Toegang tot een Azure container Registry beperken met behulp van een virtueel netwerk of een firewall-regel van AzureRestrict access to an Azure container registry using an Azure virtual network or firewall rules

Azure Virtual Network biedt veilige, persoonlijke netwerken voor uw Azure-en on-premises resources.Azure Virtual Network provides secure, private networking for your Azure and on-premises resources. Door de toegang tot uw persoonlijke Azure-container register te beperken vanuit een virtueel Azure-netwerk, zorgt u ervoor dat alleen bronnen in het virtuele netwerk toegang hebben tot het REGI ster.By limiting access to your private Azure container registry from an Azure virtual network, you ensure that only resources in the virtual network access the registry. Voor cross-premises scenario's kunt u ook firewall regels configureren om alleen toegang tot het REGI ster vanuit specifieke IP-adressen toe te staan.For cross-premises scenarios, you can also configure firewall rules to allow registry access only from specific IP addresses.

Dit artikel bevat twee scenario's voor het configureren van binnenkomende regels voor netwerk toegang op een container register: van een virtuele machine die is geïmplementeerd in een virtueel netwerk of van het open bare IP-adres van een VM.This article shows two scenarios to configure inbound network access rules on a container registry: from a virtual machine deployed in a virtual network, or from a VM's public IP address.

Belangrijk

Deze functie is momenteel beschikbaar als preview-versie en er zijn enkele beperkingen van toepassing.This feature is currently in preview, and some limitations apply. Previews worden voor u beschikbaar gesteld op voorwaarde dat u akkoord gaat met de aanvullende gebruiksvoorwaarden.Previews are made available to you on the condition that you agree to the supplemental terms of use. Sommige aspecten van deze functie worden mogelijk nog gewijzigd voordat de functie algemeen beschikbaar wordt.Some aspects of this feature may change prior to general availability (GA).

Zie regels configureren voor toegang tot een Azure-container register achter een firewallals u in plaats daarvan toegangs regels wilt instellen voor bronnen om een container register van achter een firewall te bereiken.If instead you need to set up access rules for resources to reach a container registry from behind a firewall, see Configure rules to access an Azure container registry behind a firewall.

Preview-beperkingenPreview limitations

  • Alleen een Premium container Registry kan worden geconfigureerd met netwerk toegangs regels.Only a Premium container registry can be configured with network access rules. Zie Azure container Registry sku'svoor meer informatie over de service lagen van het REGI ster.For information about registry service tiers, see Azure Container Registry SKUs.

  • Alleen een Azure Kubernetes service -cluster of virtuele Azure-machine kan worden gebruikt als een host voor toegang tot een container register in een virtueel netwerk.Only an Azure Kubernetes Service cluster or Azure virtual machine can be used as a host to access a container registry in a virtual network. Andere Azure-Services, waaronder Azure Container Instances, worden momenteel niet ondersteund.Other Azure services including Azure Container Instances aren't currently supported.

  • ACR-taken bewerkingen worden momenteel niet ondersteund in een container register dat wordt geopend in een virtueel netwerk.ACR Tasks operations aren't currently supported in a container registry accessed in a virtual network.

  • Elk REGI ster ondersteunt Maxi maal 100 regels voor virtuele netwerken.Each registry supports a maximum of 100 virtual network rules.

VereistenPrerequisites

  • Als u de stappen van Azure CLI in dit artikel wilt gebruiken, is Azure CLI-versie 2.0.58 of later vereist.To use the Azure CLI steps in this article, Azure CLI version 2.0.58 or later is required. Zie Azure CLI installeren als u de CLI wilt installeren of een upgrade wilt uitvoeren.If you need to install or upgrade, see Install Azure CLI.

  • Als u nog geen container register hebt, maakt u er een (Premium SKU vereist) en pusht u een voorbeeld hello-world installatie kopie, zoals van docker hub.If you don't already have a container registry, create one (Premium SKU required) and push a sample image such as hello-world from Docker Hub. Gebruik bijvoorbeeld de Azure Portal of de Azure cli om een REGI ster te maken.For example, use the Azure portal or the Azure CLI to create a registry.

