok például a jelen cikk korábbi, Végpont IP-konfigurációjának lekérése című szakaszában olvashatók.

A DNS-rekordok létrehozása után győződjön meg arról, hogy a beállításjegyzék teljes tartománynevei megfelelően feloldódnak a megfelelő magánhálózati IP-címekre.

Az erőforrások eltávolítása

Ha törölni szeretné az erőforrásokat a portálon, lépjen az erőforráscsoporthoz. Az erőforráscsoport betöltése után kattintson az Erőforráscsoport törlése elemre az erőforráscsoport és az ott tárolt erőforrások eltávolításához.

Ha az összes Azure-erőforrást ugyanabban az erőforráscsoportban hozta létre, és már nincs rájuk szüksége, törölheti az erőforrásokat egyetlen az group delete paranccsal:

az group delete --name $RESOURCE_GROUP

Következő lépések

• A Private Link kapcsolatos további információkért tekintse meg a Azure Private Link dokumentációját.

• A privát végponthoz vezető virtuális hálózat DNS-beállításainak ellenőrzéséhez futtassa az az acr check-health parancsot a --vnet paraméterrel. További információ: Azure Container Registry állapotának ellenőrzése

• Ha beállításjegyzék-hozzáférési szabályokat kell beállítania egy ügyfél tűzfala mögött, tekintse meg az Azure container registry tűzfal mögötti elérésére vonatkozó szabályok konfigurálását bemutató témakört.

• Az Azure privát végpont kapcsolati problémáinak hibaelhárítása