Nyilvános IP-hálózati szabályok konfigurálása

Az Azure-tárolóregisztrációs adatbázis alapértelmezés szerint elfogadja az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ez a cikk bemutatja, hogyan konfigurálhatja a tárolóregisztrációs adatbázist úgy, hogy csak meghatározott nyilvános IP-címekről vagy címtartományokból engedélyezze a hozzáférést. Az Azure CLI és az Azure Portal használatával egyenértékű lépések érhetők el.

Az IP-hálózati szabályok a nyilvános beállításjegyzék végpontján vannak konfigurálva. Az IP-hálózati szabályok nem vonatkoznak a Privát kapcsolattal konfigurált privát végpontokra

Az IP-hozzáférési szabályok konfigurálása a prémium szintű tárolóregisztrációs szolgáltatási szinten érhető el. A beállításjegyzék szolgáltatási szintjeiről és korlátairól további információt az Azure Container Registry szintjeiben talál.

Minden beállításjegyzék legfeljebb 100 IP-hozzáférési szabályt támogat.

Fontos

Előfordulhat, hogy egyes funkciók nem érhetők el, vagy több konfigurációt igényelnek egy tárolóregisztrációs adatbázisban, amely korlátozza a privát végpontokhoz, a kijelölt alhálózatokhoz vagy IP-címekhez való hozzáférést.

• Ha egy beállításjegyzékhez való nyilvános hálózati hozzáférés le van tiltva, bizonyos megbízható szolgáltatások , például az Azure Security Center beállításjegyzék-hozzáféréséhez engedélyezni kell a hálózati beállításokat a hálózati szabályok megkerüléséhez.
• Ha a nyilvános hálózati hozzáférés le van tiltva, bizonyos Azure-szolgáltatások, köztük az Azure DevOps Services példányai jelenleg nem férnek hozzá a tárolóregisztrációs adatbázishoz.
• A privát végpontok jelenleg nem támogatottak az Azure DevOps által felügyelt ügynökökkel. Egy saját üzemeltetésű ügynököt kell használnia, amely hálózati látóvonalat használ a privát végponthoz.
• Ha a beállításjegyzék jóváhagyott privát végponttal rendelkezik, és a nyilvános hálózati hozzáférés le van tiltva, az adattárak és címkék nem adhatók meg a virtuális hálózaton kívül az Azure Portal, az Azure CLI vagy más eszközök használatával.

Hozzáférés a kijelölt nyilvános hálózatról – parancssori felület

A beállításjegyzék alapértelmezett hálózati hozzáférésének módosítása

A kijelölt nyilvános hálózathoz való hozzáférés korlátozásához először módosítsa az alapértelmezett műveletet a hozzáférés megtagadására. Cserélje le a beállításjegyzék nevét az alábbi az acr update parancsra:

az acr update --name myContainerRegistry --default-action Deny

Hálózati szabály hozzáadása a beállításjegyzékhez

Az az acr network-rule add paranccsal adjon hozzá egy hálózati szabályt a beállításjegyzékhez, amely nyilvános IP-címről vagy -tartományból engedélyezi a hozzáférést. Cserélje le például a tárolóregisztrációs adatbázis nevét és egy virtuális hálózat virtuális gépének nyilvános IP-címét.

az acr network-rule add \
  --name mycontainerregistry \
  --ip-address <public-IP-address>

Feljegyzés

A szabály hozzáadása után néhány percig tart, amíg a szabály érvénybe lép.

Hozzáférés a kijelölt nyilvános hálózatról – portál

1. A portálon keresse meg a tárolóregisztrációs adatbázist.
2. A Beállítások területen válassza a Hálózatkezelés lehetőséget.
3. A Nyilvános hozzáférés lapon válassza ki a kijelölt hálózatok nyilvános hozzáférésének engedélyezését.
4. A Tűzfal területen adjon meg egy nyilvános IP-címet, például egy virtuális gép nyilvános IP-címét egy virtuális hálózaton. Vagy adjon meg egy címtartományt a CIDR-jelölésben, amely tartalmazza a virtuális gép IP-címét.
5. Válassza a Mentés lehetőséget.

Feljegyzés

A szabály hozzáadása után néhány percig tart, amíg a szabály érvénybe lép.

Tipp.

Ha szeretné, engedélyezze a beállításjegyzék-hozzáférést egy helyi ügyfélszámítógépről vagy IP-címtartományból. A hozzáférés engedélyezéséhez szüksége van a számítógép nyilvános IPv4-címére. Ezt a címet egy internetböngészőben a "mi az IP-címem" kifejezésre kattintva találja meg. Az aktuális ügyfél IPv4-címe is automatikusan megjelenik, amikor a tűzfalbeállításokat a portál Hálózatkezelés lapján konfigurálja.

Nyilvános hálózati hozzáférés letiltása

Ha szükséges, tiltsa le a nyilvános végpontot a beállításjegyzékben. A nyilvános végpont letiltása felülbírálja az összes tűzfalkonfigurációt. Előfordulhat például, hogy le szeretné tiltani a privát kapcsolattal védett beállításjegyzék nyilvános elérését egy virtuális hálózaton.

