Share via

Marcas de serviço do Registro de Contêiner do Azure

  • Artigo

As marcas de serviço ajudam a definir regras para permitir ou negar o tráfego para um serviço específico do Azure. Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. As marcas de serviço no Registro de Contêiner do Azure (ACR) representam um grupo de prefixos de endereço IP que podem ser usados para acessar o serviço globalmente ou por região do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços, minimizando a complexidade de atualizações frequentes das regras de segurança de rede.

O Registro de Contêiner do Azure (ACR) gera tráfego de rede proveniente da marca de serviço do ACR para recursos como Importação de imagem, Webhook e Tarefas do ACR.

Quando você configura um firewall para um registro, o ACR atende às solicitações em seus endereços IP de marca de serviço. Para os cenários mencionados em Regras de acesso de Firewall, os clientes podem configurar a regra de saída do firewall para permitir o acesso aos endereços IP da marca de serviço do ACR.

Importar imagens

O Registro de Contêiner do Azure (ACR) inicia solicitações para serviços de registro externos por meio dos endereços IP de marca de serviço para downloads de imagem. Se o serviço de registro externo opera protegido por um firewall, ele requer uma regra de entrada para aceitar endereços IP de marca de serviço do ACR. Esses IPs se enquadram na marca de serviço do ACR, que inclui os endereços IP necessários para importar imagens de registros públicos ou do Azure. O Azure garante que esses intervalos sejam atualizados automaticamente. Estabelecer esse protocolo de segurança é crucial para manter a integridade do registro e garantir sua disponibilidade.

O ACR envia solicitações para o serviço de registro externo por meio de endereços IP de marca de serviço para baixar as imagens. Se o serviço de registro externo for protegido por um firewall, ele precisará ter uma regra de entrada para permitir endereços IP de marca de serviço do ACR. Esses IPs fazem parte da marca de serviço AzureContainerRegistry, que abrange intervalos de IP necessários para importar imagens de registros públicos ou do Azure. Configuração de uma medida de segurança para manter a integridade e a acessibilidade do registro.

Saiba mais sobre pontos de extremidade do registro para configurar regras de segurança de rede e permitir o tráfego da marca de serviço do ACR para importação de imagem no ACR.

Para obter etapas detalhadas e diretrizes sobre como usar a marca de serviço durante a importação de imagem, consulte a documentação do Registro de Contêiner do Azure.

Webhooks

As marcas de serviço no Registro de Contêiner do Azure (ACR) são usadas para gerenciar o tráfego de rede para recursos como webhooks para garantir que apenas fontes confiáveis possam disparar esses eventos. Quando você configura um webhook no ACR, ele pode responder a eventos no nível do registro ou ter o escopo reduzido para a marca de um repositório específico. Para registros com replicação geográfica, você configura cada webhook para responder a eventos em uma réplica regional específica.

O ponto de extremidade para um webhook deve estar acessível publicamente no registro. Você pode configurar as solicitações de webhook do registro para autenticar em um ponto de extremidade protegido. O ACR envia a solicitação para o ponto de extremidade de webhook configurado por meio de endereços IP de marca de serviço. Se o ponto de extremidade de webhook for protegido por um firewall, ele precisará ter uma regra de entrada para permitir endereços IP de marca de serviço do ACR. Além disso, para proteger o acesso ao ponto de extremidade de webhook, o cliente deve configurar a autenticação adequada para validação a solicitação.

Para obter etapas detalhadas sobre como criar uma configuração de webhook, consulte a documentação do Registro de Contêiner do Azure.

Tarefas do ACR

Tarefas do ACR, como quando você está criando imagens de contêiner ou automatizando fluxos de trabalho, a marca de serviço representa o grupo de prefixos de endereços IP usados pelo ACR. Durante a execução de tarefas, as Tarefas do ACR enviam solicitações para recursos externos por meio de endereços IP de marca de serviço. Se o recurso externo for protegido por um firewall, ele precisará ter uma regra de entrada para permitir endereços IP de marca de serviço do ACR. Aplicar essas regras de entrada é uma prática comum para garantir a segurança e o gerenciamento de acesso adequado em ambientes de nuvem.

Saiba mais sobre Tarefas do ACR e como usar a marca de serviço para configurar regras de acesso de firewall para Tarefas do ACR.

Práticas recomendadas

  • Configure e personalize as regras de segurança de rede para permitir o tráfego da marca de serviço AzureContainerRegistry para recursos como importação de imagem, webhooks e Tarefas do ACR, como números de porta e protocolos.

  • Configure regras de firewall para permitir o tráfego somente de intervalos de IP associados a marcas de serviço do ACR para cada recurso.

  • Detecte e impeça o tráfego não autorizado que não seja proveniente de endereços IP de marca de serviço do ACR.

  • Monitore o tráfego de rede continuamente e examine as configurações de segurança periodicamente para resolver o tráfego inesperado para cada recurso do ACR usando o Azure Monitor ou o Observador de Rede.