  • Als u de toegang tot het REGI ster wilt beperken met behulp van een virtueel netwerk in een ander Azure-abonnement, moet u de resource provider registreren voor Azure Container Registry in dat abonnement.If you want to restrict registry access using a virtual network in a different Azure subscription, you need to register the resource provider for Azure Container Registry in that subscription. Bijvoorbeeld:For example:

    az account set --subscription <Name or ID of subscription of virtual network>
    
    az provider register --namespace Microsoft.ContainerRegistry
    

Over netwerk regels voor een container registerAbout network rules for a container registry

Een Azure-container register accepteert standaard verbindingen via Internet van hosts op elk netwerk.An Azure container registry by default accepts connections over the internet from hosts on any network. Met een virtueel netwerk kunt u alleen Azure-resources, zoals een AKS-cluster of Azure-VM, toestaan om veilig toegang te krijgen tot het REGI ster, zonder een netwerk grens te overschrijden.With a virtual network, you can allow only Azure resources such as an AKS cluster or Azure VM to securely access the registry, without crossing a network boundary. U kunt ook netwerk firewall regels configureren voor het white list van specifieke open bare IP-adresbereiken voor het internet.You can also configure network firewall rules to whitelist specific public internet IP address ranges.

Als u de toegang tot een REGI ster wilt beperken, wijzigt u eerst de standaard actie van het REGI ster zodat alle netwerk verbindingen worden geweigerd.To limit access to a registry, first change the default action of the registry so that it denies all network connections. Voeg vervolgens netwerk toegangs regels toe.Then, add network access rules. Clients die toegang hebben verleend via de netwerk regels, moeten blijven verifiëren bij het container register en moeten worden gemachtigd om toegang te krijgen tot de gegevens.Clients granted access via the network rules must continue to authenticate to the container registry and be authorized to access the data.

Service-eind punt voor subnettenService endpoint for subnets

Als u toegang wilt toestaan vanaf een subnet in een virtueel netwerk, moet u een service-eind punt voor de Azure container Registry-service toevoegen.To allow access from a subnet in a virtual network, you need to add a service endpoint for the Azure Container Registry service.

Multi tenant Services, zoals Azure Container Registry, gebruiken één set IP-adressen voor alle klanten.Multi-tenant services, like Azure Container Registry, use a single set of IP addresses for all customers. Een service-eind punt wijst een eind punt toe voor toegang tot een REGI ster.A service endpoint assigns an endpoint to access a registry. Dit eind punt geeft een optimale route naar de resource via het Azure-backbone-netwerk.This endpoint gives traffic an optimal route to the resource over the Azure backbone network. De identiteit van het virtuele netwerk en het subnet worden ook verzonden bij elke aanvraag.The identities of the virtual network and the subnet are also transmitted with each request.

FirewallregelsFirewall rules

Geef voor IP-netwerk regels toegestane Internet adresbereiken op met behulp van CIDR-notatie, zoals 16.17.18.0/24 , of een afzonderlijke IP-adressen, zoals 16.17.18.19.For IP network rules, provide allowed internet address ranges using CIDR notation such as 16.17.18.0/24 or an individual IP addresses like 16.17.18.19. IP-netwerk regels zijn alleen toegestaan voor open bare Internet-IP-adressen.IP network rules are only allowed for public internet IP addresses. IP-adresbereiken die zijn gereserveerd voor particuliere netwerken (zoals gedefinieerd in RFC 1918) zijn niet toegestaan in IP-regels.IP address ranges reserved for private networks (as defined in RFC 1918) aren't allowed in IP rules.

Een virtuele machine maken die is ingeschakeld voor dockerCreate a Docker-enabled virtual machine

Gebruik voor dit artikel een docker-Ubuntu-VM om toegang te krijgen tot een Azure container Registry.For this article, use a Docker-enabled Ubuntu VM to access an Azure container registry. Als u Azure Active Directory verificatie wilt gebruiken voor het REGI ster, installeert u ook de Azure cli op de VM.To use Azure Active Directory authentication to the registry, also install the Azure CLI on the VM. Als u al een virtuele machine van Azure hebt, kunt u deze stap voor het maken overs Laan.If you already have an Azure virtual machine, skip this creation step.

