Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Limite el acceso a un registro mediante la asignación de direcciones IP privadas de red virtual a los puntos de conexión del registro y el uso de Azure Private Link. El tráfico de red entre los clientes de la red virtual y los puntos de conexión privados del registro atraviesa la red virtual y un vínculo privado de la red troncal de Microsoft, lo que elimina la exposición a la red pública de Internet. Azure Private Link también permite acceder al registro privado desde el entorno local utilizando el emparejamiento privado de Azure ExpressRoute o una puerta de enlace de VPN.
Puede configurar las opciones de DNS para los puntos de conexión privados del Registro para que la configuración se resuelva en la dirección IP privada asignada del Registro. Con la configuración DNS, los clientes y servicios de la red pueden seguir accediendo al registro en el nombre de dominio completo de este, como myregistry.azurecr.io.
En este artículo se muestra cómo configurar un punto de conexión privado para el registro mediante Azure Portal (recomendado) o la CLI de Azure. Esta característica está disponible en el nivel de servicio de registro de contenedor Premium (SKU), con un máximo de 200 puntos de conexión privados.
Importante
Si el registro de contenedor restringe el acceso a puntos de conexión privados, subredes seleccionadas o direcciones IP, es posible que algunas funcionalidades no estén disponibles o requieran más configuración.
- Al deshabilitar el acceso de red pública a un registro, determinados servicios de confianza, incluido Microsoft Defender for Cloud, solo pueden acceder al registro si habilita una configuración de red para omitir las reglas de red.
- Una vez deshabilitado el acceso a la red pública, las instancias de determinados servicios de Azure, incluidos Azure DevOps Services, no pueden acceder al registro de contenedor.
- Los puntos de conexión privados no se admiten actualmente con agentes administrados por Azure DevOps. Debe usar un agente autohospedado con línea de visión de red al punto de conexión privado.
- Si el registro tiene un punto de conexión privado aprobado y deshabilita el acceso a la red pública, no puede enumerar repositorios y etiquetas fuera de la red virtual mediante Azure Portal, la CLI de Azure u otras herramientas.
Requisitos previos
- Una red virtual y una subred en la que configurar el punto de conexión privado. Si es necesario, cree una nueva red virtual y una subred.
- Para realizar pruebas, configure una máquina virtual en la red virtual. Para ver los pasos para crear una máquina virtual de prueba para acceder al registro, consulte Creación de una máquina virtual con funcionalidad Docker.
- Para usar los pasos de la CLI de Azure de este artículo, se recomienda la versión 2.6.0 o posterior de la CLI de Azure. Para la instalación o la actualización, consulte Instalación de la CLI de Azure.
- Si aún no tiene un registro de contenedor Premium, cree una e importe una imagen pública de ejemplo, como
mcr.microsoft.com/hello-worlddesde Microsoft Container Registry. Por ejemplo, use Azure Portal o la CLI de Azure para crear un registro.
Registro del proveedor de recursos del registro de contenedor
Para configurar el acceso al registro mediante un vínculo privado en otra suscripción o inquilino de Azure, debe registrar el proveedor de recursos para Azure Container Registry en esa suscripción. Use Azure Portal, la CLI de Azure u otras herramientas.
Ejemplo:
az account set --subscription <Name or ID of subscription of private link>
az provider register --namespace Microsoft.ContainerRegistry
Configuración de un punto de conexión privado en Azure Portal
Configure un punto de conexión privado al crear un registro o agregue un punto de conexión privado a un registro existente.
Creación de un punto de conexión privado en un nuevo registro
Al crear un registro en el portal, en la pestaña Aspectos básicos , seleccione Premium para plan de precios.
En la pestaña Redes , en Configuración de conectividad, seleccione Acceso privado (recomendado) .
Seleccione Crear una conexión de extremo privado.
Escriba o seleccione la siguiente información:
Configuración Value Suscripción Seleccione la suscripción. Grupo de recursos Escriba el nombre de un grupo existente o cree uno nuevo. Nombre Escriba un nombre único. Subrecurso del registro Asegúrese de que el registro está seleccionado. Red de área virtual Seleccione la red virtual para el punto de conexión privado. Por ejemplo: myDockerVMVNET. Subnet Seleccione la subred para el punto de conexión privado. Por ejemplo: myDockerVMSubnet. Integración con una zona DNS privada Seleccione Sí. Zona DNS privada Seleccione (Nuevo) privatelink.azurecr.io. 
