Uzamknutí image kontejneru v registru kontejneru Azure

  • Článek

V registru kontejneru Azure můžete uzamknout verzi image nebo úložiště, aby je nebylo možné odstranit nebo aktualizovat. Pokud chcete uzamknout image nebo úložiště, aktualizujte její atributy pomocí příkazu Azure CLI az acr repository update.

Tento článek vyžaduje spuštění Azure CLI v Azure Cloud Shell nebo místně (doporučuje se verze 2.0.55 nebo novější). Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.

Důležité

Tento článek se nevztahuje na uzamčení celého registru, například pomocí zámků nastavení > v Azure Portal nebo az lock příkazů v Azure CLI. Uzamčení prostředku registru vám nebrání ve vytváření, aktualizaci nebo odstraňování dat v úložištích. Uzamčení registru má vliv pouze na operace správy, jako je přidání nebo odstranění replikace nebo odstranění samotného registru. Další informace najdete v tématu Zamknutí prostředků, aby se zabránilo neočekávaným změnám.

Scénáře

Ve výchozím nastavení je označená image v Azure Container Registry měnitelná, takže s odpovídajícími oprávněními můžete opakovaně aktualizovat a odeslat image se stejnou značkou do registru. Image kontejnerů je také možné podle potřeby odstranit . Toto chování je užitečné při vývoji imagí a potřebujete zachovat velikost registru.

Když ale nasadíte image kontejneru do produkčního prostředí, možná budete potřebovat neměnnou image kontejneru. Neměnná image je ta, kterou nemůžete omylem odstranit nebo přepsat.

Strategie označování a verzí imagí v registru najdete v tématu Doporučení pro označování a správu verzí imagí kontejnerů.

Pomocí příkazu az acr repository update nastavte atributy úložiště, abyste mohli:

  • Uzamčení verze image nebo celého úložiště

  • Ochrana verze image nebo úložiště před odstraněním, ale povolení aktualizací

  • Zabránění operacím čtení (přijetí změn) u verze image nebo celého úložiště

Příklady najdete v následujících částech.

Uzamčení image nebo úložiště

Zobrazení aktuálních atributů úložiště

Pokud chcete zobrazit aktuální atributy úložiště, spusťte následující příkaz az acr repository show :

az acr repository show \
    --name myregistry --repository myrepo \
    --output jsonc

Zobrazení atributů aktuálního obrázku

Pokud chcete zobrazit aktuální atributy značky, spusťte následující příkaz az acr repository show :

az acr repository show \
    --name myregistry --image myrepo:tag \
    --output jsonc

Uzamknutí obrázku podle značky

Pokud chcete uzamknout image myrepo:tag v myregistry, spusťte následující příkaz az acr repository update :

az acr repository update \
    --name myregistry --image myrepo:tag \
    --write-enabled false

Uzamčení obrázku pomocí přehledu manifestu

Pokud chcete uzamknout image myrepo identifikovanou hodnotou hash manifestu (hash SHA-256, reprezentovaná jako sha256:...), spusťte následující příkaz. (Pokud chcete najít přehled manifestu přidružený k jedné nebo více značkách image, spusťte příkaz az acr manifest list-metadata .)

az acr repository update \
    --name myregistry --image myrepo@sha256:123456abcdefg \
    --write-enabled false

Uzamčení úložiště

Pokud chcete uzamknout úložiště myrepo a všechny image v něm, spusťte následující příkaz:

az acr repository update \
    --name myregistry --repository myrepo \
    --write-enabled false

Výpis aktuálních atributů úložiště

Pokud chcete aktualizovat atributy úložiště tak, aby označily výpis zámku image, spusťte příkaz az acr repository update .

az acr repository update \
    --name myregistry --repository myrepo \ 
    --list-enabled false

Zobrazení atributů obrázku na zámku obrázku

Pokud se chcete dotazovat na značky zámku image s povoleným --list-enabled false atributem , spusťte příkaz az acr repository show .

az acr repository show-manifests \
    --name myregistry --repository myrepo \
    --query "[?listEnabled==null].tags" 
    --output table

Zkontrolujte atributy obrázku pro značku a její odpovídající manifest.

Poznámka

  • Měnitelné atributy značek a manifestu se spravují samostatně. To znamená, že nastavení atributu deleteEnabled=false pro značku nenastaví totéž pro odpovídající manifest.
  • Zadejte dotaz na atributy pomocí následujícího skriptu:
registry="myregistry"
repo="myrepo"
tag="mytag"

az login
az acr repository show -n $registry --repository $repo
az acr manifest show-metadata -r $registry -n "$repo:$tag"
digest=$(az acr manifest show-metadata -r $registry -n "$repo:$tag" --query digest -o tsv)
az acr manifest show-metadata -r $registry -n "$repo@$digest"

Poznámka

Pokud jsou atributy image nastavené na writeEnabled=false nebo deleteEnabled=false, zablokuje odstranění image.

Ochrana image nebo úložiště před odstraněním

Ochrana obrázku před odstraněním

Pokud chcete, aby se image myrepo:tag aktualizovala, ale neodstranila, spusťte následující příkaz:

az acr repository update \
    --name myregistry --image myrepo:tag \
    --delete-enabled false --write-enabled true

Ochrana úložiště před odstraněním

Následující příkaz nastaví úložiště myrepo , aby ho nebylo možné odstranit. Jednotlivé image se dají dál aktualizovat nebo odstranit.

az acr repository update \
    --name myregistry --repository myrepo \
    --delete-enabled false --write-enabled true

Zabránění operacím čtení v imagi nebo úložišti

Pokud chcete zabránit operacím čtení (vyžádání) u image myrepo:tag , spusťte následující příkaz:

az acr repository update \
    --name myregistry --image myrepo:tag \
    --read-enabled false

Pokud chcete zabránit operacím čtení u všech imagí v úložišti myrepo , spusťte následující příkaz:

az acr repository update \
    --name myregistry --repository myrepo \
    --read-enabled false

Odemknutí image nebo úložiště

Pokud chcete obnovit výchozí chování image myrepo:tag , aby ji bylo možné odstranit a aktualizovat, spusťte následující příkaz:

az acr repository update \
    --name myregistry --image myrepo:tag \
    --delete-enabled true --write-enabled true

Pokud chcete obnovit výchozí chování úložiště myrepo a všech imagí, aby je bylo možné odstranit a aktualizovat, spusťte následující příkaz:

az acr repository update \
    --name myregistry --repository myrepo \
    --delete-enabled true --write-enabled true

Další kroky

V tomto článku jste se dozvěděli, jak pomocí příkazu az acr repository update zabránit odstranění nebo aktualizaci verzí imagí v úložišti. Pokud chcete nastavit další atributy, projděte si referenční informace k příkazu az acr repository update .

Pokud chcete zobrazit atributy nastavené pro verzi image nebo úložiště, použijte příkaz az acr repository show .

Podrobnosti o operacích odstranění najdete v tématu Odstranění imagí kontejnerů v Azure Container Registry.