你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

配置容器映像以执行部署

本文介绍了如何生成自定义 Bicep 容器映像，以在 Azure 部署环境 (ADE) 中部署环境定义。

本文介绍如何生成自定义 Terraform 容器映像，以在 Azure 部署环境 (ADE) 中部署环境定义。 了解如何配置自定义映像以使用 Terraform 基础结构即代码 (IaC) 框架来预配基础结构。

本文介绍如何利用 Pulumi 在 Azure 部署环境 (ADE) 中进行部署。 了解如何使用 Pulumi 提供的示例映像，或者如何使用 Pulumi 基础结构即代码 (IaC) 框架配置自定义映像来预配基础结构。

ADE 支持扩展性模型，通过该模型，你可以创建可在环境定义中使用的自定义映像。 若要使用此扩展性模型，请创建你自己的自定义映像，并将其存储在容器注册表中，例如 Azure 容器注册表 (ACR) 或 Docker Hub。 然后，可以在环境定义中引用这些映像来部署环境。

环境定义至少包含两个文件：一个模板文件（例如 azuredeploy.json 或 main.bicep）和一个名为 environment.yaml 的清单文件。 ADE 使用容器部署环境定义。

ADE 团队提供了一系列映像来帮助你入门，包括核心映像和 Azure 资源管理器 (ARM)-Bicep 映像。 可以在运行程序映像文件夹中访问这些示例映像。

环境定义至少包含两个文件：一个模板文件（例如 main.tf）和一个名为 environment.yaml 的清单文件。 使用容器部署使用 Terraform 的环境定义。

环境定义至少包括两个文件：一个 Pulumi 项目文件 Pulumi.yaml 和一个名为 environment.yaml 的清单文件。 它还可能包含一个用你喜欢的编程语言（C#、TypeScript、Python 等）编写的用户程序。ADE 使用容器部署环境定义。

先决条件

• 具有活动订阅的 Azure 帐户。 免费创建帐户。
• 在 Azure 订阅中设置的 Azure 部署环境。
  • 若要设置 ADE，请按照快速入门：配置 Azure 部署环境进行操作。

将容器映像与 ADE 配合使用

可以采用以下方法之一将容器映像与 ADE 配合使用：

• 使用示例容器映像：对于简单场景，请使用 ADE 提供的示例 ARM-Bicep 容器映像。
• 创建自定义容器映像：对于较复杂的场景，请创建满足特定要求的自定义容器映像。

使用容器映像时要遵循的主要步骤包括：

1. 选择要使用的映像类型：示例映像或自定义映像。
   • 如果使用自定义映像，请从示例映像开始，然后对其进行自定义以满足你的要求。
2. 生成映像。
3. 将映像上传到一个专用注册表或公共注册表。
4. 配置对注册表的访问权限。
   • 对于公共注册表，请配置匿名拉取。
   • 对于专用注册表，请授予 DevCenter ACR 权限。
5. 将映像位置添加到环境定义中的 runner 参数
6. 部署使用自定义映像的环境。

该过程的第一步是选择要使用的映像类型。 选择相应的选项卡来查看该过程。

使用示例容器映像

使用示例容器映像

ADE 支持 ARM 和 Bicep，无需进行任何额外配置。 你可以通过将模板文件（例如 azuredeploy.json 和 environment.yaml）添加到目录来为部署环境创建用来部署 Azure 资源的环境定义。 然后，ADE 使用示例 ARM-Bicep 容器映像来创建部署环境。

在 environment.yaml 文件中，runner 属性指定要使用的容器映像的位置。 若要使用在 Microsoft 工件注册表上发布的示例映像，请使用相应的标识符 runner。

以下示例演示了引用示例 ARM-Bicep 容器映像的 runner：

    name: WebApp
    version: 1.0.0
    summary: Azure Web App Environment
    description: Deploys a web app in Azure without a datastore
    runner: Bicep
    templatePath: azuredeploy.json

可以在 ARM-Bicep 映像的 Runner-Images 文件夹下的 ADE 示例存储库中看到示例 Bicep 容器映像。

有关如何创建使用 ADE 容器映像部署 Azure 资源的环境定义的详细信息，请参阅添加和配置环境定义。

使用自定义映像配置 Terraform 映像。

使用 Pulumi 提供的示例容器映像

Pulumi 团队提供了一个预生成映像供你开始操作，你可以在 Runner-Image 文件夹中看到它。 此映像在 Pulumi 的 Docker Hub 中作为 pulumi/azure-deployment-environments 公开提供，因此你可以直接从 ADE 环境定义使用它。