Selecciona Aceptar.
Acepte los valores predeterminados en los demás valores y seleccione Revisar y crear. El registro ha sido creado con el punto de conexión privado.
Creación de un punto de conexión privado para un registro existente
- Vaya al registro de contenedor en Azure Portal.
- En el menú servicio, en Configuración, seleccione Redes.
- En la pestaña Acceso privado , seleccione Crear una conexión de punto de conexión privado.
- En la pestaña Aspectos básicos , seleccione una suscripción, un grupo de recursos y una región y escriba un nombre para el punto de conexión privado. El nombre de la interfaz de red se crea con el nombre del punto de conexión.
- Seleccione Siguiente: Recurso. El punto de conexión privado es para el recurso del Registro, por lo que el tipo de recurso y el subrecurso se preseleccionan. A continuación, seleccione Siguiente: Red virtual.
- Seleccione la red virtual y la subred para el punto de conexión privado. No cambie las otras opciones y, a continuación, seleccione Siguiente: DNS.
- Asegúrese de que La integración con la zona DNS privada está establecida en Sí y que la zona DNS privada está establecida en (Nuevo) privatelink.azurecr.io. Seleccione Siguiente: Etiquetas y agregue las etiquetas deseadas y, a continuación, seleccione Siguiente: Revisar y crear.
- Cuando reciba el mensaje Validación superada, seleccione Crear.
Confirmación de la configuración del punto de conexión
Después de crear el punto de conexión privado, la configuración de puntos de conexión privados en el portal muestra la configuración de DNS. Para confirmar:
- En el menú del servicio del registro de contenedor, en Configuración, seleccione Redes.
- En la pestaña Acceso privado , seleccione el nombre del punto de conexión privado que creó.
- En el menú servicio, en Configuración, seleccione Configuración de DNS.
- Revise los detalles de la configuración DNS de enlace privado.
Configuración del punto de conexión privado mediante la CLI de Azure
Los ejemplos de la CLI de Azure de este artículo tienen formato para el shell de Bash y usan las siguientes variables de entorno. Reemplace los valores de ejemplo por los nombres de un registro de contenedor, una red virtual y una subred existentes para configurar un punto de conexión privado.
REGISTRY_NAME=<container-registry-name>
REGISTRY_LOCATION=<container-registry-location> # Azure region such as westeurope where registry created
RESOURCE_GROUP=<resource-group-name> # Resource group for your existing virtual network and subnet
NETWORK_NAME=<virtual-network-name>
SUBNET_NAME=<subnet-name>
Deshabilitación de directivas de red en subred
Deshabilite las directivas de red, como los grupos de seguridad de red de la subred, para el punto de conexión privado. Actualice la configuración de la subred mediante az network vnet subnet update:
az network vnet subnet update \
--name $SUBNET_NAME \
--vnet-name $NETWORK_NAME \
--resource-group $RESOURCE_GROUP \
--disable-private-endpoint-network-policies
Configuración de la zona DNS privada
Cree una zona DNS privada de Azure para el dominio del registro de contenedor de Azure privado. En pasos posteriores se crean registros DNS para el dominio del registro dentro de esta zona DNS. Para más información, consulte Opciones de configuración de DNS, más adelante en este artículo.
Para usar una zona privada para invalidar la resolución DNS predeterminada del registro de contenedor de Azure, asigne un nombre a la zona privatelink.azurecr.io. Ejecute el comando siguiente az network private-dns zone create para crear la zona privada:
az network private-dns zone create \
--resource-group $RESOURCE_GROUP \
--name "privatelink.azurecr.io"
Creación de un vínculo de asociación
Ejecute az network private-dns link vnet create para asociar la zona privada con la red virtual. En este ejemplo se crea un vínculo denominado myDNSLink.
az network private-dns link vnet create \
--resource-group $RESOURCE_GROUP \
--zone-name "privatelink.azurecr.io" \
--name MyDNSLink \
--virtual-network $NETWORK_NAME \
--registration-enabled false
Creación de un punto de conexión de registro privado
En esta sección se crea el punto de conexión privado del registro en la red virtual. En primer lugar, obtenga el identificador de recurso del registro:
REGISTRY_ID=$(az acr show --name $REGISTRY_NAME \
--query 'id' --output tsv)
Ejecute el comando az network private-endpoint create para crear el punto de conexión privado del registro.
