السماح للخدمات الموثوقة بالوصول بأمان إلى سجل حاوية مقيد بالشبكة

يمكن أن يسمح Azure Container Registry بتحديد خدمات Azure الموثوقة للوصول إلى السجل الذي تم تكوينه باستخدام قواعد الوصول إلى الشبكة. عند السماح بالخدمات الموثوقة، يمكن لمثيل خدمة موثوق به تجاوز قواعد شبكة السجل بأمان وإجراء عمليات مثل سحب الصور أو دفعها. تشرح هذه المقالة كيفية تمكين واستخدام الخدمات الموثوقة من خلال سجل حاوية Azure المقيد بالشبكة.

استخدم Azure Cloud Shell أو تثبيت محلي لـ Azure CLI لتشغيل أمثلة الأوامر في هذه المقالة. إذا كنت ترغب في استخدامه محليًا، فالمطلوب الإصدار 2.18 أوأحدث. قم بتشغيل az --version للعثور على الإصدار. إذا كنت بحاجة إلى التثبيت أو الترقية، فراجع تثبيت Azure CLI.

التقييدات

• تتطلب بعض سيناريوهات الوصول إلى السجل مع الخدمات الموثوقة هوية مدارة لموارد Azure. باستثناء الحالات التي لوحظ فيها أن الهوية المدارة المعينة من قبل المستخدم مدعومة، يمكن استخدام هوية معينة من قبل النظام فقط.
• لا ينطبق السماح بالخدمات الموثوقة على سجل حاوية تمت تهيئته باستخدام نقطة نهاية خدمة . تؤثر الميزة فقط على السجلات المقيدة بنقطة نهاية خاصة أو التي تطبق قواعد وصول IP العامة .

حول الخدمات الموثوقة

يحتوي Azure Container Registry على نموذج أمان متعدد الطبقات، يدعم تكوينات متعددة للشبكات تقيد الوصول إلى السجل، بما في ذلك:

• نقطة نهاية خاصة مع رابط Azure الخاص . عند التهيئة، لا يمكن الوصول إلى نقطة النهاية الخاصة للسجل إلا من خلال الموارد الموجودة داخل الشبكة الافتراضية، باستخدام عناوين IP الخاصة.
• قواعد جدار حماية التسجيل ، والتي تسمح بالوصول إلى نقطة النهاية العامة للسجل فقط من عناوين IP أو نطاقات عناوين عامة محددة. يمكنك أيضًا تكوين جدار الحماية لمنع الوصول الكامل إلى نقطة النهاية العامة عند استخدام نقاط النهاية الخاصة.

عند النشر في شبكة افتراضية أو تكوينه باستخدام قواعد جدار الحماية، يرفض السجل الوصول إلى المستخدمين أو الخدمات من خارج تلك المصادر.

تعمل العديد من خدمات Azure متعددة المستأجرين من شبكات لا يمكن تضمينها في إعدادات شبكة التسجيل هذه، مما يمنعهم من إجراء عمليات مثل سحب الصور أو دفعها إلى السجل. من خلال تعيين مثيلات خدمة معينة على أنها "موثوقة" ، يمكن لمالك السجل السماح بتحديد موارد Azure لتجاوز إعدادات شبكة السجل بأمان لإجراء عمليات التسجيل.

خدمات موثوقة

يمكن لمثيلات الخدمات التالية الوصول إلى سجل حاوية مقيد بالشبكة إذا تم تمكين إعداد السجل السماح بالخدمات الموثوقة (الافتراضي). سيتم إضافة المزيد من الخدمات بمرور الوقت.

عند الإشارة إلى ذلك، يتطلب الوصول بواسطة الخدمة الموثوقة تكوينًا إضافيًا لهوية مُدارة في مثيل الخدمة، وتعيين دور RBAC، والمصادقة مع السجل. على سبيل المثال للخطوات، راجع سير عمل الخدمات الموثوقة، لاحقًا في هذه المقالة.

خدمة موثوقة	سيناريوهات الاستخدام المدعومة	تكوين الهوية المدارة مع دور RBAC
⁧⁧⁩⁩⁩مثيلات حاويات Azure⁦⁧⁩⁩	التوزيع إلى مثيلات حاوية Azure من Azure Container Registry باستخدام هوية مدارة	نعم، إما هوية معينة من قبل النظام أو من قبل المستخدم
Microsoft Defender للسحابة	فحص الثغرات الأمنية بواسطة Microsoft Defender لسجلات الحاويات	لا
مهام ACR	الوصول إلى السجل الأصلي أو سجل مختلف من مهمة ACR	نعم
التعلّم الآلي	انشر نموذجًا أو تدريبه في مساحة عمل التعلم الآلي باستخدام صورة حاوية Docker مخصصة	نعم
Azure Container Registry	استيراد الصور إلى أو من سجل حاوية Azure المقيد بالشبكة	لا

ملاحظة

لا ينطبق حاليًا تمكين إعداد السماح بالخدمات الموثوقة على App Service.

