Étiquettes de service pour Azure Container Registry
Les étiquettes de service aident à définir des règles pour autoriser ou refuser le trafic vers un service Azure spécifique. Dans Azure Container Registry, une étiquette de service représente un groupe de préfixes d’adresses IP, qui peuvent être utilisés pour accéder au service soit globalement, soit par région Azure. Azure Container Registry génère du trafic réseau à partir d’une étiquette de service pour les fonctionnalités telles que l’importation d’images, les webhooks et Azure Container Registry Tasks.
Microsoft gère les préfixes d’adresses englobés par une étiquette de service. Microsoft met automatiquement à jour une étiquette de service quand les adresses changent, pour réduire la complexité des mises à jour fréquentes des règles de sécurité réseau.
Quand vous configurez un pare-feu pour un registre, Azure Container Registry répond aux requêtes sur les adresses IP de ses étiquettes de service. Pour les scénarios mentionnés dans Règles d’accès du pare-feu, vous pouvez configurer la règle de trafic sortant du pare-feu afin d’autoriser l’accès aux adresses IP Azure Container Registry pour les étiquettes de service.
Importation d’images
Azure Container Registry envoie des requêtes au service de registre externe via les adresses IP d’étiquette de service pour télécharger les images. Si le service de registre externe s’exécute derrière un pare-feu, il nécessite une règle de trafic entrant pour autoriser les adresses IP des étiquettes de service. Ces IP font partie de l’étiquette de service AzureContainerRegistry
, qui comprend les plages d’adresses IP nécessaires à l’importation d’images à partir de registres publics ou Azure.
Azure vérifie que ces plages d’adresses IP sont mises à jour automatiquement. L’établissement de ce protocole de sécurité est essentiel pour maintenir l’intégrité du registre et garantir sa disponibilité.
Si vous souhaitez configurer des règles de sécurité réseau et autoriser le trafic provenant de l’étiquette de service AzureContainerRegistry
pour l’importation d’images dans Azure Container Registry, consultez À propos des points de terminaison de registre. Pour obtenir des étapes détaillées et des conseils d’aide sur l’utilisation de l’étiquette de service durant l’importation d’images, consultez Importer des images conteneur dans un registre de conteneurs.
webhooks
Dans Azure Container Registry, vous utilisez des étiquettes de service pour gérer le trafic réseau des fonctionnalités telles que les webhooks. Ainsi, vous avez la certitude que seules les sources approuvées peuvent déclencher ces événements. Quand vous configurez un webhook dans Azure Container Registry, il peut répondre aux événements au niveau du registre, ou être limité à une étiquette de référentiel spécifique. Pour les registres géorépliqués, vous configurez chaque webhook pour répondre aux événements d’un réplica régional spécifique.
Le point de terminaison pour un webhook doit être accessible publiquement à partir du Registre. Vous pouvez configurer les demandes de webhook du Registre pour l’authentification auprès d’un point de terminaison sécurisé.
Azure Container Registry envoie la requête au point de terminaison de webhook configuré via les adresses IP des étiquettes de service. Si le point de terminaison de webhook s’exécute derrière un pare-feu, il nécessite une règle de trafic entrant pour autoriser ces adresses IP. Pour sécuriser l’accès du point de terminaison de webhook, vous devez également configurer l’authentification appropriée permettant de valider la requête.
Pour obtenir des instructions détaillées sur la création d’une configuration de webhook, consultez la documentation Azure Container Registry.
Tâches Azure Container Registry
Quand vous utilisez Azure Container Registry Tasks, par exemple quand vous générez des images conteneur ou automatisez des workflows, l’étiquette de service représente le groupe de préfixes d’adresses IP qu’Azure Container Registry utilise.
Au moment de l’exécution des tâches, Azure Container Registry envoie des requêtes aux ressources externes via les adresses IP des étiquettes de service. Si une ressource externe s’exécute derrière un pare-feu, elle nécessite une règle de trafic entrant pour autoriser ces adresses IP. L’application de ces règles de trafic entrant est une pratique courante pour garantir la sécurité et la gestion appropriée des accès dans les environnements cloud.
Pour en savoir plus sur Azure Container Registry Tasks, consultez Automatiser la génération des images conteneur et la maintenance avec les tâches Azure Container Registry. Si vous souhaitez savoir comment utiliser une étiquette de service afin de configurer des règles d’accès de pare-feu pour Azure Container Registry Tasks, consultez Configurer des règles pour accéder à un registre de conteneurs Azure derrière un pare-feu.
Bonnes pratiques
Configurez et personnalisez des règles de sécurité réseau afin d’autoriser le trafic provenant de l’étiquette de service
AzureContainerRegistry
pour les fonctionnalités telles que l’importation d’images, les webhooks et Azure Container Registry Tasks, par exemple les numéros de port et les protocoles.Configurez des règles de pare-feu afin d’autoriser uniquement le trafic en provenance des plages d’adresses IP associées aux étiquettes de service Azure Container Registry pour chaque fonctionnalité.
Détectez et empêchez le trafic non autorisé qui ne provient pas d’adresses IP Azure Container Registry pour les étiquettes de service.
Effectuez un monitoring en continu du trafic réseau, et passez en revue régulièrement les configurations de sécurité afin de gérer le trafic inattendu pour chaque fonctionnalité Azure Container Registry via Azure Monitor ou Network Watcher.