下面是利用预生成映像的示例 environment.yaml 文件：

name: SampleDefinition
version: 1.0.0
summary: First Pulumi-Enabled Environment
description: Deploys a Storage Account with Pulumi
runner: pulumi/azure-deployment-environments:0.1.0
templatePath: Pulumi.yaml

可以在 Environments 文件夹中找到一些示例环境定义。

创建自定义映像

创建自定义映像

通过创建自定义容器映像，可以自定义部署来满足你的要求。 你可以基于 ADE 示例映像创建自定义映像。

完成映像自定义后，你必须生成映像并将其推送到容器注册表。

你可以手动生成和推送映像，也可以使用 Microsoft 提供的脚本自动执行该过程。

也可创建存储库分支，通过 Terraform 利用 ADE 的扩展性模型来生成 Terraform 映像并将其推送到提供的 ACR。

你可以通过预安装在示例映像上的 ADE CLI 使用 ADE 示例映像作为基础来生成自定义映像。 若要详细了解 ADE CLI，请参阅 CLI 自定义运行程序映像参考。

本示例介绍如何生成 Docker 映像来利用 ADE 部署并访问 ADE CLI，使你的映像基于 ADE 创作的映像之一。

要创建为 ADE 配置的映像，请执行以下步骤：

1. 创建一个基于示例映像的自定义映像。
2. 安装所需的程序包。
3. 配置操作 shell 脚本。
4. 创建用于部署 ARM 或 Bicep 模板的操作 shell 脚本。

要创建为 ADE 配置的映像，请执行以下步骤：

1. 创建一个基于示例映像的自定义映像。
2. 安装所需的程序包。
3. 配置操作 shell 脚本。
4. 创建使用 Terraform CLI 的操作 shell 脚本。

要创建为 ADE 配置的映像，请执行以下步骤：

1. 创建一个基于示例映像的自定义映像。
2. 安装所需的程序包。
3. 配置操作 shell 脚本。
4. 创建使用 Pulumi CLI 的操作 shell 脚本。

1.创建一个基于示例映像的自定义映像

创建一个 DockerFile，在其中包括一个 FROM 语句，指向 Microsoft 工件注册表上托管的示例映像。

下面是引用示例核心映像的示例 FROM 语句：

FROM mcr.microsoft.com/deployment-environments/runners/core:latest

此语句拉取最近发布的核心映像，并使其成为你的自定义映像的基础。

2.安装所需的程序包

在此步骤中，你将在映像中安装所需的任何程序包，包括 Bicep。 可以使用 RUN 语句通过 Azure CLI 安装 Bicep 包，如以下示例所示：

RUN az bicep install

在此步骤中，你将在映像中安装所需的任何程序包，包括 Terraform。 可以将 Terraform CLI 安装到可执行文件位置，以便在部署和删除脚本中使用它。

下面是安装 Terraform CLI 版本 1.7.5 的过程示例：

RUN wget -O terraform.zip https://releases.hashicorp.com/terraform/1.7.5/terraform_1.7.5_linux_amd64.zip
RUN unzip terraform.zip && rm terraform.zip
RUN mv terraform /usr/bin/terraform

提示

可以从 Hashicorp 版本获取你想要的 Terraform CLI 版本的下载 URL。

可以将 Pulumi CLI 安装到可执行文件位置，以便在部署和删除脚本中使用它。

下面是安装最新版 Pulumi CLI 的过程示例：

RUN apk add curl
RUN curl -fsSL https://get.pulumi.com | sh
ENV PATH="${PATH}:/root/.pulumi/bin"

