Share via

Étiquettes de service pour Azure Container Registry

  • Article

Les étiquettes de service aident à définir des règles pour autoriser ou refuser le trafic vers un service Azure spécifique. Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné. Les étiquettes de service dans Azure Container Registry (ACR) représentent un groupe de préfixes d’adresse IP qui peuvent être utilisés pour accéder au service globalement ou par région Azure. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité des mises à jour fréquentes relatives aux règles de sécurité réseau.

Azure Container Registry (ACR) génère du trafic réseau à partir de l’étiquette de service ACR pour des fonctionnalités comme l’importation d’images, Webhook et ACR Tasks.

Quand vous configurez un pare-feu pour un registre, ACR sert les demandes sur ses adresses IP d’étiquette de service. Pour les scénarios mentionnés dans Règles d’accès de pare-feu, les clients peuvent configurer la règle de trafic sortant du pare-feu pour autoriser l’accès aux adresses IP d’étiquette de service ACR.

Importer des images

Azure Container Registry (ACR) lance les demandes adressées aux services de registre externes en utilisant des adresses IP d’étiquette de service pour les téléchargements d’image. Si le service de registre externe fonctionne derrière un pare-feu, une règle de trafic entrant est nécessaire pour accepter les adresses IP d’étiquette de service ACR. Ces IP se trouvent sous l’étiquette de service ACR, qui inclut les plages IP nécessaires pour l’importation d’images à partir de registres publics ou Azure. Azure garantit la mise à jour automatique de ces plages. L’établissement de ce protocole de sécurité est essentiel pour maintenir l’intégrité du registre et garantir sa disponibilité.

ACR envoie des demandes au service de registre externe en utilisant les adresses IP d’étiquette de service pour télécharger les images. Si le service de registre externe s’exécute derrière un pare-feu, une règle de trafic entrant doit autoriser les adresses IP d’étiquette de service ACR. Ces IP font partie de l’étiquette de service AzureContainerRegistry, qui englobe les plages IP nécessaires à l’importation d’images à partir de registres publics ou Azure. Configuration d’une mesure de sécurité pour maintenir l’intégrité et l’accessibilité du registre.

Découvrez les points de terminaison de registre pour configurer des règles de sécurité réseau et autoriser le trafic à partir de l’étiquette de service ACR pour l’importation d’images dans ACR.

Pour obtenir des instructions détaillées sur l’utilisation de l’étiquette de service pendant l’importation d’images, consultez la documentation Azure Container Registry.

webhooks

Les étiquettes de service dans Azure Container Registry (ACR) sont utilisées pour gérer le trafic réseau pour des fonctionnalités comme les webhooks afin de garantir que seules les sources approuvées peuvent déclencher ces événements. Quand vous configurez un webhook dans ACR, il peut répondre aux événements au niveau du registre ou être limité à une étiquette de dépôt spécifique. Pour les registres géorépliqués, vous configurez chaque webhook pour répondre aux événements d’un réplica régional spécifique.

Le point de terminaison pour un webhook doit être accessible publiquement à partir du Registre. Vous pouvez configurer les demandes de webhook du Registre pour l’authentification auprès d’un point de terminaison sécurisé. ACR envoie la demande au point de terminaison de webhook configuré en utilisant les adresses IP d’étiquette de service. Si le point de terminaison de webhook s’exécute derrière un pare-feu, une règle de trafic entrant doit autoriser les adresses IP d’étiquette de service ACR. Par ailleurs, pour sécuriser l’accès du point de terminaison de webhook, le client doit configurer l’authentification appropriée pour valider la demande.

Pour obtenir des instructions détaillées sur la création d’une configuration de webhook, consultez la documentation Azure Container Registry.

ACR Tasks

ACR Tasks, par exemple quand vous créez des images conteneur ou que vous automatisez des workflows, l’étiquette de service représente le groupe de préfixes d’adresse IP que le registre ACR utilise. Pendant l’exécution des tâches, Tasks envoie des demandes à des ressources externes en utilisant des adresses IP d’étiquette de service. Si la ressource externe s’exécute derrière un pare-feu, une règle de trafic entrant doit autoriser les adresses IP d’étiquette de service ACR. L’application de ces règles de trafic entrant est une pratique courante pour garantir la sécurité et la gestion appropriée des accès dans les environnements cloud.

En savoir plus sur ACR Tasks et comment utiliser l’étiquette de service pour configurer des règles d’accès de pare-feu pour ACR Tasks.

Bonnes pratiques

  • Configurez et personnalisez les règles de sécurité réseau pour autoriser le trafic à partir de l’étiquette de service AzureContainerRegistry pour des fonctionnalités comme l’importation d’images, les webhooks et ACR Tasks, par exemple, les numéros de port et les protocoles.

  • Configurez des règles de pare-feu pour autoriser le trafic uniquement à partir des plages IP associées aux étiquettes de service ACR pour chaque fonctionnalité.

  • Détectez et empêchez le trafic non autorisé ne provenant pas d’adresses IP d’étiquette de service ACR.

  • Monitorez le trafic réseau en continu et vérifiez régulièrement les configurations de sécurité afin de traiter le trafic inattendu pour chaque fonctionnalité ACR en utilisant Azure Monitor ou Network Watcher.