Azure Container Registry 的服務標籤
服務標籤可協助設定規則,以允許或拒絕特定 Azure 服務的流量。 服務標籤代表來自指定 Azure 服務的一組 IP 位址首碼。 Azure Container Registry (ACR) 中的服務標籤代表一組 IP 位址前置詞,可用來全域或每個 Azure 區域存取服務。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤,而盡可能簡化網路安全性規則頻繁的更新。
Azure Container Registry (ACR) 會針對映射匯入、Webhook 和 ACR 工作等功能產生源自 ACR 服務標籤的網路流量。
當您設定登錄的防火牆時,ACR 會在其服務標籤IP位址上提供要求。 針對防火牆存取規則中所述的案例,客戶可以設定防火牆輸出規則,以允許存取 ACR 服務標籤 IP 位址。
匯入映像
Azure Container Registry (ACR) 會透過服務標籤IP位址起始對外部登錄服務的要求,以進行映像下載。 如果外部登錄服務在防火牆後方運作,則需要輸入規則接受 ACR 服務標籤 IP 位址。 這些IP屬於 ACR 服務標籤,其中包含從公用或 Azure 登錄匯入映像所需的IP範圍。 Azure 可確保這些範圍會自動更新。 建立此安全性通訊協議對於維護登錄的完整性並確保其可用性至關重要。
ACR 會透過服務標籤IP位址將要求傳送至外部登錄服務,以下載映像。 如果外部登錄服務在防火牆後方執行,它必須有輸入規則,才能允許 ACR 服務標籤 IP 位址。 這些IP是 AzureContainerRegistry 服務標籤的一部分,其中包含從公用或 Azure 登錄匯入映像所需的 IP 範圍。 設定安全性措施以維護登錄的完整性和輔助功能。
瞭解 登錄端點 以設定網路安全性規則,並允許來自 ACR 服務標籤的流量在 ACR 中匯入映像。
如需如何在映像匯入期間使用服務卷標的詳細步驟和指引,請參閱 Azure Container Registry 檔。
Webhooks
Azure Container Registry (ACR) 中的服務標籤可用來管理 Webhook 等功能的網路流量,以確保只有受信任的來源能夠觸發這些事件。 當您在 ACR 中設定 Webhook 時,它可以回應登錄層級的事件,或限定在特定存放庫標記的範圍內。 針對異地復寫的登錄,您可以設定每個 Webhook 以回應特定區域複本中的事件。
Webhook 的端點必須可從登錄公開存取。 您可以設定登錄 Webhook 要求,以向受保護的端點進行驗證。 ACR 會透過服務標籤IP位址,將要求傳送至已設定的Webhook端點。 如果 Webhook 端點在防火牆後方執行,它必須有輸入規則,才能允許 ACR 服務標籤 IP 位址。 此外,若要保護 Webhook 端點存取,客戶必須設定適當的驗證來驗證要求。
如需建立 Webhook 設定的詳細步驟,請參閱 Azure Container Registry 檔。
ACR 工作
ACR 工作,例如當您建置容器映像或自動化工作流程時,服務標籤代表 ACR 使用的 IP 位址前置詞群組。 在工作執行期間,工作會透過服務標籤IP位址將要求傳送至外部資源。 如果外部資源在防火牆後方執行,它必須有輸入規則,才能允許 ACR 服務標籤 IP 位址。 套用這些輸入規則是確保雲端環境中安全性和適當存取管理的常見做法。
深入瞭解 ACR 工作 ,以及如何使用服務標籤來設定 ACR 工作的防火牆存取規則 。