U kunt dezelfde resource groep gebruiken voor uw virtuele machine en het container register.You may use the same resource group for your virtual machine and your container registry. Deze installatie vereenvoudigt aan het einde van het opschonen, maar is niet vereist.This setup simplifies clean-up at the end but isn't required. Als u ervoor kiest om een afzonderlijke resource groep te maken voor de virtuele machine en het virtuele netwerk, voert u AZ Group Createuit.If you choose to create a separate resource group for the virtual machine and virtual network, run az group create. In het volgende voor beeld wordt een resource groep met de naam myResourceGroup gemaakt op de locatie westcentralus :The following example creates a resource group named myResourceGroup in the westcentralus location:

az group create --name myResourceGroup --location westus

Implementeer nu een standaard Ubuntu Azure-virtuele machine met AZ VM Create.Now deploy a default Ubuntu Azure virtual machine with az vm create. In het volgende voor beeld wordt een VM gemaakt met de naam myDockerVM:The following example creates a VM named myDockerVM:

az vm create \
    --resource-group myResourceGroup \
    --name myDockerVM \
    --image UbuntuLTS \
    --admin-username azureuser \
    --generate-ssh-keys

Het duurt enkele minuten voordat de virtuele machine wordt gemaakt.It takes a few minutes for the VM to be created. Wanneer de opdracht is voltooid, noteert u de publicIpAddress weer gegeven door de Azure cli.When the command completes, take note of the publicIpAddress displayed by the Azure CLI. Gebruik dit adres voor het maken van SSH-verbindingen met de virtuele machine en eventueel voor latere installatie van firewall regels.Use this address to make SSH connections to the VM, and optionally for later setup of firewall rules.

Docker installeren op de VMInstall Docker on the VM

Nadat de virtuele machine is uitgevoerd, maakt u een SSH-verbinding met de VM.After the VM is running, make an SSH connection to the VM. Vervang publicIpAddress door het open bare IP-adres van uw virtuele machine.Replace publicIpAddress with the public IP address of your VM.

ssh azureuser@publicIpAddress

Voer de volgende opdracht uit om docker te installeren op de Ubuntu-VM:Run the following command to install Docker on the Ubuntu VM:

sudo apt install docker.io -y

Na de installatie voert u de volgende opdracht uit om te controleren of docker correct wordt uitgevoerd op de VM:After installation, run the following command to verify that Docker is running properly on the VM:

sudo docker run -it hello-world

Uitvoer:Output:

Hello from Docker!
This message shows that your installation appears to be working correctly.
[...]

Azure-CLI installerenInstall the Azure CLI

Volg de stappen in Azure cli installeren met apt om de Azure CLI op uw virtuele Ubuntu-machine te installeren.Follow the steps in Install Azure CLI with apt to install the Azure CLI on your Ubuntu virtual machine. Voor dit artikel moet u versie 2.0.58 of hoger installeren.For this article, ensure that you install version 2.0.58 or later.

Sluit de SSH-verbinding.Exit the SSH connection.

Toegang vanaf een virtueel netwerk toestaanAllow access from a virtual network

In deze sectie configureert u het container register zodanig dat toegang is toegestaan vanuit een subnet in een virtueel Azure-netwerk.In this section, configure your container registry to allow access from a subnet in an Azure virtual network. Vergelijk bare stappen die gebruikmaken van de Azure CLI en Azure Portal worden meegeleverd.Equivalent steps using the Azure CLI and Azure portal are provided.

Toegang vanaf een virtueel netwerk-CLI toestaanAllow access from a virtual network - CLI

Een service-eind punt toevoegen aan een subnetAdd a service endpoint to a subnet

Wanneer u een virtuele machine maakt, maakt Azure standaard een virtueel netwerk in dezelfde resource groep.When you create a VM, Azure by default creates a virtual network in the same resource group. De naam van het virtuele netwerk is gebaseerd op de naam van de virtuele machine.The name of the virtual network is based on the name of the virtual machine. Als u bijvoorbeeld een myDockerVMnaam voor de virtuele machine hebt, is de standaard naam van het virtuele netwerk myDockerVMVNET, met een subnet met de naam myDockerVMSubnet.For example, if you name your virtual machine myDockerVM, the default virtual network name is myDockerVMVNET, with a subnet named myDockerVMSubnet. Controleer dit in de Azure Portal of met behulp van de opdracht AZ Network vnet List :Verify this in the Azure portal or by using the az network vnet list command:

az network vnet list --resource-group myResourceGroup --query "[].{Name: name, Subnet: subnets[0].name}"

