Share via

Diensttags für Azure Container Registry

  • Artikel

Diensttags helfen beim Festlegen von Regeln, um Datenverkehr zu einem bestimmten Azure-Dienst zuzulassen oder zu verweigern. Ein Diensttag steht für eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Diensts. Diensttags in Azure Container Registry (ACR) stellen eine Gruppe von IP-Adresspräfixen dar, die für den Zugriff auf den Dienst entweder global oder pro Azure-Region verwendet werden können. Microsoft verwaltet die Adresspräfixe, für die das Diensttag gilt, und aktualisiert das Tag automatisch, wenn sich die Adressen ändern. Auf diese Weise wird die Komplexität häufiger Updates an Netzwerksicherheitsregeln minimiert.

Azure Container Registry (ACR) generiert Netzwerkdatenverkehr, der vom ACR-Diensttag für Features wie Imageimport, Webhook und ACR Tasks stammt.

Wenn Sie eine Firewall für eine Registrierung konfigurieren, stellt ACR die Anforderungen über die IP-Adressen des Diensttags bereit. Für die unter Firewallzugriffsregeln erwähnten Szenarien können Kunden die Ausgangsregel der Firewall konfigurieren, um den Zugriff auf die IP-Adressen des ACR-Diensttags zu ermöglichen.

Importieren von Images

Azure Container Registry (ACR) initiiert Anforderungen an externe Registrierungsdienste über Diensttag-IP-Adressen für Imagedownloads. Wenn der externe Registrierungsdienst hinter einer Firewall ausgeführt wird, ist eine Eingangsregel zum Akzeptieren der IP-Adressen des ACR-Diensttags erforderlich. Diese IP-Adressen fallen unter das ACR-Diensttag, das die erforderlichen IP-Bereiche zum Importieren von Images aus öffentlichen Registrierungen oder Azure-Registrierungen enthält. Azure stellt sicher, dass diese Bereiche automatisch aktualisiert werden. Die Einrichtung dieses Sicherheitsprotokolls ist entscheidend für die Gewährleistung der Registrierungsintegrität und die Sicherstellung ihrer Verfügbarkeit.

ACR sendet Anforderungen an den externen Registrierungsdienst über Diensttag-IP-Adressen, um die Images herunterzuladen. Wenn der externe Registrierungsdienst hinter einer Firewall ausgeführt wird, ist eine Eingangsregel zum Zulassen der IP-Adressen des ACR-Diensttags erforderlich. Diese IP-Adressen sind Teil des AzureContainerRegistry-Diensttags, das IP-Bereiche umfasst, die zum Importieren von Images aus öffentlichen Registrierungen oder Azure-Registrierungen erforderlich sind. Konfigurieren einer Sicherheitsmaßnahme zur Aufrechterhaltung der Integrität und Zugänglichkeit der Registrierung.

Erfahren Sie mehr über Registrierungsendpunkte, um Netzwerksicherheitsregeln zu konfigurieren und den Datenverkehr vom ACR-Diensttag für den Imageimport in ACR zuzulassen.

Ausführliche Schritte und Anleitungen zur Verwendung des Diensttags während des Imageimports finden Sie in der Dokumentation zu Azure Container Registry.

webhooks

Diensttags in Azure Container Registry (ACR) werden verwendet, um Netzwerkdatenverkehr für Features wie Webhooks zu verwalten, um sicherzustellen, dass nur vertrauenswürdige Quellen diese Ereignisse auslösen können. Wenn Sie einen Webhook in ACR einrichten, kann er auf Ereignisse auf Registrierungsebene reagieren oder auf ein bestimmtes Repositorytag begrenzt werden. Bei georeplizierten Registrierungen konfigurieren Sie jeden Webhook so, dass er auf Ereignisse auf einem bestimmten regionalen Replikat reagiert.

Der Endpunkt für einen Webhook muss über die Registrierung öffentlich zugänglich sein. Sie können Registrierungsanforderungen für Webhooks konfigurieren, um sich bei einem gesicherten Endpunkt zu authentifizieren. ACR sendet die Anforderung an den konfigurierten Webhookendpunkt über Diensttag-IP-Adressen. Wenn der Webhookendpunkt hinter einer Firewall ausgeführt wird, ist eine Eingangsregel zum Zulassen der IP-Adressen des ACR-Diensttags erforderlich. Darüber hinaus muss der Kunde zum Sichern des Zugriffs auf den Webhookendpunkt die entsprechende Authentifizierung konfigurieren, um die Anforderung zu überprüfen.

Ausführliche Schritte zum Erstellen eines Webhooksetups finden Sie in der Dokumentation zu Azure Container Registry.

ACR-Aufgaben

Bei ACR Tasks, etwa beim Erstellen von Containerimages oder Automatisieren von Workflows, stellt das Diensttag die Gruppe der IP-Adresspräfixe dar, die von ACR verwendet werden. Während der Ausführung von Aufgaben sendet Tasks Anforderungen an externe Ressourcen über Diensttag-IP-Adressen. Wenn die externe Ressource hinter einer Firewall ausgeführt wird, ist eine Eingangsregel zum Zulassen der IP-Adressen des ACR-Diensttags erforderlich. Das Anwenden dieser Eingangsregeln ist eine gängige Methode, um Sicherheit und eine ordnungsgemäße Zugriffsverwaltung in Cloudumgebungen sicherzustellen.

Erfahren Sie mehr über ACR Tasks und darüber, wie Sie das Diensttag zum Einrichten von Firewallzugriffsregeln für ACR Tasks verwenden.

Bewährte Methoden

  • Konfigurieren und Anpassen der Netzwerksicherheitsregeln, um Datenverkehr vom AzureContainerRegistry-Diensttag für Features wie Imageimport, Webhooks und ACR Tasks wie Portnummern und Protokolle zuzulassen

  • Einrichten von Firewallregeln, um Datenverkehr ausschließlich aus IP-Bereichen zuzulassen, die ACR-Diensttags für jedes Feature zugeordnet sind

  • Erkennen und Verhindern von nicht autorisiertem Datenverkehr, der nicht von IP-Adressen des ACR-Diensttag stammt

  • Kontinuierliches Überwachen des Netzwerkdatenverkehr und regelmäßiges Überprüfen der Sicherheitskonfigurationen, um unerwarteten Datenverkehr für jedes ACR-Feature mithilfe von Azure Monitor oder Network Watcher zu behandeln.