Sdílet prostřednictvím


Značky služeb pro Azure Container Registry

Značky služeb pomáhají nastavit pravidla pro povolení nebo zamítnutí provozu do konkrétní služby Azure. Ve službě Azure Container Registry představuje značka služby skupinu předpon IP adres, které je možné použít pro přístup ke službě globálně nebo pro každou oblast Azure. Azure Container Registry generuje síťový provoz, který pochází ze značky služby pro funkce, jako je import imagí, webhooky a úlohy služby Azure Container Registry.

Microsoft spravuje předpony adres, které zahrnuje značka služby. Microsoft automaticky aktualizuje značku služby při změně adres, aby se minimalizovala složitost častých aktualizací pravidel zabezpečení sítě.

Když nakonfigurujete bránu firewall pro registr, služba Azure Container Registry obsluhuje požadavky na IP adresy pro jeho značky služeb. Ve scénářích uvedených v pravidlech přístupu brány firewall můžete nakonfigurovat odchozí pravidlo brány firewall tak, aby umožňovalo přístup k IP adresám služby Azure Container Registry pro značky služeb.

Import obrázku

Azure Container Registry odesílá požadavky externí službě registru prostřednictvím IP adres značek služeb ke stažení imagí. Pokud služba externího registru běží za bránou firewall, vyžaduje příchozí pravidlo, které povoluje IP adresy pro značky služeb. Tyto IP adresy spadají pod AzureContainerRegistry značku služby, která zahrnuje nezbytné rozsahy IP adres pro import imagí z veřejných registrů nebo registrů Azure.

Azure zajišťuje, že se tyto rozsahy IP adres aktualizují automaticky. Vytvoření tohoto protokolu zabezpečení je zásadní pro zachování integrity registru a zajištění její dostupnosti.

Pokud chcete nakonfigurovat pravidla zabezpečení sítě a povolit provoz ze AzureContainerRegistry značky služby pro import imagí ve službě Azure Container Registry, přečtěte si téma O koncových bodech registru. Podrobné kroky a pokyny k použití značky služby během importu image najdete v tématu Import imagí kontejneru do registru kontejneru.

Webhooky

Ve službě Azure Container Registry používáte značky služeb ke správě síťového provozu pro funkce, jako jsou webhooky, abyste zajistili, že tyto události můžou aktivovat jenom důvěryhodné zdroje. Když ve službě Azure Container Registry nastavíte webhook, může reagovat na události na úrovni registru nebo se omezit na konkrétní značku úložiště. U geograficky replikovaných registrů nakonfigurujete každý webhook tak, aby reagoval na události v konkrétní regionální replice.

Koncový bod webhooku musí být veřejně přístupný z registru. Požadavky webhooku registru můžete nakonfigurovat tak, aby se ověřily v zabezpečeném koncovém bodu.

Azure Container Registry odešle požadavek do nakonfigurovaného koncového bodu webhooku prostřednictvím IP adres pro značky služeb. Pokud se koncový bod webhooku spouští za bránou firewall, vyžaduje příchozí pravidlo, které povolí tyto IP adresy. Pokud chcete pomoct zabezpečit přístup ke koncovému bodu webhooku, musíte také nakonfigurovat správné ověřování pro ověření požadavku.

Podrobný postup vytvoření instalace webhooku najdete v dokumentaci ke službě Azure Container Registry.

Úlohy Azure Container Registry

Pokud používáte úlohy služby Azure Container Registry, například při vytváření imagí kontejnerů nebo automatizaci pracovních postupů, značka služby představuje skupinu předpon IP adres, které azure Container Registry používá.

Během provádění úloh odesílá Služba Azure Container Registry požadavky na externí prostředky prostřednictvím IP adres pro značky služeb. Pokud externí prostředek běží za bránou firewall, vyžaduje příchozí pravidlo, které tyto IP adresy povolí. Použití těchto příchozích pravidel je běžný postup, který pomáhá zajistit zabezpečení a správnou správu přístupu v cloudových prostředích.

Další informace o úlohách služby Azure Container Registry najdete v tématu Automatizace sestavení a údržby imagí kontejneru pomocí úloh služby Azure Container Registry. Informace o použití značky služby k nastavení pravidel přístupu brány firewall pro úlohy služby Azure Container Registry najdete v tématu Konfigurace pravidel pro přístup k registru kontejneru Azure za bránou firewall.

Osvědčené postupy

  • Nakonfigurujte a přizpůsobte pravidla zabezpečení sítě tak, aby umožňovala provoz ze AzureContainerRegistry značky služby pro funkce, jako jsou import imagí, webhooky a úlohy služby Azure Container Registry, jako jsou čísla portů a protokoly.

  • Nastavte pravidla brány firewall tak, aby umožňovala provoz výhradně z rozsahů IP adres přidružených ke značkům služby Azure Container Registry pro každou funkci.

  • Zjistěte a zabraňte neoprávněnému provozu, který nepochází z IP adres služby Azure Container Registry pro značky služeb.

  • Nepřetržitě monitorujte síťový provoz a pravidelně kontrolujte konfigurace zabezpečení, abyste vyřešili neočekávaný provoz pro každou funkci služby Azure Container Registry pomocí služby Azure Monitor nebo Network Watcher.