Uitvoer:Output:

[
  {
    "Name": "myDockerVMVNET",
    "Subnet": "myDockerVMSubnet"
  }
]

Gebruik de opdracht AZ Network vnet subnet update om een service-eind punt van micro soft. ContainerRegistry toe te voegen aan uw subnet.Use the az network vnet subnet update command to add a Microsoft.ContainerRegistry service endpoint to your subnet. Vervang de namen van uw virtuele netwerk en subnet door de volgende opdracht:Substitute the names of your virtual network and subnet in the following command:

az network vnet subnet update \
  --name myDockerVMSubnet \
  --vnet-name myDockerVMVNET \
  --resource-group myResourceGroup \
  --service-endpoints Microsoft.ContainerRegistry

Gebruik de opdracht AZ Network vnet subnet show om de resource-id van het subnet op te halen.Use the az network vnet subnet show command to retrieve the resource ID of the subnet. U hebt dit in een latere stap nodig om een netwerk toegangs regel te configureren.You need this in a later step to configure a network access rule.

az network vnet subnet show \
  --name myDockerVMSubnet \
  --vnet-name myDockerVMVNET \
  --resource-group myResourceGroup \
  --query "id"
  --output tsv

Uitvoer:Output:

/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myDockerVMVNET/subnets/myDockerVMSubnet

De standaard netwerk toegang wijzigen in het REGI sterChange default network access to registry

Een Azure container Registry staat standaard verbindingen toe van hosts op elk netwerk.By default, an Azure container registry allows connections from hosts on any network. Als u de toegang tot een geselecteerd netwerk wilt beperken, wijzigt u de standaard actie om de toegang te weigeren.To limit access to a selected network, change the default action to deny access. Vervang de naam van het REGI ster in de volgende AZ ACR update -opdracht:Substitute the name of your registry in the following az acr update command:

az acr update --name myContainerRegistry --default-action Deny

Netwerk regel toevoegen aan REGI sterAdd network rule to registry

Gebruik de opdracht AZ ACR Network-Rule add om een netwerk regel toe te voegen aan het REGI ster waarmee toegang vanuit het subnet van de virtuele machine wordt toegestaan.Use the az acr network-rule add command to add a network rule to your registry that allows access from the VM's subnet. Vervang de naam van het container register en de bron-ID van het subnet in de volgende opdracht:Substitute the container registry's name and the resource ID of the subnet in the following command:

az acr network-rule add --name mycontainerregistry --subnet <subnet-resource-id>

Ga door met het controleren van de toegang tot het REGI ster.Continue to Verify access to the registry.

Toegang vanaf een virtueel netwerk-Portal toestaanAllow access from a virtual network - portal

Service-eind punt toevoegen aan subnetAdd service endpoint to subnet

Wanneer u een virtuele machine maakt, maakt Azure standaard een virtueel netwerk in dezelfde resource groep.When you create a VM, Azure by default creates a virtual network in the same resource group. De naam van het virtuele netwerk is gebaseerd op de naam van de virtuele machine.The name of the virtual network is based on the name of the virtual machine. Als u bijvoorbeeld een myDockerVMnaam voor de virtuele machine hebt, is de standaard naam van het virtuele netwerk myDockerVMVNET, met een subnet met de naam myDockerVMSubnet.For example, if you name your virtual machine myDockerVM, the default virtual network name is myDockerVMVNET, with a subnet named myDockerVMSubnet.

Een service-eind punt voor Azure Container Registry toevoegen aan een subnet:To add a service endpoint for Azure Container Registry to a subnet:

  1. Voer in het zoekvak boven aan de Azure Portal virtuele netwerkenin.In the search box at the top of the Azure portal, enter virtual networks. Wanneer virtuele netwerken worden weer gegeven in de zoek resultaten, selecteert u deze.When Virtual networks appear in the search results, select it.
  2. Selecteer in de lijst met virtuele netwerken het virtuele netwerk waarin uw virtuele machine is geïmplementeerd, bijvoorbeeld myDockerVMVNET.From the list of virtual networks, select the virtual network where your virtual machine is deployed, such as myDockerVMVNET.
  3. Selecteer onder instellingende optie subnetten.Under Settings, select Subnets.
  4. Selecteer het subnet waarin uw virtuele machine is geïmplementeerd, bijvoorbeeld myDockerVMSubnet.Select the subnet where your virtual machine is deployed, such as myDockerVMSubnet.
  5. Selecteer onder service-eind punten micro soft. ContainerRegistry.Under Service endpoints, select Microsoft.ContainerRegistry.
  6. Selecteer Opslaan.Select Save.

