Azure Container Registry 的服務標籤

服務標籤可協助設定規則，以允許或拒絕特定 Azure 服務的流量。 在 Azure Container Registry 中，服務標籤代表一組 IP 位址前綴，可用來全域或每個 Azure 區域存取服務。 Azure Container Registry 會產生源自服務標籤的網路流量，以取得映射匯入、Webhook 和 Azure Container Registry 工作等功能。

Microsoft 會管理服務標籤所包含的位址前置詞。 Microsoft 會在地址變更時自動更新服務標籤，以將網路安全性規則的頻繁更新複雜度降到最低。

當您設定登錄的防火牆時，Azure Container Registry 會為其服務標籤的 IP 位址提供要求。 針對防火牆存取規則中所述的案例，您可以設定防火牆輸出規則，以允許存取服務標籤的 Azure Container Registry IP 位址。

映射匯入

Azure Container Registry 會透過服務標籤 IP 位址將要求傳送至外部登錄服務，以下載映像。 如果外部登錄服務在防火牆後方執行，則需要輸入規則來允許服務標籤的IP位址。 這些IP屬於 AzureContainerRegistry 服務標籤，其中包含從公用或 Azure 登錄匯入映像所需的IP範圍。

Azure 可確保這些IP範圍會自動更新。 建立此安全性通訊協議對於維護登錄的完整性並確保其可用性至關重要。

若要設定網路安全性規則，並允許來自服務標籤的 AzureContainerRegistry 流量在 Azure Container Registry 中匯入映像，請參閱 關於登錄端點。 如需如何在映像匯入期間使用服務卷標的詳細步驟和指引，請參閱 將容器映像匯入容器登錄。

Webhooks

在 Azure Container Registry 中，您會使用服務標籤來管理 Webhook 等功能的網路流量，以確保只有受信任的來源可以觸發這些事件。 當您在 Azure Container Registry 中設定 Webhook 時，它可以回應登錄層級的事件，或限定在特定存放庫標記的範圍內。 針對異地復寫的登錄，您可以設定每個 Webhook 以回應特定區域複本中的事件。

Webhook 的端點必須可從登錄公開存取。 您可以設定登錄 Webhook 要求，以向受保護的端點進行驗證。

Azure Container Registry 會透過服務標籤的IP位址，將要求傳送至已設定的Webhook端點。 如果 Webhook 端點在防火牆後方執行，則需要輸入規則來允許這些 IP 位址。 若要協助保護 Webhook 端點存取，您也必須設定適當的驗證來驗證要求。

如需建立 Webhook 設定的詳細步驟，請參閱 Azure Container Registry 檔。

Azure Container Registry 工作

當您使用 Azure Container Registry 工作時，例如當您建置容器映射或自動化工作流程時，服務標籤代表 Azure Container Registry 所使用的 IP 位址前置詞群組。

在工作執行期間，Azure Container Registry 會透過服務標籤的IP位址，將要求傳送至外部資源。 如果外部資源在防火牆後方執行，則需要輸入規則來允許這些IP位址。 套用這些輸入規則是協助確保雲端環境中安全性和適當存取管理的常見做法。

若要深入瞭解 Azure Container Registry 工作，請參閱 使用 Azure Container Registry 工作將容器映射建置和維護自動化。 若要瞭解如何使用服務標籤來設定 Azure Container Registry 工作的防火牆存取規則，請參閱 設定規則以存取防火牆後方的 Azure Container Registry。

最佳作法

• 設定和自定義網路安全性規則，以允許來自 AzureContainerRegistry 服務標籤的流量，例如映射匯入、Webhook 和 Azure Container Registry 工作，例如埠號碼和通訊協定。

• 設定防火牆規則，只允許與每項功能之 Azure Container Registry 服務標籤相關聯的IP範圍流量。

• 偵測並防止未來自服務標籤之 Azure Container Registry IP 位址的未經授權流量。

• 持續監視網路流量，並定期檢閱安全性設定，以使用 Azure 監視器或 網路監看員 來解決每個 Azure Container Registry 功能未預期的流量。