Compartir por


Etiquetas de servicio para Azure Container Registry

Las etiquetas de servicio ayudan a establecer reglas para permitir o denegar el tráfico a un servicio específico de Azure. En Azure Container Registry, una etiqueta de servicio representa un grupo de prefijos de direcciones IP que pueden utilizarse para acceder al servicio, ya sea globalmente o por región Azure. Azure Container Registry genera tráfico de red que se origina en una etiqueta de servicio para características como la importación de imágenes, webhooks y tareas de Azure Container Registry.

Microsoft gestiona los prefijos de dirección que engloba una etiqueta de servicio. Microsoft actualiza automáticamente una etiqueta de servicio a medida que cambian las direcciones para minimizar la complejidad de las actualizaciones frecuentes de las reglas de seguridad de red.

Al configurar un firewall para un registro, Azure Container Registry atiende las solicitudes en las direcciones IP para sus etiquetas de servicio. En los escenarios mencionados en Reglas de acceso de firewall, puede configurar la regla de salida del firewall para permitir el acceso a las direcciones IP de Azure Container Registry para las etiquetas de servicio.

Importación de imagen

Azure Container Registry envía solicitudes al servicio de registro externo a través de direcciones IP de etiquetas de servicio para descargar imágenes. Si el servicio de registro externo se ejecuta detrás de un cortafuegos, requiere una regla de entrada para permitir las direcciones IP para las etiquetas de servicio. Estas IP entran dentro de la etiqueta de servicio AzureContainerRegistry, que incluye los rangos de IP necesarios para importar imágenes de registros públicos o de Azure.

Azure garantiza que estos rangos de IP se actualicen automáticamente. Establecer este protocolo de seguridad es fundamental para mantener la integridad del registro y garantizar su disponibilidad.

Para configurar las reglas de seguridad de la red y permitir el tráfico desde la etiqueta de servicio AzureContainerRegistry para la importación de imágenes en Azure Container Registry, consulte Acerca de los puntos finales del registro. Para obtener pasos detallados e instrucciones sobre cómo usar la etiqueta de servicio durante la importación de imágenes, consulte Importación de imágenes de contenedor en un registro de contenedor.

Webhooks

En Azure Container Registry, se utilizan etiquetas de servicio para gestionar el tráfico de red de funciones como los webhooks, a fin de garantizar que sólo las fuentes de confianza puedan desencadenar estos eventos. Cuando configure un webhook en Azure Container Registry, éste puede responder a eventos a nivel de registro o estar limitado a una etiqueta de repositorio específica. En el caso de los registros con replicación geográfica, configure cada webhook para responder a eventos de una réplica regional específica.

El punto de conexión de un webhook debe ser accesible públicamente desde el registro. Puede configurar solicitudes de webhook del registro para autenticarse en un punto de conexión protegido.

Azure Container Registry envía la solicitud al punto de conexión de webhook configurado a través de las direcciones IP para las etiquetas de servicio. Si el punto de conexión de webhook se ejecuta detrás de un firewall, requiere una regla de entrada para permitir estas direcciones IP. Para ayudar a proteger el acceso al punto de conexión de webhook, también debe configurar la autenticación adecuada para validar la solicitud.

Para obtener pasos detallados sobre cómo crear una configuración de webhook, consulte la documentación de Azure Container Registry.

Tareas de Azure Container Registry

Al usar tareas de Azure Container Registry, como al compilar imágenes de contenedor o automatizar flujos de trabajo, la etiqueta de servicio representa el grupo de prefijos de dirección IP que usa Azure Container Registry.

Durante la ejecución de tareas, Azure Container Registry envía solicitudes a recursos externos a través de las direcciones IP para las etiquetas de servicio. Si un recurso externo se ejecuta detrás de un firewall, requiere una regla de entrada para permitir estas direcciones IP. Aplicar estas reglas de entrada es una práctica común para garantizar la seguridad y la administración de acceso adecuada en entornos en la nube.

Para más información sobre las tareas de Azure Container Registry, consulte Automatización de compilaciones y mantenimiento de imágenes de contenedor con tareas de Azure Container Registry. Para aprender a usar una etiqueta de servicio para configurar reglas de acceso de firewall para tareas de Azure Container Registry, consulte Configuración de reglas para acceder a un registro de contenedor de Azure detrás de un firewall.

procedimientos recomendados

  • Configure y personalice las reglas de seguridad de la red para permitir el tráfico desde la etiqueta de servicio AzureContainerRegistry para funciones como la importación de imágenes, los webhooks y las tareas de Azure Container Registry, como los números de puerto y los protocolos.

  • Configure reglas de firewall para permitir el tráfico únicamente desde intervalos IP asociados a etiquetas de servicio de Azure Container Registry para cada característica.

  • Detecte y evite el tráfico no autorizado que no se origina en las direcciones IP de Azure Container Registry para las etiquetas de servicio.

  • Supervise el tráfico de red continuamente y revise las configuraciones de seguridad periódicamente para abordar el tráfico inesperado de cada característica de Azure Container Registry mediante Azure Monitor o Network Watcher.