Service-eind punt toevoegen aan subnet

Netwerk toegang voor het REGI ster configurerenConfigure network access for registry

Een Azure container Registry staat standaard verbindingen toe van hosts op elk netwerk.By default, an Azure container registry allows connections from hosts on any network. De toegang tot het virtuele netwerk beperken:To limit access to the virtual network:

  1. Navigeer in de portal naar het container register.In the portal, navigate to your container registry.
  2. Onder instellingenselecteert u firewall en virtuele netwerken.Under Settings, select Firewall and virtual networks.
  3. Kies voor het weigeren van toegang standaard, zodat toegang vanaf geselecteerde netwerken.To deny access by default, choose to allow access from Selected networks.
  4. Selecteer bestaand virtueel netwerk toevoegenen selecteer het virtuele netwerk en het subnet dat u hebt geconfigureerd met een service-eind punt.Select Add existing virtual network, and select the virtual network and subnet you configured with a service endpoint. Selecteer Toevoegen.Select Add.
  5. Selecteer Opslaan.Select Save.

Virtueel netwerk configureren voor container register

Ga door met het controleren van de toegang tot het REGI ster.Continue to Verify access to the registry.

Toegang vanaf een IP-adres toestaanAllow access from an IP address

In deze sectie configureert u het container register om toegang vanaf een specifiek IP-adres of bereik toe te staan.In this section, configure your container registry to allow access from a specific IP address or range. Vergelijk bare stappen die gebruikmaken van de Azure CLI en Azure Portal worden meegeleverd.Equivalent steps using the Azure CLI and Azure portal are provided.

Toegang vanaf een IP-adres-CLI toestaanAllow access from an IP address - CLI

De standaard netwerk toegang wijzigen in het REGI sterChange default network access to registry

Als u dit nog niet hebt gedaan, werkt u de Register configuratie bij om de toegang standaard te weigeren.If you haven't already done so, update the registry configuration to deny access by default. Vervang de naam van het REGI ster in de volgende AZ ACR update -opdracht:Substitute the name of your registry in the following az acr update command:

az acr update --name myContainerRegistry --default-action Deny

Netwerk regel uit REGI ster verwijderenRemove network rule from registry

Als u eerder een netwerk regel hebt toegevoegd om toegang vanuit het subnet van de virtuele machine toe te staan, verwijdert u het service-eind punt van het subnet en de netwerk regel.If you previously added a network rule to allow access from the VM's subnet, remove the subnet's service endpoint and the network rule. Vervang de naam van het container register en de resource-ID van het subnet dat u in een eerdere stap hebt opgehaald in de opdracht AZ ACR Network-regel Remove :Substitute the container registry's name and the resource ID of the subnet you retrieved in an earlier step in the az acr network-rule remove command:

# Remove service endpoint

az network vnet subnet update \
  --name myDockerVMSubnet \
  --vnet-name myDockerVMVNET \
  --resource-group myResourceGroup \
  --service-endpoints ""

# Remove network rule

az acr network-rule remove --name mycontainerregistry --subnet <subnet-resource-id>

Netwerk regel toevoegen aan REGI sterAdd network rule to registry

Gebruik de opdracht AZ ACR Network-Rule add om een netwerk regel toe te voegen aan het REGI ster waarmee toegang vanaf het IP-adres van de virtuele machine wordt toegestaan.Use the az acr network-rule add command to add a network rule to your registry that allows access from the VM's IP address. Vervang de naam van het container register en het open bare IP-adres van de virtuele machine in de volgende opdracht.Substitute the container registry's name and the public IP address of the VM in the following command.

az acr network-rule add --name mycontainerregistry --ip-address <public-IP-address>

Ga door met het controleren van de toegang tot het REGI ster.Continue to Verify access to the registry.