可能需要安装一个或多个相应的运行时，具体取决于要用于 Pulumi 程序的编程语言。 Python 运行时已在基础映像中提供。

下面是安装 Node.js 和 TypeScript 的示例：

# install node.js, npm, and typescript
RUN apk add nodejs npm
RUN npm install typescript -g

ADE 示例映像基于 Azure CLI 映像，并且预安装了 ADE CLI 和 JQ 包。 可以详细了解 Azure CLI 和 JQ 包。

若要在映像中安装所需的任何其他包，请使用 RUN 语句。

3.配置操作 shell 脚本

在示例映像中，将根据操作名称来确定和执行操作。 目前，支持的两个操作名称是 deploy 和 delete。

若要设置自定义映像以利用此结构，请在名为 scripts 的 Dockerfile 级别指定一个文件夹，然后指定两个文件 deploy.sh 和 delete.sh。deploy shell 脚本在创建或重新部署环境时运行，delete shell 脚本在删除环境时运行。 可以在存储库中 ARM-Bicep 映像的 Runner-Images 文件夹下查看 shell 脚本的示例。

若要确保这些 shell 脚本是可执行的，请将以下行添加到 Dockerfile：

COPY scripts/* /scripts/
RUN find /scripts/ -type f -iname "*.sh" -exec dos2unix '{}' '+'
RUN find /scripts/ -type f -iname "*.sh" -exec chmod +x {} \;

4.创建用于部署 ARM 或 Bicep 模板的操作 shell 脚本

若要确保可以通过 ADE 成功部署 ARM 或 Bicep 基础结构，必须：

1. 将 ADE 参数转换为 ARM 可接受的参数
2. 解决在部署中使用的链接模板
3. 使用特权托管标识执行部署

在核心映像的入口点期间，为当前环境设置的任何参数都存储在变量 $ADE_OPERATION_PARAMETERS 下。 若要将它们转换为 ARM 可接受的参数，则可以使用 JQ 运行以下命令：

# format the parameters as arm parameters
deploymentParameters=$(echo "$ADE_OPERATION_PARAMETERS" | jq --compact-output '{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", "contentVersion": "1.0.0.0", "parameters": (to_entries | if length == 0 then {} else (map( { (.key): { "value": .value } } ) | add) end) }' )

接下来，若要解析基于 ARM JSON 的模板中使用的任何链接模板，可以反编译主模板文件，该文件可解析用于许多 Bicep 模块的所有本地基础结构文件。 然后，将这些模块重新生成回单个 ARM 模板，并将链接模板作为嵌套模板嵌入到主 ARM 模板中。 此步骤仅在部署操作期间是必需的。 可以使用核心映像入口点期间设置的 $ADE_TEMPLATE_FILE 指定主模板文件，应使用重新编译的模板文件重置此变量。 请参阅以下示例：

if [[ $ADE_TEMPLATE_FILE == *.json ]]; then

    hasRelativePath=$( cat $ADE_TEMPLATE_FILE | jq '[.. | objects | select(has("templateLink") and (.templateLink | has("relativePath")))] | any' )

    if [ "$hasRelativePath" = "true" ]; then
        echo "Resolving linked ARM templates"

        bicepTemplate="${ADE_TEMPLATE_FILE/.json/.bicep}"
        generatedTemplate="${ADE_TEMPLATE_FILE/.json/.generated.json}"

        az bicep decompile --file "$ADE_TEMPLATE_FILE"
        az bicep build --file "$bicepTemplate" --outfile "$generatedTemplate"

        # Correctly reassign ADE_TEMPLATE_FILE without the $ prefix during assignment
        ADE_TEMPLATE_FILE="$generatedTemplate"
    fi
fi

若要提供部署在订阅中执行部署和删除资源所需的权限，请使用与 ADE 项目环境类型关联的特权托管标识。 如果部署需要特殊权限才能完成，例如特定角色，请将这些角色分配给项目环境类型的标识。 有时，在进入容器时，托管标识不会立即可用；你可以重试，直到登录成功。

echo "Signing into Azure using MSI"
while true; do
    # managed identity isn't available immediately
    # we need to do retry after a short nap
    az login --identity --allow-no-subscriptions --only-show-errors --output none && {
        echo "Successfully signed into Azure"
        break
    } || sleep 5
done

若要开始部署 ARM 或 Bicep 模板，请运行 az deployment group create 命令。 在容器中运行此命令时，请选择不替代任何过去部署的部署名称，并使用 --no-prompt true 和 --only-show-errors 标志来确保部署不会在出现任何警告或等待用户输入时停止，如以下示例所示：

deploymentName=$(date +"%Y-%m-%d-%H%M%S")
az deployment group create --subscription $ADE_SUBSCRIPTION_ID \
    --resource-group "$ADE_RESOURCE_GROUP_NAME" \
    --name "$deploymentName" \
    --no-prompt true --no-wait \
    --template-file "$ADE_TEMPLATE_FILE" \
    --parameters "$deploymentParameters" \
    --only-show-errors