En el ejemplo siguiente se crea el punto de conexión myPrivateEndpoint y la conexión de servicio myConnection. Para especificar un recurso de registro de contenedor para el punto de conexión, pase --group-ids registry:
az network private-endpoint create \
--name myPrivateEndpoint \
--resource-group $RESOURCE_GROUP \
--vnet-name $NETWORK_NAME \
--subnet $SUBNET_NAME \
--private-connection-resource-id $REGISTRY_ID \
--group-ids registry \
--connection-name myConnection
Obtención de la configuración de IP del punto de conexión
Para configurar los registros DNS, obtenga la configuración de IP del punto de conexión privado. En este ejemplo, la interfaz de red del punto de conexión privado se conecta a dos direcciones IP privadas para el registro de contenedor: una para el propio registro y otra para el punto de conexión de datos del registro. Si el registro está replicado geográficamente, cada réplica tiene una dirección IP adicional.
En primer lugar, ejecute az network private-endpoint show para consultar el identificador de la interfaz de red al punto de conexión privado:
NETWORK_INTERFACE_ID=$(az network private-endpoint show \
--name myPrivateEndpoint \
--resource-group $RESOURCE_GROUP \
--query 'networkInterfaces[0].id' \
--output tsv)
Los siguientes comandos az network nic show obtienen las direcciones IP privadas y los nombres de dominio completo del registro de contenedor y el punto de conexión de datos del registro:
REGISTRY_PRIVATE_IP=$(az network nic show \
--ids $NETWORK_INTERFACE_ID \
--query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry'].privateIPAddress" \
--output tsv)
DATA_ENDPOINT_PRIVATE_IP=$(az network nic show \
--ids $NETWORK_INTERFACE_ID \
--query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REGISTRY_LOCATION'].privateIPAddress" \
--output tsv)
# An FQDN is associated with each IP address in the IP configurations
REGISTRY_FQDN=$(az network nic show \
--ids $NETWORK_INTERFACE_ID \
--query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry'].privateLinkConnectionProperties.fqdns" \
--output tsv)
DATA_ENDPOINT_FQDN=$(az network nic show \
--ids $NETWORK_INTERFACE_ID \
--query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REGISTRY_LOCATION'].privateLinkConnectionProperties.fqdns" \
--output tsv)
Puntos de conexión adicionales para réplicas geográficas
Si el registro es con replicación geográfica, consulte el punto de conexión de datos adicional para cada réplica del registro. Por ejemplo, en la región eastus:
REPLICA_LOCATION=eastus
GEO_REPLICA_DATA_ENDPOINT_PRIVATE_IP=$(az network nic show \
--ids $NETWORK_INTERFACE_ID \
--query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REPLICA_LOCATION'].privateIPAddress" \
--output tsv)
GEO_REPLICA_DATA_ENDPOINT_FQDN=$(az network nic show \
--ids $NETWORK_INTERFACE_ID \
--query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REPLICA_LOCATION'].privateLinkConnectionProperties.fqdns" \
--output tsv)
Al agregar una nueva replicación geográfica, está pendiente una conexión de punto de conexión privado. Para aprobar una conexión de endpoint privado que configuró manualmente, ejecute az acr private-endpoint-connection approve.
Creación de registros DNS en la zona privada
Los siguientes comandos crean registros DNS en la zona privada para el punto de conexión del registro y su punto de conexión de datos. Por ejemplo, si tiene un registro denominado myregistry en la región westeurope, los nombres de punto de conexión son myregistry.azurecr.io y myregistry.westeurope.data.azurecr.io.