السماح بالخدمات الموثوقة - CLI

بشكل افتراضي، يتم تمكين إعداد السماح بالخدمات الموثوقة في سجل حاوية Azure جديد. قم بتعطيل أو تمكين الإعداد عن طريق تشغيل الأمر az acr update .

لتعطيل:

az acr update --name myregistry --allow-trusted-services false

لتمكين الإعداد في سجل موجود أو سجل تم تعطيله فيه بالفعل:

az acr update --name myregistry --allow-trusted-services true

السماح للخدمات الموثوقة - البوابة

بشكل افتراضي، يتم تمكين إعداد السماح بالخدمات الموثوقة في سجل حاوية Azure جديد.

لتعطيل أو إعادة تمكين الإعداد في البوابة الإلكترونية:

1. في البوابة الإلكترونية، انتقل إلى سجل الحاوية خاصتك.
2. ضمن الإعدادات، حدد شبكة.
3. في السماح بالوصول إلى الشبكة العامة، حدد الشبكات المحددة أو معطلة.
4. قم بتنفيذ أحد الإجراءات الآتية:
   • لتعطيل وصول الخدمات الموثوقة، ضمناستثناء جدار الحماية، ألغِ تحديد السماح لخدمات Microsoft الموثوقة بالوصول إلى سجل الحاوية هذا.
   • للسماح بالخدمات الموثوقة، ضمن استثناء جدار الحماية ، حدد السماح لخدمات Microsoft الموثوقة بالوصول إلى سجل الحاوية هذا.
5. حدد ⁧⁩حفظ⁧⁩.

سير عمل الخدمات الموثوقة

فيما يلي سير عمل نموذجي لتمكين مثيل خدمة موثوق بها للوصول إلى سجل حاوية مقيد بالشبكة. يكون سير العمل هذا مطلوبًا عند استخدام الهوية المُدارة لمثيل الخدمة لتجاوز قواعد شبكة السجل.

1. تمكين هوية مُدارة في مثيل لإحدى الخدمات الموثوقة لـ Azure Container Registry.
2. عيّن الهوية دور Azure إلى السجل خاصتك. على سبيل المثال، قم بتعيين دور ACRPull لسحب صور الحاوية.
3. في السجل المقيد بالشبكة، قم بتكوين الإعداد للسماح بوصول الخدمات الموثوقة.
4. استخدم بيانات اعتماد الهوية للمصادقة مع السجل المقيد على الشبكة.
5. اسحب الصور من التسجيل، أو نفذ العمليات الأخرى التي يسمح بها الدور.

مثال: مهام ACR

يوضح المثال التالي استخدام مهام ACR كخدمة موثوقة. راجع المصادقة عبر السجلات في مهمة ACR باستخدام هوية مُدارة من Azure للحصول على تفاصيل المهمة.

1. قم بإنشاء أو تحديث سجل حاوية Azure. أنشئ مهمة ACR.
   • قم بتمكين الهوية المُدارة المخصصة للنظام عند إنشاء المهمة.
   • تعطيل وضع المصادقة الافتراضي (--auth-mode None) للمهمة.
2. قم بتعيين معرف المهمة دور Azure للوصول إلى التسجيل . على سبيل المثال، قم بتعيين دور AcrPush، الذي لديه أذونات لسحب الصور ودفعها.
3. أضف بيانات اعتماد الهوية المُدارة للتسجيل إلى المهمة.
4. للتأكد من أن المهمة تتجاوز قيود الشبكة، قم بتعطيل الوصول العام في السجل.
5. شغل المهمة. إذا تم تكوين السجل والمهمة بشكل صحيح، يتم تشغيل المهمة بنجاح، لأن السجل يسمح بالوصول.

لاختبار تعطيل الوصول عن طريق الخدمات الموثوقة:

1. قم بتعطيل الإعداد للسماح بوصول الخدمات الموثوقة.
2. شغل المهمة مرة أخرى. في هذه الحالة، يفشل تشغيل المهمة، لأن السجل لم يعد يسمح بالوصول عن طريق المهمة.

الخطوات التالية

• لتقييد الوصول إلى سجل باستخدام نقطة نهاية خاصة في شبكة افتراضية، راجع تكوين ارتباط Azure الخاص لسجل حاوية Azure.
• لإعداد قواعد جدار حماية التسجيل، راجع تكوين قواعد شبكة IP العامة.