若要删除环境，请执行完整模式部署并提供一个空 ARM 模板，该模板会移除指定 ADE 资源组中的所有资源，如以下示例所示：

deploymentName=$(date +"%Y-%m-%d-%H%M%S")
az deployment group create --resource-group "$ADE_RESOURCE_GROUP_NAME" \
    --name "$deploymentName" \
    --no-prompt true --no-wait --mode Complete \
    --only-show-errors \
    --template-file "$DIR/empty.json"

可以通过运行以下命令来检查预配状态和详细信息。 ADE 使用一些特殊函数根据预配的详细信息读取和提供其他上下文，你可以在运行程序映像文件夹中找到这些详细信息。 一个简单的实现可能如下所示：

if [ $? -eq 0 ]; then # deployment successfully created
    while true; do

        sleep 1

        ProvisioningState=$(az deployment group show --resource-group "$ADE_RESOURCE_GROUP_NAME" --name "$deploymentName" --query "properties.provisioningState" -o tsv)
        ProvisioningDetails=$(az deployment operation group list --resource-group "$ADE_RESOURCE_GROUP_NAME" --name "$deploymentName")

        echo "$ProvisioningDetails"

        if [[ "CANCELED|FAILED|SUCCEEDED" == *"${ProvisioningState^^}"* ]]; then

            echo -e "\nDeployment $deploymentName: $ProvisioningState"

            if [[ "CANCELED|FAILED" == *"${ProvisioningState^^}"* ]]; then
                exit 11
            else
                break
            fi
        fi
    done
fi

最后，若要查看部署的输出并将其传递给 ADE，以便通过 Azure CLI 访问它们，可以运行以下命令：

deploymentOutput=$(az deployment group show -g "$ADE_RESOURCE_GROUP_NAME" -n "$deploymentName" --query properties.outputs)
if [ -z "$deploymentOutput" ]; then
    deploymentOutput="{}"
fi
echo "{\"outputs\": $deploymentOutput}" > $ADE_OUTPUTS

4.创建使用 Terraform CLI 的操作 shell 脚本

通过 Terraform 部署基础结构分为三个步骤：

1. terraform init - 初始化 Terraform CLI 以在工作目录中执行操作
2. terraform plan - 根据传入的 Terraform 基础结构文件和变量以及任何现有状态文件制定计划，并制定创建或更新 .tf 文件中指定的基础结构所需的步骤
3. terraform apply - 应用计划以在 Azure 中创建新的基础结构或更新现有基础结构

在核心映像的入口点内，任何现有状态文件都被拉取到容器中，目录保存在环境变量 $ADE_STORAGE 下。 此外，为当前环境设置的任何参数都存储在变量 $ADE_OPERATION_PARAMETERS 下。 若要访问现有状态文件并在 .tfvars.json 文件中设置变量，请运行以下命令：

EnvironmentState="$ADE_STORAGE/environment.tfstate"
EnvironmentPlan="/environment.tfplan"
EnvironmentVars="/environment.tfvars.json"

echo "$ADE_OPERATION_PARAMETERS" > $EnvironmentVars

此外，若要利用 ADE 的权限在订阅中部署基础结构，则在使用 Terraform AzureRM 提供程序预配基础结构时，脚本需要使用托管服务标识 (MSI)。 如果你的部署需要特殊权限才能完成部署（例如特定角色），请将这些权限分配给用于环境部署的项目环境类型的标识。 ADE 设置相关的环境变量，例如核心映像入口点内的客户端、租户和订阅 ID，因此请运行以下命令以确保提供程序使用 ADE 的 MSI：

export ARM_USE_MSI=true
export ARM_CLIENT_ID=$ADE_CLIENT_ID
export ARM_TENANT_ID=$ADE_TENANT_ID
export ARM_SUBSCRIPTION_ID=$ADE_SUBSCRIPTION_ID

如果要在模板中引用其他变量但并未在环境参数中指定这些变量，请使用前缀 TF_VAR 设置环境变量。 Azure 部署环境 CLI 变量参考中提供了提供的 ADE 环境变量的列表。 这些命令的示例如下：

export TF_VAR_resource_group_name=$ADE_RESOURCE_GROUP_NAME
export TF_VAR_ade_env_name=$ADE_ENVIRONMENT_NAME
export TF_VAR_env_name=$ADE_ENVIRONMENT_NAME
export TF_VAR_ade_subscription=$ADE_SUBSCRIPTION_ID
export TF_VAR_ade_location=$ADE_ENVIRONMENT_LOCATION
export TF_VAR_ade_environment_type=$ADE_ENVIRONMENT_TYPE

现在，可以运行前面列出的步骤来初始化 Terraform CLI，生成基础结构预配计划，并在部署脚本期间应用计划：

terraform init
terraform plan -no-color -compact-warnings -refresh=true -lock=true -state=$EnvironmentState -out=$EnvironmentPlan -var-file="$EnvironmentVars"
terraform apply -no-color -compact-warnings -auto-approve -lock=true -state=$EnvironmentState $EnvironmentPlan

在删除脚本中，可以将 destroy 标志添加到计划生成部分以删除现有资源，如以下示例中所示：

terraform init
terraform plan -no-color -compact-warnings -destroy -refresh=true -lock=true -state=$EnvironmentState -out=$EnvironmentPlan -var-file="$EnvironmentVars"
terraform apply -no-color -compact-warnings -auto-approve -lock=true -state=$EnvironmentState $EnvironmentPlan

最后，若要在通过 Azure CLI 访问环境时上传并访问部署的输出，请通过 JQ 包将输出对象从 Terraform 转换为 ADE 指定的格式。 设置 $ADE_OUTPUTS 环境变量的值，如以下示例中所示：

tfOutputs=$(terraform output -state=$EnvironmentState -json)
# Convert Terraform output format to ADE format.
tfOutputs=$(jq 'walk(if type == "object" then 
            if .type == "bool" then .type = "boolean" 
            elif .type == "list" then .type = "array" 
            elif .type == "map" then .type = "object" 
            elif .type == "set" then .type = "array" 
            elif (.type | type) == "array" then 
                if .type[0] == "tuple" then .type = "array" 
                elif .type[0] == "object" then .type = "object" 
                elif .type[0] == "set" then .type = "array" 
                else . 
                end 
            else . 
            end 
        else . 
        end)' <<< "$tfOutputs")

echo "{\"outputs\": $tfOutputs}" > $ADE_OUTPUTS

通过 Pulumi 部署基础结构有四个步骤：

1. pulumi login - 连接到本地文件系统或 Pulumi Cloud 中的状态存储
2. pulumi stack select - 创建或选择要用于特定环境的堆栈
3. pulumi config set - 将部署参数作为 Pulumi 配置值传递
4. pulumi up - 运行部署以在 Azure 中创建新的基础结构或更新现有基础结构

在核心映像的入口点内，任何现有本地状态文件都被拉取到容器中，目录保存在环境变量 $ADE_STORAGE 下。 若要访问现有状态文件，请运行以下命令：

mkdir -p $ADE_STORAGE
export PULUMI_CONFIG_PASSPHRASE=
pulumi login file://$ADE_STORAGE

若要改为登录到 Pulumi Cloud，请将 Pulumi 访问令牌设置为环境变量，并运行以下命令：

export PULUMI_ACCESS_TOKEN=YOUR_PULUMI_ACCESS_TOKEN
pulumi login

为当前环境设置的任何参数都存储在变量 $ADE_OPERATION_PARAMETERS 下。 此外，所选的 Azure 区域和资源组名称分别通过 ADE_ENVIRONMENT_LOCATION 和 ADE_RESOURCE_GROUP_NAME 传递。 若要设置 Pulumi 堆栈配置，请运行以下命令：

# Create or select the stack for the current environment
pulumi stack select $ADE_ENVIRONMENT_NAME --create

# Store configuration values in durable storage
export PULUMI_CONFIG_FILE=$ADE_STORAGE/Pulumi.$ADE_ENVIRONMENT_NAME.yaml

# Set the Pulumi stack config
pulumi config set azure-native:location $ADE_ENVIRONMENT_LOCATION --config-file $PULUMI_CONFIG_FILE
pulumi config set resource-group-name $ADE_RESOURCE_GROUP_NAME --config-file $PULUMI_CONFIG_FILE
echo "$ADE_OPERATION_PARAMETERS" | jq -r 'to_entries|.[]|[.key, .value] | @tsv' |
  while IFS=$'\t' read -r key value; do
    pulumi config set $key $value --config-file $PULUMI_CONFIG_FILE
  done

此外，若要利用 ADE 权限在订阅中部署基础结构，则在使用 Pulumi Azure Native 或 Azure Classic 提供程序预配基础结构时，脚本需要使用 ADE 托管服务标识 (MSI)。 如果你的部署需要特殊权限才能完成部署（例如特定角色），请将这些权限分配给用于环境部署的项目环境类型的标识。 ADE 设置相关的环境变量，例如核心映像入口点内的客户端、租户和订阅 ID，因此运行以下命令以确保提供程序使用 ADE MSI：

export ARM_USE_MSI=true
export ARM_CLIENT_ID=$ADE_CLIENT_ID
export ARM_TENANT_ID=$ADE_TENANT_ID
export ARM_SUBSCRIPTION_ID=$ADE_SUBSCRIPTION_ID

现在，可以运行 pulumi up 命令来执行部署：

pulumi up --refresh --yes --config-file $PULUMI_CONFIG_FILE

在删除脚本期间，可以改为运行 destroy 命令，如以下示例所示：

pulumi destroy --refresh --yes --config-file $PULUMI_CONFIG_FILE

最后，若要在通过 Azure CLI 访问环境时上传并访问部署的输出，请通过 JQ 包将输出对象从 Pulumi 转换为 ADE 指定的格式。 设置 $ADE_OUTPUTS 环境变量的值，如以下示例中所示：

stackout=$(pulumi stack output --json | jq -r 'to_entries|.[]|{(.key): {type: "string", value: (.value)}}')
echo "{\"outputs\": ${stackout:-{\}}}" > $ADE_OUTPUTS

生成映像

你可以使用 Docker CLI 构建你的映像。 确保计算机上已安装 Docker 引擎。 然后，导航到 Dockerfile 的目录并运行以下命令：

docker build . -t {YOUR_REGISTRY}.azurecr.io/{YOUR_REPOSITORY}:{YOUR_TAG}

例如，如果要将映像保存在名为 customImage 的注册表中的存储库下，并使用 1.0.0 的标记版本进行上传，请运行：

docker build . -t {YOUR_REGISTRY}.azurecr.io/customImage:1.0.0

使自定义映像可供 ADE 使用

为了使用自定义映像，需要将它们存储在容器注册表中。 你可以使用公共容器注册表，也可以使用专用容器注册表。 强烈建议使用 Azure 容器注册表 (ACR)，由于它与 ADE 紧密集成，因此可以发布映像，但不允许进行公共匿名拉取访问。 必须生成自定义容器映像并将其推送到容器注册表，才能在 ADE 中使用它。

也可以将映像存储在另一个容器注册表（例如 Docker Hub 容器注册表）中，但这种情况下它需要可供公开访问。

注意

将容器映像存储在具有匿名（未经身份验证）拉取访问权限的注册表中，会使其可公开访问。 如果映像中包含任何敏感信息，请不要这样做。 相反，请将其存储在禁用了匿名拉取访问的 Azure 容器注册表 (ACR) 中。

若要使用存储在 ACR 中的自定义映像，需确保 ADE 具有访问映像的相应权限。 创建 ACR 实例时，默认情况下它是安全的，并且仅允许经过身份验证的用户访问。

可以使用 Pulumi 创建 Azure 容器注册表并将映像发布到该注册表。 有关在 Azure 帐户中创建所有所需资源的自包含 Pulumi 项目，请参阅预配/自定义映像示例。

请选择相应的选项卡来了解有关每种方法的详细信息。

专用注册表

使用具有安全访问权限的专用注册表

默认情况下，只有已经过身份验证的用户才拥有从 Azure 容器注册表拉取或推送内容的访问权限。 可以通过限制来自某些网络的访问并分配特定角色来进一步保护对 ACR 的访问。

若要通过 Azure CLI、Azure 门户、PowerShell 命令等创建 ACR 的实例，请遵循相应的快速入门。

限制网络访问

为了保护对 ACR 的网络访问，可以限制对你自己的网络的访问，或者完全禁用公用网络访问。 如果限制网络访问，则必须启用防火墙例外“允许受信任的 Microsoft 服务访问此容器注册表”。

