Configurare le regole per accedere a un registro contenitori di Azure dietro un firewallConfigure rules to access an Azure container registry behind a firewall

Questo articolo illustra come configurare le regole nel firewall per consentire l'accesso a un registro contenitori di Azure.This article explains how to configure rules on your firewall to allow access to an Azure container registry. Ad esempio, un dispositivo Azure IoT Edge dietro un firewall o un server proxy potrebbe dover accedere a un registro contenitori per eseguire il pull di un'immagine del contenitore.For example, an Azure IoT Edge device behind a firewall or proxy server might need to access a container registry to pull a container image. In alternativa, un server bloccato in una rete locale potrebbe avere l'esigenza di accedere per eseguire il push di un'immagine.Or, a locked-down server in an on-premises network might need access to push an image.

Se invece si vogliono configurare le regole di accesso alla rete in ingresso in un registro contenitori solo in una rete virtuale di Azure o da un intervallo di indirizzi IP pubblici, vedere limitare l'accesso a un registro contenitori di Azure da una rete virtuale.If instead you want to configure inbound network access rules on a container registry only within an Azure virtual network or from a public IP address range, see Restrict access to an Azure container registry from a virtual network.

Informazioni sugli endpoint del registro di sistemaAbout registry endpoints

Per eseguire il pull o il push di immagini o altri artefatti in un registro contenitori di Azure, un client come un daemon Docker deve interagire con HTTPS con due endpoint distinti.To pull or push images or other artifacts to an Azure container registry, a client such as a Docker daemon needs to interact over HTTPS with two distinct endpoints.

  • Endpoint API REST del registro di sistema: le operazioni di autenticazione e gestione del registro di sistema vengono gestite tramite l'endpoint API REST pubblico del registro di sistema.Registry REST API endpoint - Authentication and registry management operations are handled through the registry's public REST API endpoint. Questo endpoint è il nome del server di accesso del registro di sistema o un intervallo di indirizzi IP associato.This endpoint is the login server name of the registry, or an associated IP address range.

  • Endpoint di archiviazione : Azure alloca l'archiviazione BLOB negli account di archiviazione di Azure per conto di ogni registro per gestire i dati per le immagini del contenitore e altri artefatti.Storage endpoint - Azure allocates blob storage in Azure Storage accounts on behalf of each registry to manage the data for container images and other artifacts. Quando un client accede a livelli immagine in un registro contenitori di Azure, effettua richieste usando un endpoint dell'account di archiviazione fornito dal registro di sistema.When a client accesses image layers in an Azure container registry, it makes requests using a storage account endpoint provided by the registry.

Se il registro di sistema è con replica geografica, un client potrebbe dover interagire con gli endpoint REST e di archiviazione in un'area specifica o in più aree replicate.If your registry is geo-replicated, a client might need to interact with REST and storage endpoints in a specific region or in multiple replicated regions.

Consentire l'accesso ai nomi di dominio REST e di archiviazioneAllow access to REST and storage domain names

  • Endpoint REST : consente di accedere al nome completo del server di accesso al registro di sistema, ad esempio myregistry.azurecr.ioREST endpoint - Allow access to the fully qualified registry login server name, such as myregistry.azurecr.io
  • Endpoint di archiviazione (dati) : consentire l'accesso a tutti gli account di archiviazione BLOB di Azure usando il carattere jolly *.blob.core.windows.netStorage (data) endpoint - Allow access to all Azure blob storage accounts using the wildcard *.blob.core.windows.net

Consenti l'accesso in base all'intervallo di indirizzi IPAllow access by IP address range

Se l'organizzazione dispone di criteri per consentire l'accesso solo a indirizzi IP o intervalli di indirizzi specifici, scaricare gli intervalli IP di Azure e i tag di servizio-cloud pubblico.If your organization has policies to allow access only to specific IP addresses or address ranges, download Azure IP Ranges and Service Tags – Public Cloud.

Per trovare gli intervalli IP dell'endpoint REST di ACR per i quali è necessario consentire l'accesso, cercare AzureContainerRegistry nel file JSON.To find the ACR REST endpoint IP ranges for which you need to allow access, search for AzureContainerRegistry in the JSON file.

