Etiquetas de servicio para Azure Container Registry
Las etiquetas de servicio ayudan a establecer reglas para permitir o denegar el tráfico a un servicio específico de Azure. Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado. Las etiquetas de servicio de Azure Container Registry (ACR) representan un grupo de prefijos de dirección IP que se pueden usar para acceder al servicio de forma global o por región de Azure. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian, lo que minimiza la complejidad de las actualizaciones frecuentes en las reglas de seguridad de red.
Azure Container Registry (ACR) genera tráfico de red que se origina en la etiqueta de servicio de ACR para características como importación de imágenes, Webhook y ACR Tasks.
Al configurar un firewall para un registro, ACR atiende las solicitudes en sus direcciones IP de etiqueta de servicio. En los escenarios mencionados en reglas de acceso de Firewall, los clientes pueden configurar la regla de salida del firewall para permitir el acceso a direcciones IP de etiqueta de servicio de ACR.
Importación de imágenes
Azure Container Registry (ACR) inicia solicitudes a servicios de registro externos a través de direcciones IP de etiquetas de servicio para descargas de imágenes. Si el servicio de registro externo funciona detrás de un firewall, requiere una regla de entrada para aceptar direcciones IP de etiqueta de servicio de ACR. Estas direcciones IP se encuentran en la etiqueta de servicio ACR, que incluye los intervalos IP necesarios para importar imágenes de registros públicos o de Azure. Azure garantiza que estos intervalos se actualizan automáticamente. Establecer este protocolo de seguridad es fundamental para mantener la integridad del registro y garantizar su disponibilidad.
ACR envía solicitudes al servicio de registro externo a través de direcciones IP de etiqueta de servicio para descargar las imágenes. Si el servicio de registro externo se ejecuta detrás del firewall, debe tener una regla de entrada para permitir direcciones IP de etiqueta de servicio de ACR. Estas direcciones IP forman parte de la etiqueta de servicio AzureContainerRegistry, que abarca los intervalos IP necesarios para importar imágenes de registros públicos o de Azure. Configuración de una medida de seguridad para mantener la integridad y accesibilidad del Registro.
Obtenga información sobre los puntos de conexión del registro para configurar reglas de seguridad de red y permitir el tráfico desde la etiqueta de servicio ACR para la importación de imágenes en ACR.
Para obtener pasos detallados e instrucciones sobre cómo usar la etiqueta de servicio durante la importación de imágenes, consulte la documentación de Azure Container Registry.
webhooks
Las etiquetas de servicio de Azure Container Registry (ACR) se usan para administrar el tráfico de red para características como webhooks para garantizar que solo los orígenes de confianza puedan desencadenar estos eventos. Al configurar un webhook en ACR, puede responder a eventos en el nivel del Registro o limitarse a una etiqueta de repositorio específica. En el caso de los registros con replicación geográfica, configure cada webhook para responder a eventos de una réplica regional específica.
El punto de conexión de un webhook debe ser accesible públicamente desde el registro. Puede configurar solicitudes de webhook del registro para autenticarse en un punto de conexión protegido. ACR envía la solicitud al punto de conexión de webhook configurado a través de direcciones IP de etiqueta de servicio. Si el punto de conexión de webhook se ejecuta detrás del firewall, debe tener una regla de entrada para permitir direcciones IP de etiqueta de servicio de ACR. Además, para proteger el acceso al punto de conexión de webhook, el cliente debe configurar la autenticación adecuada para validar la solicitud.
Para obtener pasos detallados sobre cómo crear una configuración de webhook, consulte la documentación de Azure Container Registry.
ACR Tasks
ACR Tasks, como al compilar imágenes de contenedor o automatizar flujos de trabajo, la etiqueta de servicio representa el grupo de prefijos de dirección IP que usa ACR. Durante la ejecución de tareas, las tareas envían solicitudes a recursos externos a través de direcciones IP de etiqueta de servicio. Si el recurso externo se ejecuta detrás del firewall, debe tener una regla de entrada para permitir direcciones IP de etiqueta de servicio de ACR. Aplicar estas reglas de entrada es una práctica común para garantizar la seguridad y la administración de acceso adecuada en entornos en la nube.
Obtenga más información sobre ACR Tasks y cómo usar la etiqueta de servicio para configurar las reglas de acceso de firewall para ACR Tasks.
procedimientos recomendados
Configure y personalice las reglas de seguridad de red para permitir el tráfico desde la etiqueta de servicio AzureContainerRegistry para características como la importación de imágenes, webhooks y ACR Tasks, como números de puerto y protocolos.
Configure reglas de firewall para permitir el tráfico únicamente desde intervalos IP asociados a etiquetas de servicio de ACR para cada característica.
Detecte y evite que el tráfico no autorizado no se origine en direcciones IP de etiqueta de servicio de ACR.
Supervise el tráfico de red continuamente y revise las configuraciones de seguridad periódicamente para abordar el tráfico inesperado de cada característica de ACR mediante Azure Monitor o Network Watcher.