Delen via

Toegang tot een verbonden register begrijpen

  • Artikel

Voor toegang tot en beheer van een verbonden register wordt momenteel alleen verificatie op basis van ACR-tokens ondersteund. Zoals wordt weergegeven in de volgende afbeelding, worden twee verschillende typen tokens gebruikt door elk verbonden register:

  • Clienttokens : een of meer tokens die on-premises clients gebruiken voor verificatie met een verbonden register en installatiekopieën en artefacten naar of van daaruit pushen of ophalen.
  • Synchronisatietoken : een token dat door elk verbonden register wordt gebruikt voor toegang tot het bovenliggende register en het synchroniseren van inhoud.

Verview voor verbonden registerverificatie

Belangrijk

Sla tokenwachtwoorden op voor elk verbonden register op een veilige locatie. Nadat ze zijn gemaakt, kunnen tokenwachtwoorden niet worden opgehaald. U kunt tokenwachtwoorden op elk gewenst moment opnieuw genereren.

Clienttokens

Als u clienttoegang tot een verbonden register wilt beheren, maakt u tokens die zijn gericht op acties in een of meer opslagplaatsen. Nadat u een token hebt gemaakt, configureert u het verbonden register om het token te accepteren met behulp van de opdracht az acr connected-registry update . Een client kan vervolgens de tokenreferenties gebruiken om toegang te krijgen tot een verbonden registereindpunt, bijvoorbeeld om Docker CLI-opdrachten te gebruiken voor het ophalen of pushen van installatiekopieën naar het verbonden register.

Uw opties voor het configureren van clienttokenacties zijn afhankelijk van of het verbonden register zowel push- als pull-bewerkingen of functies toestaat als een pull-mirror.

  • Met een verbonden register in de standaardmodus ReadWrite kunt u zowel pull- als pushbewerkingen uitvoeren, zodat u een token kunt maken waarmee acties zowel inhoud van de opslagplaats kunnen lezen als schrijven in dat register.
  • Voor een verbonden register in de readOnly-modus kunnen clienttokens alleen acties toestaan om inhoud van de opslagplaats te lezen .

Clienttokens beheren

Werk indien nodig clienttokens, wachtwoorden of bereiktoewijzingen bij met behulp van az acr-token en az acr scope-map-opdrachten . Clienttokenupdates worden automatisch doorgegeven aan de verbonden registers die het token accepteren.

Token synchroniseren

Elk verbonden register maakt gebruik van een synchronisatietoken om te verifiëren met het directe bovenliggende item. Dit kan een ander verbonden register of het cloudregister zijn. Het verbonden register gebruikt dit token automatisch bij het synchroniseren van inhoud met het bovenliggende item of het uitvoeren van andere updates.

  • Het synchronisatietoken en wachtwoorden worden automatisch gegenereerd wanneer u de verbonden registerresource maakt. Voer de opdracht az acr connected-registry install renew-credentials uit om de wachtwoorden opnieuw te genereren.
  • Voeg synchronisatietokenreferenties toe in de configuratie die wordt gebruikt om het verbonden register on-premises te implementeren.
  • Standaard krijgt het synchronisatietoken toestemming om geselecteerde opslagplaatsen te synchroniseren met het bovenliggende item. U moet een bestaand synchronisatietoken of een of meer opslagplaatsen opgeven die moeten worden gesynchroniseerd wanneer u de verbonden registerresource maakt.
  • Het heeft ook machtigingen voor het lezen en schrijven van synchronisatieberichten op een gateway die wordt gebruikt om te communiceren met het bovenliggende register van het verbonden register. Deze berichten beheren het synchronisatieschema en beheren andere updates tussen het verbonden register en het bovenliggende register.

Synchronisatietoken beheren

Werk indien nodig synchronisatietokens, wachtwoorden of bereiktoewijzingen bij met behulp van az acr-token en az acr scope-map-opdrachten . Synchronisatietokenupdates worden automatisch doorgegeven aan het verbonden register. Volg de standaardprocedures voor het roteren van wachtwoorden bij het bijwerken van het synchronisatietoken.

Notitie

Het synchronisatietoken kan pas worden verwijderd nadat het verbonden register dat is gekoppeld aan het token is verwijderd. U kunt een verbonden register uitschakelen door de status van het synchronisatietoken in te stellen op disabled.

Registereindpunten

Tokenreferenties voor verbonden registers hebben toegang tot specifieke registereindpunten:

  • Een clienttoken opent het eindpunt van het verbonden register. Het verbonden registereindpunt is de URI van de aanmeldingsserver. Dit is meestal het IP-adres van de server of het apparaat waarop het wordt gehost.

  • Een synchronisatietoken opent het eindpunt van het bovenliggende register. Dit is een ander verbonden registereindpunt of het cloudregister zelf. Wanneer het bereik voor toegang tot het cloudregister is bereikt, moet het synchronisatietoken twee registereindpunten bereiken:

    • De volledig gekwalificeerde aanmeldingsservernaam, bijvoorbeeld contoso.azurecr.io. Dit eindpunt wordt gebruikt voor verificatie.
    • Een volledig gekwalificeerde regionale gegevenseindpunt voor het cloudregister, bijvoorbeeld contoso.westus2.data.azurecr.io. Dit eindpunt wordt gebruikt om berichten uit te wisselen met het verbonden register voor synchronisatiedoeleinden.

Volgende stappen

Ga verder met het volgende artikel voor meer informatie over specifieke scenario's waarin verbonden register kan worden gebruikt.

Overzicht: Verbonden register en IoT Edge