En primer lugar, ejecute az network private-dns record-set a create para crear conjuntos de registros A vacíos para el punto de conexión del Registro y el punto de conexión de datos.
az network private-dns record-set a create \
--name $REGISTRY_NAME \
--zone-name privatelink.azurecr.io \
--resource-group $RESOURCE_GROUP
# Specify registry region in data endpoint name
az network private-dns record-set a create \
--name ${REGISTRY_NAME}.${REGISTRY_LOCATION}.data \
--zone-name privatelink.azurecr.io \
--resource-group $RESOURCE_GROUP
Ejecute el comando az network private-dns record-set a add-record para crear registros A para el punto de conexión del registro y el punto de conexión de datos:
az network private-dns record-set a add-record \
--record-set-name $REGISTRY_NAME \
--zone-name privatelink.azurecr.io \
--resource-group $RESOURCE_GROUP \
--ipv4-address $REGISTRY_PRIVATE_IP
# Specify registry region in data endpoint name
az network private-dns record-set a add-record \
--record-set-name ${REGISTRY_NAME}.${REGISTRY_LOCATION}.data \
--zone-name privatelink.azurecr.io \
--resource-group $RESOURCE_GROUP \
--ipv4-address $DATA_ENDPOINT_PRIVATE_IP
Registros adicionales para réplicas geográficas
Si el registro tiene una réplica geográfica, cree una configuración DNS adicional para cada réplica. Continuación del ejemplo de la región eastus:
az network private-dns record-set a create \
--name ${REGISTRY_NAME}.${REPLICA_LOCATION}.data \
--zone-name privatelink.azurecr.io \
--resource-group $RESOURCE_GROUP
az network private-dns record-set a add-record \
--record-set-name ${REGISTRY_NAME}.${REPLICA_LOCATION}.data \
--zone-name privatelink.azurecr.io \
--resource-group $RESOURCE_GROUP \
--ipv4-address $GEO_REPLICA_DATA_ENDPOINT_PRIVATE_IP
El vínculo privado ya está configurado y listo para su uso.
Deshabilitar el acceso público a un registro
Para muchos escenarios, deshabilite el acceso al registro desde redes públicas. Esta configuración impide que todos los clientes fuera de la red virtual lleguen a los puntos de conexión del Registro.
Para deshabilitar el acceso público a un registro de contenedor en Azure Portal, siga estos pasos:
- En el menú del servicio del registro de contenedor, en Configuración, seleccione Redes.
- En la pestaña Acceso público , en Acceso a red pública, seleccione Deshabilitado. Después, seleccione Guardar.
También puede usar la CLI de Azure para deshabilitar el acceso público ejecutando az acr update y estableciendo --public-network-enabled en false.
Nota:
Si deshabilita el acceso público a un registro, az acr build los comandos ya no funcionan.
az acr update --name $REGISTRY_NAME --public-network-enabled false
Utilice az acr build con punto de conexión y registro privados
Nota:
Si deshabilita el acceso a la red pública, az acr build se producirá un error en los comandos.
A menos que use grupos de agentes dedicados, normalmente se requieren direcciones IP públicas. Las tareas reservan un conjunto de direcciones IP públicas en cada región para las solicitudes salientes. Si es necesario, puede agregar estas direcciones IP a la lista de permitidos del firewall para una comunicación sin problemas.
az acr build el comando usa el mismo conjunto de direcciones IP que las tareas.
Tenga en cuenta las siguientes opciones para ejecutar correctamente az acr build.
- Asigne un grupo de agentes dedicado.
- Si el grupo de agentes no está disponible en su región, agregue la etiqueta de servicio de Azure Container Registry IPv4 regional a las reglas de acceso del firewall. Las tareas reservan un conjunto de direcciones IP públicas en cada región (
AzureContainerRegistryetiqueta de servicio) para las solicitudes salientes. Puede agregar estas direcciones IP a la lista de permitidos del firewall.
Deshabilitación del acceso a un registro de contenedor mediante un punto de conexión de servicio
Importante
No puede usar las características de vínculo privado y punto de conexión de servicio configuradas desde una red virtual en el registro de contenedor.
Después de deshabilitar el acceso público y configurar el vínculo privado para el registro, deshabilite el acceso al punto de conexión del servicio desde una red virtual quitando las reglas de la red virtual.
- Ejecute el comando
az acr network-rule listpara enumerar las reglas de red existentes. - Ejecute el comando
az acr network-rule removepara quitar la regla de red.
