Condividi tramite


Tag di servizio per Registro Azure Container

I tag di servizio consentono di impostare regole per consentire o negare il traffico a un servizio di Azure specifico. In Registro Azure Container, un tag di servizio rappresenta un gruppo di prefissi di indirizzi IP che possono essere usati per accedere al servizio a livello globale o per area di Azure. Registro Azure Container genera traffico di rete originato da un tag di servizio per funzionalità come l'importazione di immagini, i webhook e le attività di Registro Azure Container.

Microsoft gestisce i prefissi di indirizzo inclusi in un tag di servizio. Microsoft aggiorna automaticamente un tag di servizio quando cambiano gli indirizzi, per ridurre al minimo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete.

Quando si configura un firewall per un registro, Registro Azure Container gestisce le richieste sugli indirizzi IP per i relativi tag di servizio. Per gli scenari indicati in regole di accesso del firewall, è possibile configurare la regola firewall in uscita per consentire l'accesso agli indirizzi IP del Registro Azure Container per i tag di servizio.

Importazione di immagini

Registro Azure Container invia richieste al servizio registro esterno tramite indirizzi IP tag del servizio per scaricare le immagini. Se il servizio registro esterno viene eseguito dietro un firewall, è necessaria una regola in ingresso per consentire gli indirizzi IP per i tag del servizio. Questi indirizzi IP rientrano nel tag del servizio AzureContainerRegistry, il quale include gli intervalli IP necessari per l'importazione di immagini da registri pubblici o di Azure.

Azure garantisce che questi intervalli IP vengano aggiornati automaticamente. Stabilire questo protocollo di sicurezza è fondamentale per garantire l'integrità del Registro di sistema e garantire la disponibilità.

Per configurare le regole di sicurezza della rete e consentire il traffico dal AzureContainerRegistrytag de per l'importazione di immagini in Registro Azure Container, vedere Informazioni sugli endpoint del registro. Per istruzioni dettagliate su come usare il tag di servizio durante l'importazione di immagini, vedere Importare immagini del contenitore in un registro contenitori.

Webhooks

In Registro Azure Container si usano tag di servizio per gestire il traffico di rete per funzionalità come i webhook per garantire che solo le origini attendibili possano attivare questi eventi. Quando si configura un webhook nel Registro Azure Container, esso può rispondere agli eventi a livello di registro oppure possono essere limitati a un tag di repository specifico. Per i registri con replica geografica, ogni webhook viene configurato per rispondere agli eventi in una replica a livello di area specifica.

L'endpoint per un webhook deve essere accessibile pubblicamente dal registro. È possibile configurare le richieste webhook del registro per l'autenticazione a un endpoint protetto.

Registro Azure Container invia la richiesta all'endpoint webhook configurato tramite gli indirizzi IP per i tag di servizio. Se l'endpoint del webhook viene eseguito dietro un firewall, è necessaria una regola in ingresso per consentire questi indirizzi IP. Per proteggere l'accesso all'endpoint webhook, è necessario configurare anche l'autenticazione appropriata per convalidare la richiesta.

Per informazioni dettagliate sulla creazione di un'installazione di webhook, vedere la documentazione di Registro Azure Container.

Attività del Registro Azure Container

Quando si usano attività di Registro Azure Container, ad esempio quando si creano immagini del contenitore o si automatizzano i flussi di lavoro, il tag del servizio rappresenta il gruppo di prefissi di indirizzi IP usati da Registro Azure Container.

Durante l'esecuzione delle attività, Registro Azure Container invia richieste a risorse esterne tramite gli indirizzi IP per i tag di servizio. Se una risorsa esterna viene eseguita dietro un firewall, è necessaria una regola in ingresso per consentire questi indirizzi IP. L'applicazione di queste regole in ingresso è una procedura comune per garantire la sicurezza e la corretta gestione degli accessi negli ambienti cloud.

Per ulteriori informazioni sulle attività del Registro Azure Container, vedere Automatizzare le compilazione di immagini dei contenitori con Attività del Registro Azure Container. Per informazioni su come usare un tag di servizio per configurare le regole di accesso del firewall per le attività di Registro Azure Container, vedere Configurare le regole per accedere a un registro contenitori di Azure dietro un firewall.

Procedure consigliate

  • Configurare e personalizzare le regole di sicurezza di rete per consentire il traffico dal tag del servizio AzureContainerRegistry per funzionalità come l'importazione di immagini, i webhook e le attività di Registro Azure Container, ad esempio numeri di porta e protocolli.

  • Configurare le regole del firewall per consentire il traffico esclusivamente dagli intervalli IP associati ai tag del servizio Registro Azure Container per ogni funzionalità.

  • Rilevare e prevenire traffico non autorizzato che non origina dagli indirizzi IP di Registro Azure Container per i tag del servizio.

  • Monitorare il traffico di rete in modo continuo ed esaminare periodicamente le configurazioni di sicurezza per risolvere il traffico imprevisto per ogni funzionalità di Registro Azure Container usando Monitoraggio di Azure o Network Watcher.