Disponibilizar o conteúdo do registro de contêiner publicamente

  • Artigo

Configurar um registro de contêiner do Azure para acesso de pull anônimo (não autenticado) é um recurso opcional que permite a qualquer usuário com acesso à Internet a capacidade de extrair qualquer conteúdo do registro.

O acesso de pull anônimo é uma versão prévia do recurso, disponível nas camadas de serviço Standard e Premium. Para configurar o acesso de pull anônimo, atualize um registro usando a CLI do Azure (versão 2.21.0 ou posterior). Para instalar ou atualizar, confira Instalar a CLI do Azure.

Sobre o acesso de pull anônimo

Por padrão, o acesso para efetuar pull ou enviar conteúdo por push de um registro de contêiner do Azure só está disponível para usuários autenticados. Habilitar o acesso de pull anônimo (não autenticado) disponibiliza todo o conteúdo do registro publicamente disponível para ações de leitura (pull). O acesso de pull anônimo pode ser usado em cenários que não exigem autenticação dos usuários, como a distribuição de imagens de contêiner público.

  • Habilite o acesso de pull anônimo atualizando as propriedades de um registro existente.
  • Depois de habilitar o acesso de pull anônimo, você poderá desabilitar o acesso a qualquer momento.
  • Somente as operações de plano de dados estão disponíveis para clientes não autenticados.
  • O registro pode limitar uma alta taxa de solicitações não autenticadas.
  • Se você tiver autenticado anteriormente no registro, certifique-se de desmarcar as credenciais antes de tentar uma operação de pull anônima.

Aviso

No momento, o acesso de pull anônimo se aplica a todos os repositórios no registro. Se você gerenciar o acesso ao repositório usando tokens no escopo do repositório, todos os usuários poderão efetuar pull desses repositórios em um registro habilitado para pull anônimo. É recomendável excluir tokens quando o acesso de pull anônimo estiver habilitado.

Configurar o acesso de pull anônimo

Os usuários podem habilitar, desabilitar e consultar o status do acesso de pull anônimo usando a CLI do Azure. Os exemplos a seguir demonstram como habilitar, desabilitar e consultar o status do acesso de pull anônimo.

Habilitar o acesso de pull anônimo

Atualize um registro usando o comando az acr update e passe o parâmetro --anonymous-pull-enabled. Por padrão, o pull anônimo está desabilitado no registro.

az acr update --name myregistry --anonymous-pull-enabled

Importante

Se você tiver autenticado anteriormente o registro com as credenciais do Docker, execute docker logout para garantir que você desmarque as credenciais existentes antes de tentar realizar operações de pull anônimas. Caso contrário, você poderá ver uma mensagem de erro semelhante a “acesso de pull negado”. Lembre-se de sempre especificar o nome do registro totalmente qualificado (somente letras minúsculas) ao usar docker login e marcar imagens para enviar por push para o registro. Nos exemplos fornecidos, o nome totalmente qualificado é myregistry.azurecr.io.

Se você já tiver autenticado anteriormente no registro com credenciais do Docker, execute o comando a seguir para limpar as credenciais existentes ou qualquer autenticação anterior será desmarcada.

   docker logout myregistry.azurecr.io

Isso ajudará você a tentar executar uma operação de pull anônima. Se você encontrar problemas, poderá ver uma mensagem de erro semelhante a "acesso de pull negado".

Desabilitar o acesso de pull anônimo

Desabilite o acesso de pull anônimo definindo --anonymous-pull-enabled como false.

az acr update --name myregistry --anonymous-pull-enabled false

Consultar o status do acesso de pull anônimo

Os usuários podem consultar o status de "pull anônimo" usando o comando az acr show com o parâmetro --query. Veja um exemplo:

az acr show -n <registry_name> --query anonymousPullEnabled

O comando retornará um valor booliano indicando se "pull anônimo" está habilitado (true) ou desabilitado (false). Isso simplificará o processo para que os usuários verifiquem o status dos recursos no ACR.

Próximas etapas