Validación de una conexión de vínculo privado
Compruebe que los recursos de la subred del punto de conexión privado se conectan al registro a través de una dirección IP privada y tienen la integración correcta de la zona DNS privada.
Para validar la conexión de vínculo privado, conéctese a la máquina virtual configurada en la red virtual. A continuación, ejecute una utilidad como nslookup o dig para buscar la dirección IP del registro a través del vínculo privado. Por ejemplo:
dig $REGISTRY_NAME.azurecr.io
La salida del ejemplo muestra la dirección IP del registro en el espacio de direcciones de la subred:
[...]
; <<>> DiG 9.11.3-1ubuntu1.13-Ubuntu <<>> myregistry.azurecr.io
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52155
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;myregistry.azurecr.io. IN A
;; ANSWER SECTION:
myregistry.azurecr.io. 1783 IN CNAME myregistry.privatelink.azurecr.io.
myregistry.privatelink.azurecr.io. 10 IN A 10.0.0.7
[...]
Compare este resultado con la dirección IP pública de la salida dig para el mismo registro a través de un punto de conexión público:
[...]
;; ANSWER SECTION:
myregistry.azurecr.io. 2881 IN CNAME myregistry.privatelink.azurecr.io.
myregistry.privatelink.azurecr.io. 2881 IN CNAME xxxx.xx.azcr.io.
xxxx.xx.azcr.io. 300 IN CNAME xxxx-xxx-reg.trafficmanager.net.
xxxx-xxx-reg.trafficmanager.net. 300 IN CNAME xxxx.westeurope.cloudapp.azure.com.
xxxx.westeurope.cloudapp.azure.com. 10 IN A 20.45.122.144
[...]
Confirmar operaciones del registro a través de enlace privado
Además, compruebe que puede realizar operaciones del registro desde la máquina virtual de la red. Realice una conexión SSH a la máquina virtual y ejecute az acr login para autenticarse en el registro. En función de la configuración de la máquina virtual, es posible que tenga que agregar el prefijo sudo a los siguientes comandos.
az acr login --name $REGISTRY_NAME
Realice operaciones del registro como docker pull para extraer una imagen de ejemplo del registro. Sustituya hello-world:v1 por una imagen y la etiqueta pertinente para el registro, y anteponga el nombre del servidor de inicio de sesión del registro (todo en minúsculas):
docker pull myregistry.azurecr.io/hello-world:v1
Confirme que Docker extrae correctamente la imagen a la máquina virtual.
Administración de conexiones de punto de conexión privado
Administre las conexiones de punto de conexión privado de un registro mediante Azure Portal o los comandos del grupo de comandos az acr private-endpoint-connection . Puede aprobar, eliminar, enumerar, rechazar o mostrar detalles de las conexiones de punto de conexión privado de un registro.
Para enumerar las conexiones de punto de conexión privado de un registro, ejecute el comando az acr private-endpoint-connection list :
az acr private-endpoint-connection list \
--registry-name $REGISTRY_NAME
Al configurar una conexión de punto de conexión privado mediante los pasos descritos en este artículo, el Registro acepta automáticamente conexiones de clientes y servicios que tienen permisos de RBAC de Azure en el registro. Puede configurar el punto de conexión de modo que exija la aprobación manual de conexiones. Para obtener información sobre cómo aprobar y rechazar conexiones de punto de conexión privado, vea Administrar una conexión de punto de conexión privado.
Importante
Actualmente, si elimina un punto de conexión privado de un registro, es posible que también tenga que eliminar el vínculo de la red virtual a la zona privada. Si no elimina el vínculo, es posible que vea un unresolvable host error.
Opciones de configuración de DNS
El punto de conexión privado de este ejemplo se integra con una zona DNS privada asociada a una red virtual básica. Esta configuración usa el servicio DNS proporcionado por Azure para resolver directamente el FQDN público del registro en sus direcciones IP privadas de la red virtual.
Private Link admite escenarios de configuración de DNS adicionales que usan la zona privada, incluidas las soluciones DNS personalizadas. Por ejemplo, podría tener una solución DNS personalizada implementada en la red virtual o en el entorno local en una red que se conecte a la red virtual mediante una puerta de enlace de VPN o Azure ExpressRoute.