Toegang vanaf een IP-adres toestaan-PortalAllow access from an IP address - portal

Bestaande netwerk regel uit REGI ster verwijderenRemove existing network rule from registry

Als u eerder een netwerk regel hebt toegevoegd om toegang vanuit het subnet van de virtuele machine toe te staan, verwijdert u de bestaande regel.If you previously added a network rule to allow access from the VM's subnet, remove the existing rule. Sla deze sectie over als u toegang tot het REGI ster wilt krijgen vanaf een andere VM.Skip this section if you want to access the registry from a different VM.

  • Werk de instellingen van het subnet bij om het service-eind punt van het subnet voor Azure Container Registry te verwijderen.Update the subnet settings to remove the subnet's service endpoint for Azure Container Registry.

    1. Ga in het Azure Portalnaar het virtuele netwerk waarin uw virtuele machine is geïmplementeerd.In the Azure portal, navigate to the virtual network where your virtual machine is deployed.
    2. Selecteer onder instellingende optie subnetten.Under Settings, select Subnets.
    3. Selecteer het subnet waarin uw virtuele machine is geïmplementeerd.Select the subnet where your virtual machine is deployed.
    4. Verwijder onder service-eind puntenhet selectie vakje voor micro soft. ContainerRegistry.Under Service endpoints, remove the checkbox for Microsoft.ContainerRegistry.
    5. Selecteer Opslaan.Select Save.
  • Verwijder de netwerk regel waarmee het subnet toegang kan krijgen tot het REGI ster.Remove the network rule that allows the subnet to access the registry.

    1. Navigeer in de portal naar het container register.In the portal, navigate to your container registry.
    2. Onder instellingenselecteert u firewall en virtuele netwerken.Under Settings, select Firewall and virtual networks.
    3. Onder virtuele netwerkenselecteert u de naam van het virtuele netwerk en selecteert u vervolgens verwijderen.Under Virtual networks, select the name of the virtual network, and then select Remove.
    4. Selecteer Opslaan.Select Save.

Netwerk regel toevoegen aan REGI sterAdd network rule to registry

  1. Navigeer in de portal naar het container register.In the portal, navigate to your container registry.
  2. Onder instellingenselecteert u firewall en virtuele netwerken.Under Settings, select Firewall and virtual networks.
  3. Als u dit nog niet hebt gedaan, kunt u kiezen of u toegang hebt tot geselecteerde netwerken.If you haven't already done so, choose to allow access from Selected networks.
  4. Zorg ervoor dat onder virtuele netwerkengeen netwerk is geselecteerd.Under Virtual networks, ensure no network is selected.
  5. Onder firewallvoert u het open bare IP-adres van een virtuele machine in.Under Firewall, enter the public IP address of a VM. Of voer een adres bereik in de CIDR-notatie in die het IP-adres van de virtuele machine bevat.Or, enter an address range in CIDR notation that contains the VM's IP address.
  6. Selecteer Opslaan.Select Save.

Firewall regel voor container register configureren

Ga door met het controleren van de toegang tot het REGI ster.Continue to Verify access to the registry.

Toegang tot het REGI ster controlerenVerify access to the registry

Nadat u een paar minuten hebt gewacht voordat de configuratie is bijgewerkt, controleert u of de virtuele machine toegang heeft tot het container register.After waiting a few minutes for the configuration to update, verify that the VM can access the container registry. Maak een SSH-verbinding met uw virtuele machine en voer de opdracht AZ ACR login uit om u aan te melden bij het REGI ster.Make an SSH connection to your VM, and run the az acr login command to login to your registry.

az acr login --name mycontainerregistry

U kunt register bewerkingen uitvoeren zoals uitvoeren docker pull om een voorbeeld installatie kopie uit het REGI ster te halen.You can perform registry operations such as run docker pull to pull a sample image from the registry. Vervang een installatie kopie en label waarde die geschikt is voor uw REGI ster, voorafgegaan door de naam van de aanmeldings server van het REGI ster (alle kleine letters):Substitute an image and tag value appropriate for your registry, prefixed with the registry login server name (all lowercase):

docker pull mycontainerregistry.azurecr.io/hello-world:v1

Docker haalt de installatie kopie op naar de virtuele machine.Docker successfully pulls the image to the VM.

