Ověřování pomocí služby Azure Container Registry ze služby Azure Container Instances

Instanční objekt Microsoft Entra můžete použít k zajištění přístupu k privátním registrům kontejnerů ve službě Azure Container Registry.

V tomto článku se dozvíte, jak vytvořit a nakonfigurovat instanční objekt Microsoft Entra s oprávněními k vyžádání obsahu pro váš registr. Pak spustíte kontejner ve službě Azure Container Instances (ACI), který načte jeho image z privátního registru pomocí instančního objektu pro ověřování.

Kdy použít instanční objekt

Instanční objekt byste měli použít k ověřování z ACI v bezobslužných scénářích, například v aplikacích nebo službách, které vytvářejí instance kontejnerů automatizovaným nebo jinak bezobslužným způsobem.

Pokud máte například automatizovaný skript, který běží noc a vytvoří instanci kontejneru založenou na úlohách pro zpracování některých dat, může k ověření v registru použít instanční objekt s oprávněními jen pro vyžádání změn. Přihlašovací údaje instančního objektu pak můžete otočit nebo jeho přístup úplně odvolat, aniž by to mělo vliv na jiné služby a aplikace.

Instanční objekty by se měly používat také v případě, že je uživatel správce registru zakázaný.

Vytvoření instančního objektu služby

Pokud chcete vytvořit instanční objekt s přístupem k registru kontejneru, spusťte v Azure Cloud Shellu nebo místní instalaci Azure CLI následující skript. Skript je naformátovaný pro prostředí Bash.

Před spuštěním skriptu aktualizujte ACR_NAME proměnnou názvem vašeho registru kontejneru. Hodnota SERVICE_PRINCIPAL_NAME musí být jedinečná v rámci vašeho tenanta Microsoft Entra. Pokud se zobrazí chyba "'http://acr-service-principal' already exists.", zadejte jiný název instančního objektu.

Pokud chcete udělit různá oprávnění, můžete volitelně upravit --role hodnotu v příkazu az ad sp create-for-rbac . Úplný seznam rolí najdete v tématu Role a oprávnění ACR.

Po spuštění skriptu si poznamenejte ID a heslo instančního objektu. Jakmile budete mít přihlašovací údaje, můžete aplikace a služby nakonfigurovat tak, aby se ověřily v registru kontejneru jako instanční objekt.

#!/bin/bash
# This script requires Azure CLI version 2.25.0 or later. Check version with `az --version`.

# Modify for your environment.
# ACR_NAME: The name of your Azure Container Registry
# SERVICE_PRINCIPAL_NAME: Must be unique within your AD tenant
ACR_NAME=$containerRegistry
SERVICE_PRINCIPAL_NAME=$servicePrincipal

# Obtain the full registry ID
ACR_REGISTRY_ID=$(az acr show --name $ACR_NAME --query "id" --output tsv)
# echo $registryId

# Create the service principal with rights scoped to the registry.
# Default permissions are for docker pull access. Modify the '--role'
# argument value as desired:
# acrpull:     pull only
# acrpush:     push and pull
# owner:       push, pull, and assign roles
PASSWORD=$(az ad sp create-for-rbac --name $SERVICE_PRINCIPAL_NAME --scopes $ACR_REGISTRY_ID --role acrpull --query "password" --output tsv)
USER_NAME=$(az ad sp list --display-name $SERVICE_PRINCIPAL_NAME --query "[].appId" --output tsv)

# Output the service principal's credentials; use these in your services and
# applications to authenticate to the container registry.
echo "Service principal ID: $USER_NAME"
echo "Service principal password: $PASSWORD"

Použití existujícího instančního objektu

Pokud chcete udělit přístup registru k existujícímu instančnímu objektu, musíte instančnímu objektu přiřadit novou roli. Stejně jako při vytváření nového instančního objektu můžete udělit přístup pull, push a pull a přístup vlastníka.

Následující skript pomocí příkazu az role assignment create udělí oprávnění k přijetí změn instančnímu objektu SERVICE_PRINCIPAL_ID , který zadáte v proměnné. --role Upravte hodnotu, pokud chcete udělit jinou úroveň přístupu.

#!/bin/bash
# Modify for your environment. The ACR_NAME is the name of your Azure Container
# Registry, and the SERVICE_PRINCIPAL_ID is the service principal's 'appId' or
# one of its 'servicePrincipalNames' values.
ACR_NAME=$containerRegistry
SERVICE_PRINCIPAL_ID=$servicePrincipal

# Populate value required for subsequent command args
ACR_REGISTRY_ID=$(az acr show --name $ACR_NAME --query id --output tsv)

# Assign the desired role to the service principal. Modify the '--role' argument
# value as desired:
# acrpull:     pull only
# acrpush:     push and pull
# owner:       push, pull, and assign roles
az role assignment create --assignee $SERVICE_PRINCIPAL_ID --scope $ACR_REGISTRY_ID --role acrpull

Ověřování pomocí instančního objektu

Pokud chcete spustit kontejner ve službě Azure Container Instances pomocí instančního objektu, zadejte jeho ID --registry-usernamea heslo pro --registry-password.

az container create \
    --resource-group myResourceGroup \
    --name mycontainer \
    --image mycontainerregistry.azurecr.io/myimage:v1 \
    --registry-login-server mycontainerregistry.azurecr.io \
    --registry-username <service-principal-ID> \
    --registry-password <service-principal-password>

Poznámka:

Doporučujeme spouštět příkazy v nejnovější verzi Azure Cloud Shellu. Nastavte export MSYS_NO_PATHCONV=1 pro spouštění prostředí Bash v prostředí on-perm.

Ukázkové skripty

Předchozí ukázkové skripty pro Azure CLI najdete na GitHubu a verze Azure PowerShellu:

• Azure CLI
• Azure PowerShell

Další kroky

Následující články obsahují další podrobnosti o práci s instančními objekty a ACR:

• Ověřování ve službě Azure Container Registry pomocí instančních objektů
• Ověřování pomocí služby Azure Container Registry ze služby Azure Kubernetes Service (AKS)