Para resolver el FQDN público del registro en la dirección IP privada en estos escenarios, debe configurar un reenviador de nivel de servidor para el servicio Azure DNS (168.63.129.16). Las opciones de configuración y los pasos exactos dependen de las redes y DNS existentes. Para obtener ejemplos, consulte Valores de zona DNS privada del punto de conexión privado de Azure.
Importante
Si crea puntos de conexión privados en varias regiones para habilitar la alta disponibilidad, use un grupo de recursos independiente en cada región y coloque la red virtual y la zona DNS privada asociada en ella. Esta configuración también evita la resolución de DNS imprevisible debido al uso compartido de la misma zona DNS privada.
Configuración manual de los registros DNS
En algunos escenarios, es posible que tenga que configurar manualmente los registros DNS en una zona privada en lugar de usar la zona privada proporcionada por Azure. Asegúrese de crear registros para el punto de conexión del Registro, el punto de conexión de datos del Registro y el punto de conexión de datos para cualquier réplica regional adicional. Si no configura todos los registros, es posible que el registro no sea accesible.
Importante
Si posteriormente agrega una nueva réplica, debe agregar manualmente un nuevo registro DNS para el punto de conexión de datos de esa región. Por ejemplo, si crea una réplica de myregistry en la ubicación northeurope, agregue un registro para myregistry.northeurope.data.azurecr.io.
Los FQDN y las direcciones IP privadas que necesita para crear registros DNS están asociados a la interfaz de red del punto de conexión privado. Puede obtener esta información mediante Azure Portal o la CLI de Azure.
- En el portal, vaya al punto de conexión privado y seleccione Configuración de DNS.
- Mediante la CLI de Azure, ejecute az network nic show. Para obtener comandos de ejemplo, consulte Obtención de la configuración de IP del punto de conexión.
Después de crear registros DNS, asegúrese de que los FQDN del registro se resuelven correctamente en sus respectivas direcciones IP privadas.
Extracción desde un registro con enlace privado habilitado
Para extraer contenido de un registro con enlace privado habilitado, los clientes deben permitir el acceso al punto de conexión REST del registro y a todos los puntos de conexión de datos regionales. El proxy de cliente o el firewall deben permitir el acceso a:
- Punto de conexión de REST:
{REGISTRY_NAME}.azurecr.io - Puntos de conexión de datos:
{REGISTRY_NAME}.{REGISTRY_LOCATION}.data.azurecr.io
Para un registro con replicación geográfica, debe configurar el acceso al punto de conexión de datos para cada réplica regional.
Actualice la configuración de enrutamiento para el proxy de cliente y el firewall de cliente con los puntos de conexión de datos para manejar correctamente los pull requests. Un proxy de cliente proporciona control de tráfico central a las solicitudes salientes. Para controlar el tráfico local, no se requiere un proxy de cliente. Puede agregar puntos de conexión a la noProxy sección para omitir el proxy. Para obtener más información, consulte Compatibilidad con proxy HTTP en AKS.
Las solicitudes al servidor de tokens mediante una conexión de extremo privado no requieren configuración de extremo de datos.
Limpieza de recursos
Si ha creado todos los recursos de Azure en el mismo grupo de recursos y ya no los necesita, puede eliminar el grupo de recursos en Azure Portal o mediante un único comando az group delete :
az group delete --name $RESOURCE_GROUP
Contenido relacionado
- Para obtener más información sobre Private Link, consulte la documentación de Azure Private Link.
- Para comprobar la configuración DNS en la red virtual que se enruta a un punto de conexión privado, ejecute el comando az acr check-health con el parámetro
--vnet. Para más información, consulte Comprobación del mantenimiento de un registro de contenedor de Azure. - Si necesita configurar reglas de acceso a un registro desde detrás de un firewall cliente, consulte Configuración de reglas para acceder a un registro de contenedor de Azure desde detrás de un firewall.
- Solución de problemas de conectividad de puntos de conexión privados de Azure.
- Si necesita implementar Azure Container Instances que puedan extraer imágenes de un ACR a través de un punto de conexión privado, consulte Implementación en Azure Container Instances desde Azure Container Registry mediante una identidad administrada.