Поделиться через

Общие сведения о доступе к подключенному реестру

  • Статья

Для доступа к подключенному реестру и управления им в настоящее время поддерживается только проверка подлинности на основе токенов для реестра контейнеров. Как показано на следующем рисунке, для каждого подключенного реестра используются два разных типа токенов:

  • Токены клиента — один или несколько токенов, которые используются локальными клиентами для проверки подлинности в подключенном реестре и отправки или извлечения изображений и артефактов в него или из него.
  • Токен синхронизации — токен, используемый каждым подключенным реестром для доступа к родительскому элементу и синхронизации содержимого.

Предварительный просмотр для проверки подлинности в подключенном реестре

Внимание

Храните пароли токенов для каждого подключенного реестра в надежном расположении. Получить пароли токенов после создания нельзя. Пароли токенов можно повторно создать в любое время.

Токены клиента

Для управления доступом клиентов к подключенному реестру создаются токены, действующие только в одном или нескольких репозиториях. После создания токена настройте подключенный реестр для приема этого токена с помощью команды az acr connected-registry update. Затем клиент может использовать учетные данные токена для доступа к конечной точке реестра (например, с помощью команд CLI Docker извлекать образы из подключенного реестра или отправлять их туда).

Возможности настройки операций с токеном клиента зависят от того, допускает ли подключенный реестр операции извлечения и отправки либо функционирует в качестве зеркальной базы данных только для извлечения.

  • Подключенный реестр в режиме ReadWrite по умолчанию позволяет выполнять операции извлечения и отправки, поэтому можно создать токен, позволяющий выполнять операции чтения и записи содержимого репозитория в этом реестре.
  • Для подключенного реестра в режиме ReadOnly токены клиента могут разрешать только операции считывания из репозитория.

Управление токенами клиента

Обновляйте токены клиента, пароли или карты области действия по мере необходимости с помощью команд az acr token и az acr scope-map. Обновления токенов клиента автоматически применяются к подключенным реестрам, которые принимают токен.

Токен синхронизации

Каждый подключенный реестр использует токен синхронизации для проверки подлинности на своем непосредственном родительском объекте, который может быть другим подключенным реестром или облачным реестром. Подключенный реестр автоматически использует этот токен при синхронизации содержимого с родительским объектом или выполнении других обновлений.

  • Токен синхронизации и пароли создаются автоматически при создании ресурса подключенного реестра. Чтобы повторно создать пароли, выполните команду az acr connected-registry install renew-credentials.
  • Включите учетные данные токена синхронизации в конфигурацию, используемую для развертывания подключенного локального реестра.
  • По умолчанию токену синхронизации предоставляется разрешение на синхронизацию выбранных репозиториев с родительским объектом. При создании ресурса подключенного реестра необходимо указать существующий токен синхронизации или один или несколько репозиториев для синхронизации.
  • У него также есть разрешения на чтение и запись сообщений синхронизации в шлюзе, который используется для связи с родительским реестром подключенного реестра. Эти сообщения управляют расписанием синхронизации и другими обновлениями между подключенным реестром и его родительским объектом.

Управление токеном синхронизации

Обновляйте токены синхронизации, пароли или карты области действия по мере необходимости с помощью команд az acr token и az acr scope-map. Обновления токенов синхронизации автоматически применяются к подключенному реестру. При обновлении токена синхронизации следуйте стандартным рекомендациям по смене паролей.

Примечание.

Токен синхронизации нельзя удалить, пока не будет удален связанный с ним подключенный реестр. Вы можете отключить подключенный реестр, установив для него состояние токена синхронизации disabled.

Конечные точки реестра

Учетные данные токена для подключенных реестров предназначены для доступа к определенным конечным точкам реестра:

  • Токен клиента обращается к конечной точке подключенного реестра. Конечная точка подключенного реестра — это URI сервера входа, который обычно является IP-адресом сервера или устройства, на котором тот размещен.

  • Токен синхронизации обращается к конечной точке родительского реестра, который является либо еще одной конечной точкой подключенного реестра, либо непосредственно облачным реестром. Токену синхронизации, предназначенному для доступа к облачному реестру, должны быть доступны две конечные точки этого реестра:

    • Полное имя сервера для входа, например contoso.azurecr.io. Эта конечная точка используется для проверки подлинности.
    • Полное имя региональной конечной точки данных для облачного реестра, например contoso.westus2.data.azurecr.io. Эта конечная точка используется для обмена сообщениями с подключенным реестром в целях синхронизации.

Следующие шаги

Переходите к следующей статье, чтобы узнать о конкретных сценариях, в которых можно использовать подключенный реестр.

Обзор: подключенный реестр и IoT Edge