In dit voor beeld wordt gedemonstreerd dat u toegang hebt tot het persoonlijke container register via de netwerk toegangs regel.This example demonstrates that you can access the private container registry through the network access rule. Het REGI ster kan echter niet worden geopend vanaf een andere aanmeldings host waarvoor geen netwerk toegangs regel is geconfigureerd.However, the registry can't be accessed from a different login host that doesn't have a network access rule configured. Als u zich probeert aan te melden bij een andere az acr login host met docker login behulp van de opdracht of opdracht, is de uitvoer vergelijkbaar met het volgende:If you attempt to login from another host using the az acr login command or docker login command, output is similar to the following:

Error response from daemon: login attempt to https://xxxxxxx.azurecr.io/v2/ failed with status: 403 Forbidden

Standaard toegang tot het REGI ster herstellenRestore default registry access

Als u het REGI ster wilt herstellen om standaard toegang toe te staan, verwijdert u de netwerk regels die zijn geconfigureerd.To restore the registry to allow access by default, remove any network rules that are configured. Stel vervolgens de standaard actie in om toegang toe te staan.Then set the default action to allow access. Vergelijk bare stappen die gebruikmaken van de Azure CLI en Azure Portal worden meegeleverd.Equivalent steps using the Azure CLI and Azure portal are provided.

Standaard toegang tot het REGI ster herstellen-CLIRestore default registry access - CLI

Netwerk regels verwijderenRemove network rules

Als u een lijst wilt weer geven met netwerk regels die voor het REGI ster zijn geconfigureerd, voert u de volgende opdracht AZ ACR Network-Rule List uit:To see a list of network rules configured for your registry, run the following az acr network-rule list command:

az acr network-rule list--name mycontainerregistry 

Voer voor elke geconfigureerde regel de opdracht AZ ACR Network-regel Remove uit om deze te verwijderen.For each rule that is configured, run the az acr network-rule remove command to remove it. Bijvoorbeeld:For example:

# Remove a rule that allows access for a subnet. Substitute the subnet resource ID.

az acr network-rule remove \
  --name mycontainerregistry \
  --subnet /subscriptions/ \
  xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myDockerVMVNET/subnets/myDockerVMSubnet

# Remove a rule that allows access for an IP address or CIDR range such as 23.45.1.0/24.

az acr network-rule remove \
  --name mycontainerregistry \
  --ip-address 23.45.1.0/24

Toegang toestaanAllow access

Vervang de naam van het REGI ster in de volgende AZ ACR update -opdracht:Substitute the name of your registry in the following az acr update command:

az acr update --name myContainerRegistry --default-action Allow

Standaard toegang tot het REGI ster herstellen-PortalRestore default registry access - portal

  1. Navigeer in de portal naar het container register en selecteer firewall en virtuele netwerken.In the portal, navigate to your container registry and select Firewall and virtual networks.
  2. Selecteer onder virtuele netwerkenelk virtueel netwerk en selecteer vervolgens verwijderen.Under Virtual networks, select each virtual network, and then select Remove.
  3. Onder firewallselecteert u elk adres bereik en selecteert u vervolgens het pictogram verwijderen.Under Firewall, select each address range, and then select the Delete icon.
  4. Selecteer onder toegang toestaan vanuit de optie alle netwerken.Under Allow access from, select All networks.
  5. Selecteer Opslaan.Select Save.

Resources opschonenClean up resources

Als u alle Azure-resources in dezelfde resource groep hebt gemaakt en deze niet meer nodig hebt, kunt u de resources eventueel verwijderen met behulp van één opdracht AZ Group delete :If you created all the Azure resources in the same resource group and no longer need them, you can optionally delete the resources by using a single az group delete command:

az group delete --name myResourceGroup

Als u uw resources in de portal wilt opschonen, gaat u naar de resource groep myResourceGroup.To clean up your resources in the portal, navigate to the myResourceGroup resource group. Zodra de resource groep is geladen, klikt u op resource groep verwijderen om de resource groep en de resources die daar zijn opgeslagen, te verwijderen.Once the resource group is loaded, click on Delete resource group to remove the resource group and the resources stored there.

Volgende stappenNext steps

In dit artikel worden kortere bronnen en functies voor het virtuele netwerk beschreven.Several virtual network resources and features were discussed in this article, though briefly. De Azure Virtual Network-documentatie behandelt deze onderwerpen uitgebreid:The Azure Virtual Network documentation covers these topics extensively: