Azure Container Registry 的服務標籤
服務標籤可協助設定規則,以允許或拒絕特定 Azure 服務的流量。 在 Azure Container Registry 中,服務標籤代表一組 IP 位址首碼,可用來全域或依 Azure 區域存取服務。 Azure Container Registry 會產生源自服務標籤的網路流量,以取得映像匯入、Webhook 和 Azure Container Registry 工作等功能。
Microsoft 會管理服務標籤所包含的位址首碼。 Microsoft 會隨著位址變更自動更新服務標籤,以將網路安全性規則頻繁更新的複雜度降到最低。
當您設定登錄的防火牆時,Azure Container Registry 會為其服務標籤的 IP 位址提供要求。 針對防火牆存取規則中所述的案例,您可以設定防火牆輸出規則,以允許存取服務標籤的 Azure Container Registry IP 位址。
映像匯入
Azure Container Registry 會透過服務標籤 IP 位址將要求傳送至外部登錄服務,以下載映像。 如果外部登錄服務在防火牆後方執行,則需要輸入規則來允許服務標籤的 IP 位址。 這些 IP 屬於 AzureContainerRegistry
服務標籤,其中包含從公用或 Azure 登錄匯入映像所需的 IP 範圍。
Azure 可確保這些 IP 範圍會自動更新。 建立此安全性通訊協議對於維護登錄的完整性並確保其可用性至關重要。
若要設定網路安全性規則,並允許來自 AzureContainerRegistry
服務標籤的流量在 Azure Container Registry 中匯入映像,請參閱關於登錄端點。 如需如何在映像匯入期間使用服務標籤的詳細步驟和指導,請參閱將容器映像匯入容器登錄。
Webhooks
在 Azure Container Registry 中,您會使用服務標籤來管理 Webhook 等功能的網路流量,以確保只有受信任的來源可以觸發這些事件。 當您在 Azure Container Registry 中設定 Webhook 時,它可以回應登錄層級的事件,或限定在特定存放庫標籤的範圍內。 針對異地複寫登錄,您需要設定每個 Webhook 來回應特定區域複本中的事件。
Webhook 的端點必須可從登錄公開存取。 您可以設定登錄 Webhook 要求,以向受保護的端點進行驗證。
Azure Container Registry 會透過服務標籤的 IP 位址,將要求傳送至已設定的 Webhook 端點。 如果 Webhook 端點在防火牆後方執行,則需要輸入規則來允許這些 IP 位址。 若要協助保護 Webhook 端點存取,您也必須設定適當的驗證來驗證要求。
如需建立 Webhook 設定的詳細步驟,請參閱 Azure Container Registry 文件。
Azure Container Registry 工作
當您使用 Azure Container Registry 工作時,例如當您建置容器映像或自動化工作流程時,服務標籤代表 Azure Container Registry 所使用的 IP 位址首碼群組。
在工作執行期間,Azure Container Registry 會透過服務標籤的 IP 位址,將要求傳送至外部資源。 如果外部資源在防火牆後方執行,則需要輸入規則來允許這些 IP 位址。 套用這些輸入規則是協助確保雲端環境中安全性和適當存取管理的常見做法。
若要深入了解 Azure Container Registry 工作,請參閱使用 Azure Container Registry 工作將容器映像建置和維護自動化。 若要了解如何使用服務標籤來設定 Azure Container Registry 工作的防火牆存取規則,請參閱設定規則以存取防火牆後方的 Azure Container Registry。
最佳作法
設定和自訂網路安全性規則,以允許來自
AzureContainerRegistry
服務標籤的流量,例如映像匯入、Webhook 和 Azure Container Registry 工作,例如連接埠號碼和通訊協定。設定防火牆規則,只針對每項功能允許與 Azure Container Registry 服務標籤相關聯的 IP 範圍流量。
偵測並防止非來自服務標籤之 Azure Container Registry IP 位址的未經授權流量。
使用 Azure 監視器或網路監看員持續監視網路流量,並定期檢閱安全性設定,以解決每個 Azure Container Registry 功能的未預期流量。