Share via

Informacje o dostępie do połączonego rejestru

  • Artykuł

Aby uzyskać dostęp do połączonego rejestru i zarządzać nim, obecnie obsługiwane jest tylko uwierzytelnianie oparte na tokenach usługi ACR. Jak pokazano na poniższej ilustracji, dwa różne typy tokenów są używane przez każdy połączony rejestr:

  • Tokeny klienta — co najmniej jeden token używany przez klientów lokalnych do uwierzytelniania za pomocą połączonego rejestru i wypychania lub ściągania obrazów i artefaktów do lub z niego.
  • Token synchronizacji — token używany przez każdy połączony rejestr w celu uzyskania dostępu do jego elementu nadrzędnego i synchronizacji zawartości.

Widok uwierzytelniania połączonego rejestru

Ważne

Przechowuj hasła tokenów dla każdego połączonego rejestru w bezpiecznej lokalizacji. Po ich utworzeniu nie można pobrać haseł tokenu. Hasła tokenu można ponownie wygenerować w dowolnym momencie.

Tokeny klienta

Aby zarządzać dostępem klienta do połączonego rejestru, należy utworzyć tokeny o zakresie akcji w co najmniej jednym repozytorium. Po utworzeniu tokenu skonfiguruj połączony rejestr, aby akceptował token przy użyciu polecenia az acr connected-registry update . Klient może następnie użyć poświadczeń tokenu, aby uzyskać dostęp do połączonego punktu końcowego rejestru — na przykład w celu ściągnięcia lub wypychania obrazów do połączonego rejestru za pomocą poleceń interfejsu wiersza polecenia platformy Docker.

Opcje konfigurowania akcji tokenu klienta zależą od tego, czy połączony rejestr zezwala na operacje wypychania i ściągania, czy działa jako dublowanie tylko do ściągania.

  • Połączony rejestr w domyślnym trybie ReadWrite umożliwia zarówno operacje ściągania, jak i wypychania, dzięki czemu można utworzyć token, który umożliwia akcje zarówno odczytu, jak i zapisu zawartości repozytorium w tym rejestrze.
  • W przypadku połączonego rejestru w trybie ReadOnly tokeny klienta mogą zezwalać tylko na akcje odczytu zawartości repozytorium.

Zarządzanie tokenami klienta

Zaktualizuj tokeny klienta, hasła lub mapy zakresu zgodnie z potrzebami, używając polecenia az acr token i az acr scope-map . Aktualizacje tokenu klienta są propagowane automatycznie do połączonych rejestrów, które akceptują token.

Token synchronizacji

Każdy połączony rejestr używa tokenu synchronizacji do uwierzytelniania za pomocą jego bezpośredniego elementu nadrzędnego — który może być innym połączonym rejestrem lub rejestrem w chmurze. Połączony rejestr automatycznie używa tego tokenu podczas synchronizowania zawartości z elementem nadrzędnym lub wykonywania innych aktualizacji.

  • Token synchronizacji i hasła są generowane automatycznie podczas tworzenia połączonego zasobu rejestru. Uruchom polecenie az acr connected-registry install renew-credentials , aby ponownie wygenerować hasła.
  • Uwzględnij poświadczenia tokenu synchronizacji w konfiguracji używane do wdrożenia połączonego rejestru lokalnie.
  • Domyślnie token synchronizacji ma uprawnienie do synchronizowania wybranych repozytoriów z jego elementem nadrzędnym. Podczas tworzenia połączonego zasobu rejestru należy podać istniejący token synchronizacji lub co najmniej jedno repozytorium.
  • Ma również uprawnienia do odczytywania i zapisywania komunikatów synchronizacji w bramie używanej do komunikowania się z elementem nadrzędnym połączonego rejestru. Te komunikaty kontrolują harmonogram synchronizacji i zarządzają innymi aktualizacjami między połączonym rejestrem a jego elementem nadrzędnym.

Zarządzanie tokenem synchronizacji

Zaktualizuj tokeny synchronizacji, hasła lub mapy zakresu zgodnie z potrzebami, używając polecenia az acr token i az acr scope-map . Aktualizacje tokenu synchronizacji są propagowane automatycznie do połączonego rejestru. Postępuj zgodnie ze standardowymi praktykami rotacji haseł podczas aktualizowania tokenu synchronizacji.

Uwaga

Nie można usunąć tokenu synchronizacji do momentu usunięcia połączonego rejestru skojarzonego z tokenem. Możesz wyłączyć połączony rejestr, ustawiając stan tokenu synchronizacji na disabledwartość .

Punkty końcowe rejestru

Poświadczenia tokenu dla połączonych rejestrów mają zakres dostępu do określonych punktów końcowych rejestru:

  • Token klienta uzyskuje dostęp do punktu końcowego połączonego rejestru. Połączony punkt końcowy rejestru to identyfikator URI serwera logowania, który jest zazwyczaj adresem IP serwera lub urządzenia, które go hostuje.

  • Token synchronizacji uzyskuje dostęp do punktu końcowego rejestru nadrzędnego, który jest innym połączonym punktem końcowym rejestru lub samym rejestrem w chmurze. W przypadku uzyskiwania dostępu do rejestru w chmurze token synchronizacji musi uzyskać dostęp do dwóch punktów końcowych rejestru:

    • W pełni kwalifikowana nazwa serwera logowania, na przykład contoso.azurecr.io. Ten punkt końcowy jest używany do uwierzytelniania.
    • W pełni kwalifikowany regionalny punkt końcowy danych dla rejestru w chmurze, na przykład contoso.westus2.data.azurecr.io. Ten punkt końcowy służy do wymiany komunikatów z połączonym rejestrem na potrzeby synchronizacji.

Następne kroki

Przejdź do poniższego artykułu, aby dowiedzieć się więcej o konkretnych scenariuszach, w których można korzystać z połączonego rejestru.

Omówienie: Połączony rejestr i IoT Edge