Tagi usługi dla usługi Azure Container Registry

Tagi usług pomagają ustawić reguły zezwalania na ruch do określonej usługi platformy Azure lub odmawiania go. W usłudze Azure Container Registry tag usługi reprezentuje grupę prefiksów adresów IP, których można użyć do uzyskiwania dostępu do usługi globalnie lub w każdym regionie świadczenia usługi Azure. Usługa Azure Container Registry generuje ruch sieciowy pochodzący z tagu usługi dla funkcji, takich jak importowanie obrazów, elementy webhook i zadania usługi Azure Container Registry.

Firma Microsoft zarządza prefiksami adresów, które obejmuje tag usługi. Firma Microsoft automatycznie aktualizuje tag usługi w miarę zmiany adresów, aby zminimalizować złożoność częstych aktualizacji reguł zabezpieczeń sieci.

Podczas konfigurowania zapory dla rejestru usługa Azure Container Registry obsługuje żądania na adresach IP dla tagów usługi. W przypadku scenariuszy wymienionych w regułach dostępu zapory można skonfigurować regułę ruchu wychodzącego zapory, aby zezwolić na dostęp do adresów IP usługi Azure Container Registry dla tagów usług.

Importowanie obrazów

Usługa Azure Container Registry wysyła żądania do zewnętrznej usługi rejestru za pośrednictwem adresów IP tagów usługi w celu pobrania obrazów. Jeśli usługa rejestru zewnętrznego działa za zaporą, wymaga reguły ruchu przychodzącego, aby zezwolić na adresy IP dla tagów usługi. Te adresy IP należą do tagu AzureContainerRegistry usługi, który zawiera niezbędne zakresy adresów IP do importowania obrazów z rejestrów publicznych lub rejestrów platformy Azure.

Platforma Azure zapewnia automatyczne aktualizowanie tych zakresów adresów IP. Ustanowienie tego protokołu zabezpieczeń ma kluczowe znaczenie dla utrzymania integralności rejestru i zapewnienia jego dostępności.

Aby skonfigurować reguły zabezpieczeń sieci i zezwolić na ruch z tagu AzureContainerRegistry usługi na potrzeby importowania obrazów w usłudze Azure Container Registry, zobacz Informacje o punktach końcowych rejestru. Aby uzyskać szczegółowe instrukcje i wskazówki dotyczące używania tagu usługi podczas importowania obrazów, zobacz Importowanie obrazów kontenerów do rejestru kontenerów.

Elementy webhook

W usłudze Azure Container Registry tagi usług służą do zarządzania ruchem sieciowym dla funkcji takich jak elementy webhook w celu zapewnienia, że tylko zaufane źródła mogą wyzwalać te zdarzenia. Podczas konfigurowania elementu webhook w usłudze Azure Container Registry może on reagować na zdarzenia na poziomie rejestru lub być w zakresie w określonym tagu repozytorium. W przypadku rejestrów replikowanych geograficznie należy skonfigurować każdy element webhook w celu reagowania na zdarzenia w określonej replice regionalnej.

Punkt końcowy elementu webhook musi być publicznie dostępny z poziomu rejestru. Możesz skonfigurować żądania elementów webhook rejestru do uwierzytelniania w zabezpieczonym punkcie końcowym.

Usługa Azure Container Registry wysyła żądanie do skonfigurowanego punktu końcowego elementu webhook za pośrednictwem adresów IP tagów usługi. Jeśli punkt końcowy elementu webhook działa za zaporą, wymaga reguły ruchu przychodzącego, aby zezwolić na te adresy IP. Aby zabezpieczyć dostęp do punktu końcowego elementu webhook, należy również skonfigurować odpowiednie uwierzytelnianie w celu zweryfikowania żądania.

Aby uzyskać szczegółowe instrukcje dotyczące tworzenia konfiguracji elementu webhook, zapoznaj się z dokumentacją usługi Azure Container Registry.

Zadania usługi Azure Container Registry

Jeśli używasz zadań usługi Azure Container Registry, takich jak podczas tworzenia obrazów kontenerów lub automatyzowania przepływów pracy, tag usługi reprezentuje grupę prefiksów adresów IP używanych przez usługę Azure Container Registry.

Podczas wykonywania zadań usługa Azure Container Registry wysyła żądania do zasobów zewnętrznych za pośrednictwem adresów IP tagów usługi. Jeśli za zaporą działa zasób zewnętrzny, wymaga reguły ruchu przychodzącego, aby zezwolić na te adresy IP. Stosowanie tych reguł ruchu przychodzącego jest powszechną praktyką, która pomaga zapewnić bezpieczeństwo i odpowiednie zarządzanie dostępem w środowiskach chmury.

Aby dowiedzieć się więcej o zadaniach usługi Azure Container Registry, zobacz Automatyzowanie kompilacji i konserwacji obrazu kontenera za pomocą zadań usługi Azure Container Registry. Aby dowiedzieć się, jak używać tagu usługi do konfigurowania reguł dostępu zapory dla zadań usługi Azure Container Registry, zobacz Konfigurowanie reguł dostępu do rejestru kontenerów platformy Azure za zaporą.

Najlepsze rozwiązania

• Skonfiguruj i dostosuj reguły zabezpieczeń sieci, aby zezwolić na ruch z tagu AzureContainerRegistry usługi dla funkcji, takich jak importowanie obrazów, elementy webhook i zadania usługi Azure Container Registry, takie jak numery portów i protokoły.

• Skonfiguruj reguły zapory, aby zezwalać na ruch wyłącznie z zakresów adresów IP skojarzonych z tagami usługi Azure Container Registry dla każdej funkcji.

• Wykrywanie i zapobieganie nieautoryzowanemu ruchowi, który nie pochodzi z adresów IP usługi Azure Container Registry dla tagów usługi.

• Monitorowanie ruchu sieciowego w sposób ciągły i okresowe przeglądanie konfiguracji zabezpieczeń pod kątem nieoczekiwanego ruchu dla każdej funkcji usługi Azure Container Registry przy użyciu usługi Azure Monitor lub Network Watcher.