Az Azure Container Registry szolgáltatáscímkék
A szolgáltatáscímkék segítenek szabályokat beállítani egy adott Azure-szolgáltatás felé történő forgalom engedélyezéséhez vagy letiltásához. Az Azure Container Registryben a szolgáltatáscímkék ip-címelőtagok csoportját jelölik, amelyek a szolgáltatás globális vagy Azure-régiónkénti eléréséhez használhatók. Az Azure Container Registry szolgáltatáscímkéből származó hálózati forgalmat hoz létre olyan funkciókhoz, mint a képimportálás, a webhookok és az Azure Container Registry-feladatok.
A Microsoft kezeli a szolgáltatáscímkék címelőtagjait. A Microsoft automatikusan frissíti a szolgáltatáscímkét a címek változásakor, hogy minimalizálja a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét.
Amikor tűzfalat konfigurál egy beállításjegyzékhez, az Azure Container Registry kiszolgálja a szolgáltatáscímkék IP-címére vonatkozó kéréseket. A tűzfalelérési szabályokban említett forgatókönyvek esetében a tűzfal kimenő szabályát úgy konfigurálhatja, hogy a szolgáltatáscímkék számára engedélyezze az Azure Container Registry IP-címeinek elérését.
Kép importálása
Az Azure Container Registry a rendszerképek letöltéséhez szolgáltatáscímkével ellátott IP-címeken keresztül küld kéréseket a külső beállításjegyzék-szolgáltatásnak. Ha a külső beállításjegyzék-szolgáltatás tűzfal mögött fut, egy bejövő szabályra van szükség a szolgáltatáscímkék IP-címeinek engedélyezéséhez. Ezek az IP-címek a AzureContainerRegistry szolgáltatáscímke alá tartoznak, amely tartalmazza a rendszerképek nyilvános vagy Azure-regisztrációs adatbázisokból való importálásához szükséges IP-tartományokat.
Az Azure biztosítja, hogy ezek az IP-tartományok automatikusan frissülnek. Ennek a biztonsági protokollnak a létrehozása elengedhetetlen a beállításjegyzék integritásának fenntartásához és a rendelkezésre állás biztosításához.
A hálózati biztonsági szabályok konfigurálásához és a szolgáltatáscímkéről érkező forgalom engedélyezéséhez tekintse meg a AzureContainerRegistry beállításjegyzék végpontjairól szóló cikket. A szolgáltatáscímke rendszerképek importálása során való használatával kapcsolatos részletes lépéseket és útmutatást a tárolólemezképek importálása tárolóregisztrációs adatbázisba című témakörben talál.
Webhookok
Az Azure Container Registry szolgáltatáscímkék használatával kezeli a hálózati forgalmat olyan funkciók esetében, mint a webhookok, hogy csak megbízható források aktiválhassák ezeket az eseményeket. Amikor beállít egy webhookot az Azure Container Registryben, az reagálhat a beállításjegyzék szintjén lévő eseményekre, vagy egy adott adattárcímkére szűkíthető. A georeplikált regisztrációs adatbázisok esetében minden webhookot úgy konfigurálhat, hogy reagáljon egy adott regionális replika eseményeire.
A webhook végpontjának nyilvánosan elérhetőnek kell lennie a beállításjegyzékből. A beállításjegyzék webhook-kéréseit úgy konfigurálhatja, hogy biztonságos végponton hitelesítsék magukat.
Az Azure Container Registry elküldi a kérelmet a konfigurált webhook-végpontnak a szolgáltatáscímkék IP-címén keresztül. Ha a webhook-végpont tűzfal mögött fut, az IP-címek engedélyezéséhez bejövő szabály szükséges. A webhook végponthoz való hozzáférésének biztonságossá tételéhez konfigurálnia kell a megfelelő hitelesítést is a kérés érvényesítéséhez.
A webhook beállításának létrehozásának részletes lépéseit az Azure Container Registry dokumentációjában találja.
Azure Container Registry-feladatok
Ha Azure Container Registry-feladatokat használ, például tárolólemezképek létrehozásakor vagy munkafolyamatok automatizálásakor, a szolgáltatáscímke az Azure Container Registry által használt IP-címelőtagok csoportját jelöli.
A feladatok végrehajtása során az Azure Container Registry kéréseket küld külső erőforrásoknak a szolgáltatáscímkék IP-címén keresztül. Ha egy külső erőforrás tűzfal mögött fut, egy bejövő szabályra van szükség ezeknek az IP-címeknek a engedélyezéséhez. A bejövő szabályok alkalmazása gyakori gyakorlat a felhőkörnyezetek biztonságának és megfelelő hozzáférés-kezelésének biztosításához.
Az Azure Container Registry-feladatokkal kapcsolatos további információkért tekintse meg a tárolólemezképek összeállításának és karbantartásának automatizálása az Azure Container Registry-feladatokkal című témakört. Ha tudni szeretné, hogyan állíthat be tűzfalelérési szabályokat az Azure Container Registry-feladatokhoz szolgáltatáscímkék használatával, tekintse meg a tűzfal mögötti Azure-tárolóregisztrációs adatbázishoz való hozzáférés szabályainak konfigurálása című témakört.
Ajánlott eljárások
Konfigurálja és testre szabja a hálózati biztonsági szabályokat, hogy engedélyezze a szolgáltatáscímke forgalmát olyan funkciók esetében, mint a
AzureContainerRegistryképimportálás, a webhookok és az Azure Container Registry-feladatok, például a portszámok és a protokollok.Állítson be tűzfalszabályokat, hogy az egyes szolgáltatásokhoz kizárólag az Azure Container Registry szolgáltatáscímkékhez társított IP-tartományokból érkező forgalmat engedélyezze.
Az Azure Container Registry szolgáltatáscímkékhez tartozó IP-címéről nem származó jogosulatlan forgalom észlelése és megakadályozása.
Folyamatosan monitorozza a hálózati forgalmat, és rendszeresen tekintse át a biztonsági konfigurációkat az Egyes Azure Container Registry-funkciók váratlan forgalmának kezeléséhez az Azure Monitor vagy a Network Watcher használatával.