Servicetags voor Azure Container Registry
Met servicetags kunt u regels instellen om verkeer naar een specifieke Azure-service toe te staan of te weigeren. In Azure Container Registry vertegenwoordigt een servicetag een groep IP-adresvoorvoegsels die kunnen worden gebruikt voor toegang tot de service globaal of per Azure-regio. Azure Container Registry genereert netwerkverkeer dat afkomstig is van een servicetag voor functies zoals het importeren van installatiekopieën, webhooks en Azure Container Registry-taken.
Microsoft beheert de adresvoorvoegsels die een servicetag omvat. Microsoft werkt automatisch een servicetag bij wanneer adressen veranderen, om de complexiteit van frequente updates voor netwerkbeveiligingsregels te minimaliseren.
Wanneer u een firewall voor een register configureert, dient Azure Container Registry de aanvragen op de IP-adressen voor de bijbehorende servicetags. Voor de scenario's die worden vermeld in firewalltoegangsregels, kunt u de uitgaande firewallregel configureren om toegang tot IP-adressen van Azure Container Registry toe te staan voor servicetags.
Afbeelding importeren
Azure Container Registry verzendt aanvragen naar de externe registerservice via IP-adressen van servicetags om installatiekopieën te downloaden. Als de externe registerservice achter een firewall wordt uitgevoerd, is een binnenkomende regel vereist om IP-adressen voor servicetags toe te staan. Deze IP-adressen vallen onder de AzureContainerRegistry
servicetag, waaronder de benodigde IP-bereiken voor het importeren van installatiekopieën uit openbare of Azure-registers.
Azure zorgt ervoor dat deze IP-bereiken automatisch worden bijgewerkt. Het tot stand brengen van dit beveiligingsprotocol is van cruciaal belang voor het handhaven van de integriteit van het register en het garanderen van de beschikbaarheid ervan.
Als u netwerkbeveiligingsregels wilt configureren en verkeer van de AzureContainerRegistry
servicetag wilt toestaan voor het importeren van installatiekopieën in Azure Container Registry, raadpleegt u Informatie over registereindpunten. Zie Containerinstallatiekopieën importeren in een containerregister voor gedetailleerde stappen en richtlijnen voor het gebruik van de servicetag tijdens het importeren van installatiekopieën.
Webhooks
In Azure Container Registry gebruikt u servicetags om netwerkverkeer te beheren voor functies zoals webhooks om ervoor te zorgen dat alleen vertrouwde bronnen deze gebeurtenissen kunnen activeren. Wanneer u een webhook in Azure Container Registry instelt, kan deze reageren op gebeurtenissen op registerniveau of worden beperkt tot een specifieke opslagplaatstag. Voor geo-gerepliceerde registers configureert u elke webhook om te reageren op gebeurtenissen in een specifieke regionale replica.
Het eindpunt voor een webhook moet openbaar, vanuit het register toegankelijk zijn. U kunt registerwebhookaanvragen configureren voor verificatie bij een beveiligd eindpunt.
Azure Container Registry verzendt de aanvraag naar het geconfigureerde webhookeindpunt via de IP-adressen voor servicetags. Als het webhookeindpunt achter een firewall wordt uitgevoerd, is een binnenkomende regel vereist om deze IP-adressen toe te staan. Als u de toegang tot het webhook-eindpunt wilt beveiligen, moet u ook de juiste verificatie configureren om de aanvraag te valideren.
Raadpleeg de documentatie van Azure Container Registry voor gedetailleerde stappen voor het maken van een webhookinstallatie.
Azure Container Registry-taken
Wanneer u Azure Container Registry-taken gebruikt, zoals wanneer u containerinstallatiekopieën bouwt of werkstromen automatiseert, vertegenwoordigt de servicetag de groep IP-adresvoorvoegsels die door Azure Container Registry worden gebruikt.
Tijdens de uitvoering van taken verzendt Azure Container Registry aanvragen naar externe resources via de IP-adressen voor servicetags. Als een externe resource achter een firewall wordt uitgevoerd, is een binnenkomende regel vereist om deze IP-adressen toe te staan. Het toepassen van deze regels voor inkomend verkeer is gebruikelijk om beveiliging en correct toegangsbeheer in cloudomgevingen te garanderen.
Zie Builds en onderhoud van containerinstallatiekopieën automatiseren met Azure Container Registry-taken voor meer informatie over Azure Container Registry-taken. Zie Regels configureren voor toegang tot een Azure-containerregister achter een firewall voor informatie over het gebruik van een servicetag voor het instellen van firewalltoegangsregels voor Azure Container Registry-taken.
Aanbevolen procedures
Netwerkbeveiligingsregels configureren en aanpassen om verkeer van de
AzureContainerRegistry
servicetag toe te staan voor functies zoals installatiekopieën importeren, webhooks en Azure Container Registry-taken, zoals poortnummers en protocollen.Stel firewallregels in om verkeer alleen toe te staan van IP-bereiken die zijn gekoppeld aan Azure Container Registry-servicetags voor elke functie.
Detecteer en voorkom niet-geautoriseerd verkeer dat niet afkomstig is van IP-adressen van Azure Container Registry voor servicetags.
Controleer continu netwerkverkeer en controleer regelmatig beveiligingsconfiguraties om onverwacht verkeer voor elke Azure Container Registry-functie te verhelpen met behulp van Azure Monitor of Network Watcher.