Share via

Теги служб для Реестр контейнеров Azure

  • Статья

Теги служб помогают задать правила для разрешения или запрета трафика в определенную службу Azure. Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Теги служб в Реестр контейнеров Azure (ACR) представляют группу префиксов IP-адресов, которые можно использовать для доступа к службе глобально или в каждом регионе Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности.

Реестр контейнеров Azure (ACR) создает сетевой трафик, исходящий из тега службы ACR для таких функций, как импорт изображений, веб-перехватчик и задачи ACR.

При настройке брандмауэра для реестра ACR обслуживает запросы по IP-адресам тега службы. Для сценариев, упоминание в правилах доступа к брандмауэру, клиенты могут настроить правило исходящего трафика брандмауэра, чтобы разрешить доступ к IP-адресам тега службы ACR.

Импорт образов

Реестр контейнеров Azure (ACR) инициирует запросы к внешним службам реестра с помощью IP-адресов тега службы для скачивания изображений. Если внешняя служба реестра работает за брандмауэром, требуется правило входящего трафика для принятия IP-адресов тега службы ACR. Эти IP-адреса попадают под тег службы ACR, который включает необходимые диапазоны IP-адресов для импорта образов из общедоступных или реестров Azure. Azure гарантирует, что эти диапазоны обновляются автоматически. Создание этого протокола безопасности имеет решающее значение для обеспечения целостности реестра и обеспечения его доступности.

ACR отправляет запросы во внешнюю службу реестра с помощью IP-адресов тега службы, чтобы скачать образы. Если внешняя служба реестра выполняется за брандмауэром, необходимо иметь правило для входящего трафика, чтобы разрешить IP-адреса тега службы ACR. Эти IP-адреса являются частью тега службы AzureContainerRegistry, который включает диапазоны IP-адресов, необходимые для импорта образов из общедоступных или реестров Azure. Настройка меры безопасности для поддержания целостности и специальных возможностей реестра.

Узнайте о конечных точках реестра, чтобы настроить правила безопасности сети и разрешить трафик из тега службы ACR для импорта изображений в ACR.

Подробные инструкции и инструкции по использованию тега службы во время импорта образа см. в документации по Реестр контейнеров Azure.

Веб-перехватчики

Теги служб в Реестр контейнеров Azure (ACR) используются для управления сетевым трафиком для таких функций, как веб-перехватчики, чтобы обеспечить активацию этих событий только доверенными источниками. При настройке веб-перехватчика в ACR он может реагировать на события на уровне реестра или область вниз до определенного тега репозитория. Для гео-реплика реестров можно настроить каждый веб-перехватчик для реагирования на события в определенном региональном реплика.

Конечная точка веб-перехватчика должна быть общедоступна из реестра. Вы можете настроить для веб-перехватчика реестра проверку подлинности запросов в защищенной конечной точке. ACR отправляет запрос в настроенную конечную точку веб-перехватчика через IP-адреса тега службы. Если конечная точка веб-перехватчика выполняется за брандмауэром, необходимо иметь правило для входящего трафика, чтобы разрешить IP-адреса тега службы ACR. Кроме того, чтобы защитить доступ к конечной точке веб-перехватчика, клиент должен настроить правильную проверку подлинности для проверки запроса.

Подробные инструкции по созданию установки веб-перехватчика см. в документации по Реестр контейнеров Azure.

Задачи ACR

Задачи ACR, такие как при создании образов контейнеров или автоматизации рабочих процессов, тег службы представляет группу префиксов IP-адресов, которые использует ACR. Во время выполнения задач задачи отправляют запросы внешним ресурсам через IP-адреса тега службы. Если внешний ресурс выполняется за брандмауэром, он должен иметь правило входящего трафика, чтобы разрешить IP-адреса тега службы ACR. Применение этих правил для входящего трафика — это распространенная практика, обеспечивающая безопасность и надлежащее управление доступом в облачных средах.

Узнайте больше о задачах ACR и о том, как использовать тег службы для настройки правил доступа брандмауэра для задач ACR.

Рекомендации

  • Настройте и настройте правила безопасности сети, чтобы разрешить трафик из тега службы AzureContainerRegistry для таких функций, как импорт изображений, веб-перехватчики и задачи ACR, такие как номера портов и протоколы.

  • Настройте правила брандмауэра, чтобы разрешить трафик исключительно из диапазонов IP-адресов, связанных с тегами службы ACR для каждой функции.

  • Обнаружение и предотвращение несанкционированного трафика, не исходя из IP-адресов тега службы ACR.

  • Отслеживайте сетевой трафик непрерывно и периодически просматривайте конфигурации безопасности, чтобы устранить непредвиденный трафик для каждой функции ACR с помощью Azure Monitor или Наблюдатель за сетями.