若要禁用从公用网络进行的访问，请执行以下操作：

1. 创建 ACR 实例或使用现有实例。

2. 在 Azure 门户中，转到要配置的 ACR。

3. 在左侧菜单上的“设置”下，选择“网络”。

4. 在“网络”页的“公共访问”选项卡的“公用网络访问”下选择“禁用”。

   

5. 在“防火墙例外”下，检查是否已选中“允许受信任的 Microsoft 服务访问此容器注册表”，然后选择“保存”。

   

分配 AcrPull 角色

使用容器映像创建环境的操作使用 ADE 基础结构，其中包括项目和环境类型。 每个项目都有一个或多个项目环境类型，这些项目环境类型需要对容器映像（用于定义要部署的环境）的读取访问权限。 为了安全地访问 ACR 中的映像，请将 AcrPull 角色分配给每个项目环境类型。

若要将 AcrPull 角色分配给项目环境类型，请执行以下操作：

1. 在 Azure 门户中，转到要配置的 ACR。

2. 在左侧菜单中，选择“访问控制 (IAM)”。

3. 选择“添加”>“添加角色分配”。

4. 分配以下角色。 有关详细步骤，请参阅使用 Azure 门户分配 Azure 角色。

   设置	值
   角色	选择“AcrPull”。
   将访问权限分配到	选择“用户、组或服务主体”。
   成员	输入需要访问容器中映像的项目环境类型的名称。

   项目环境类型如下例所示：

   

在此配置中，ADE 使用 PET 的托管标识，无论该标识是系统分配的还是用户分配的。

提示

必须针对每种项目环境类型进行此角色分配。 它可以通过 Azure CLI 自动完成。

准备好将映像推送到注册表后，请运行以下命令：

docker push {YOUR_REGISTRY}.azurecr.io/{YOUR_IMAGE_LOCATION}:{YOUR_TAG}

公共注册表

将公共注册表与匿名拉取配合使用

若要将注册表设置为启用匿名映像拉取，请在 Azure CLI 中运行以下命令：

az login
az acr login -n {YOUR_REGISTRY}
az acr update -n {YOUR_REGISTRY} --public-network-enabled true
az acr update -n {YOUR_REGISTRY} --anonymous-pull-enabled true

准备好将映像推送到注册表后，请运行以下命令：

docker push {YOUR_REGISTRY}.azurecr.io/{YOUR_IMAGE_LOCATION}:{YOUR_TAG}

使用脚本生成容器映像

你可以使用脚本生成自定义映像并将其推送到指定的容器注册表，而不是自己生成并将其推送到容器注册表。

Microsoft 提供了一个快速入门脚本，可帮助你生成自定义映像并将其推送到注册表。 该脚本生成映像并将其推送到存储库 ade 下的指定 Azure 容器注册表 (ACR) 和标记 latest。

若要使用该脚本，必须：

1. 创建 Dockerfile 和脚本文件夹以支持 ADE 扩展性模型。
2. 为自定义映像提供注册表名称和目录。
3. 安装 Azure CLI 和 Docker Desktop，并在 PATH 变量中进行安装。
4. 使 Docker Desktop 保持运行。
5. 有权推送到指定的注册表。

可以在此处查看脚本。

可以在 PowerShell 中使用以下命令调用脚本：

.\quickstart-image-build.ps1 -Registry '{YOUR_REGISTRY}' -Directory '{DIRECTORY_TO_YOUR_IMAGE}'

此外，如果要推送到特定的存储库和标记名称，可以运行：

.\quickstart-image.build.ps1 -Registry '{YOUR_REGISTRY}' -Directory '{DIRECTORY_TO_YOUR_IMAGE}' -Repository '{YOUR_REPOSITORY}' -Tag '{YOUR_TAG}'

将映像连接到环境定义

创作环境定义以在其部署中使用自定义映像时，请编辑清单文件（environment.yaml 或 manifest.yaml）上的 runner 属性。

runner: "{YOUR_REGISTRY}.azurecr.io/{YOUR_REPOSITORY}:{YOUR_TAG}"

若要详细了解如何创建使用 ADE 容器映像部署 Azure 资源的环境定义，请参阅添加和配置环境定义。

相关内容

• ADE CLI 自定义运行程序映像参考
• ADE CLI 变量参考

• Pulumi 的 azure-deployment-environments 存储库