Importante

Gli intervalli di indirizzi IP per i servizi di Azure possono cambiare e gli aggiornamenti vengono pubblicati settimanalmente.IP address ranges for Azure services can change, and updates are published weekly. Scaricare regolarmente il file JSON e apportare gli aggiornamenti necessari nelle regole di accesso.Download the JSON file regularly, and make necessary updates in your access rules. Se lo scenario prevede la configurazione delle regole del gruppo di sicurezza di rete in una rete virtuale di Azure per accedere ad Azure Container Registry, usare invece il tag del servizio AzureContainerRegistry .If your scenario involves configuring network security group rules in an Azure virtual network to access Azure Container Registry, use the AzureContainerRegistry service tag instead.

Indirizzi IP REST per tutte le areeREST IP addresses for all regions

{
  "name": "AzureContainerRegistry",
  "id": "AzureContainerRegistry",
  "properties": {
    "changeNumber": 10,
    "region": "",
    "platform": "Azure",
    "systemService": "AzureContainerRegistry",
    "addressPrefixes": [
      "13.66.140.72/29",
    [...]

Indirizzi IP REST per un'area specificaREST IP addresses for a specific region

Cercare l'area specifica, ad esempio AzureContainerRegistry. AustraliaEast.Search for the specific region, such as AzureContainerRegistry.AustraliaEast.

{
  "name": "AzureContainerRegistry.AustraliaEast",
  "id": "AzureContainerRegistry.AustraliaEast",
  "properties": {
    "changeNumber": 1,
    "region": "australiaeast",
    "platform": "Azure",
    "systemService": "AzureContainerRegistry",
    "addressPrefixes": [
      "13.70.72.136/29",
    [...]

Indirizzi IP di archiviazione per tutte le areeStorage IP addresses for all regions

{
  "name": "Storage",
  "id": "Storage",
  "properties": {
    "changeNumber": 19,
    "region": "",
    "platform": "Azure",
    "systemService": "AzureStorage",
    "addressPrefixes": [
      "13.65.107.32/28",
    [...]

Indirizzi IP di archiviazione per aree specificheStorage IP addresses for specific regions

Cercare l'area specifica, ad esempio storage. AustraliaCentral.Search for the specific region, such as Storage.AustraliaCentral.

{
  "name": "Storage.AustraliaCentral",
  "id": "Storage.AustraliaCentral",
  "properties": {
    "changeNumber": 1,
    "region": "australiacentral",
    "platform": "Azure",
    "systemService": "AzureStorage",
    "addressPrefixes": [
      "52.239.216.0/23"
    [...]

Consenti l'accesso in base al tag del servizioAllow access by service tag

In una rete virtuale di Azure, usare le regole di sicurezza di rete per filtrare il traffico da una risorsa, ad esempio una macchina virtuale, a un registro contenitori.In an Azure virtual network, use network security rules to filter traffic from a resource such as a virtual machine to a container registry. Per semplificare la creazione delle regole di rete di Azure, usare il tag del servizio AzureContainerRegistry .To simplify the creation of the Azure network rules, use the AzureContainerRegistry service tag. Un tag di servizio rappresenta un gruppo di prefissi di indirizzi IP per accedere a un servizio di Azure a livello globale o per area di Azure.A service tag represents a group of IP address prefixes to access an Azure service globally or per Azure region. Il tag viene aggiornato automaticamente in caso di modifica degli indirizzi.The tag is automatically updated when addresses change.

Ad esempio, creare una regola del gruppo di sicurezza di rete in uscita con AzureContainerRegistry di destinazione per consentire il traffico verso un registro contenitori di Azure.For example, create an outbound network security group rule with destination AzureContainerRegistry to allow traffic to an Azure container registry. Per consentire l'accesso al tag del servizio solo in un'area specifica, specificare l'area nel formato seguente: AzureContainerRegistry. [nome area].To allow access to the service tag only in a specific region, specify the region in the following format: AzureContainerRegistry.[region name].

Passaggi successiviNext steps