Feljegyzés

Ha a beállításjegyzék szolgáltatásvégponttal rendelkező virtuális hálózaton van beállítva, a beállításjegyzék nyilvános végponthoz való hozzáférésének letiltása a virtuális hálózaton belüli beállításjegyzékhez való hozzáférést is letiltja.

Nyilvános hozzáférés letiltása – parancssori felület

Ha le szeretné tiltani a nyilvános hozzáférést az Azure CLI használatával, futtassa az az acr-frissítést , és állítsa a következőre --public-network-enabled false: . Az public-network-enabled argumentumhoz az Azure CLI 2.6.0-s vagy újabb verziója szükséges.

az acr update --name myContainerRegistry --public-network-enabled false

Nyilvános hozzáférés letiltása – portál

1. A portálon keresse meg a tárolóregisztrációs adatbázist, és válassza a Beállítások hálózatkezelés lehetőséget>.
2. A Nyilvános hozzáférés lap Nyilvános hálózati hozzáférés engedélyezése területén válassza a Letiltva lehetőséget. Ezután válassza a Mentés lehetőséget.

Nyilvános hálózati hozzáférés visszaállítása

A nyilvános végpont ismételt engedélyezéséhez frissítse a hálózati beállításokat a nyilvános hozzáférés engedélyezéséhez. A nyilvános végpont engedélyezése felülbírálja az összes tűzfalkonfigurációt.

Nyilvános hozzáférés visszaállítása – parancssori felület

Futtassa az acr-frissítést , és állítsa a következőre --public-network-enabled true: .

Feljegyzés

Az public-network-enabled argumentumhoz az Azure CLI 2.6.0-s vagy újabb verziója szükséges.

az acr update --name myContainerRegistry --public-network-enabled true

Nyilvános hozzáférés visszaállítása – portál

1. A portálon keresse meg a tárolóregisztrációs adatbázist, és válassza a Beállítások hálózatkezelés lehetőséget>.
2. A Nyilvános hozzáférés lap Nyilvános hálózati hozzáférés engedélyezése területén válassza a Minden hálózat lehetőséget. Ezután válassza a Mentés lehetőséget.

Hibaelhárítás

Hozzáférés HTTPS-proxy mögött

Ha egy nyilvános hálózati szabály be van állítva, vagy a beállításjegyzékhez való nyilvános hozzáférés megtagadva van, a nem engedélyezett nyilvános hálózatról próbál bejelentkezni a beállításjegyzékbe. A HTTPS-proxy mögötti ügyfélhozzáférés akkor is meghiúsul, ha nincs beállítva a proxy hozzáférési szabálya. A következőhöz Error response from daemon: login attempt failed with status: 403 Forbidden Looks like you don't have access to registryhasonló hibaüzenet jelenik meg:

Ezek a hibák akkor is előfordulhatnak, ha olyan HTTPS-proxyt használ, amelyet egy hálózati hozzáférési szabály engedélyez, de a proxy nincs megfelelően konfigurálva az ügyfélkörnyezetben. Ellenőrizze, hogy a Docker-ügyfél és a Docker-démon is proxy-viselkedésre van-e konfigurálva. További részletekért tekintse meg a HTTP/HTTPS-proxyt a Docker dokumentációjában.

Hozzáférés az Azure Pipelinesból

Ha az Azure Pipelinest olyan Azure-tárolóregisztrációs adatbázissal használja, amely korlátozza a hozzáférést adott IP-címekhez, előfordulhat, hogy a folyamat nem tud hozzáférni a beállításjegyzékhez, mert a folyamat kimenő IP-címe nincs javítva. A folyamat alapértelmezés szerint egy Microsoft által üzemeltetett ügynökkel futtat feladatokat egy változó IP-címekkel rendelkező virtuálisgép-készleten.

Az egyik kerülő megoldás a folyamat Microsoft által üzemeltetettről saját üzemeltetésűre való futtatásához használt ügynök módosítása. A felügyelt Windows vagy Linux rendszerű számítógépen futó saját üzemeltetésű ügynökkel szabályozhatja a folyamat kimenő IP-címét, és ezt a címet hozzáadhatja egy beállításjegyzék IP-hozzáférési szabályához.

Hozzáférés az AKS-ből

Ha az Azure Kubernetes Service -t (AKS) olyan Azure-tárolóregisztrációs adatbázissal használja, amely bizonyos IP-címekhez való hozzáférést korlátozza, alapértelmezés szerint nem konfigurálhat rögzített AKS IP-címet. Az AKS-fürt kimenő IP-címe véletlenszerűen van hozzárendelve.

Ha engedélyezni szeretné az AKS-fürt számára a beállításjegyzék elérését, az alábbi lehetőségek állnak rendelkezésére:

• Ha az Azure Basic Load Balancert használja, állítson be egy statikus IP-címet az AKS-fürthöz.
• Ha az Azure Standard Load Balancert használja, tekintse meg a fürt kimenő forgalmának szabályozására vonatkozó útmutatást.

Következő lépések

• Ha egy regisztrációs adatbázishoz való hozzáférést egy virtuális hálózat privát végpontja használatával szeretné korlátozni, tekintse meg az Azure Private Link azure-tárolóregisztrációs adatbázishoz való konfigurálását.
• Ha beállításjegyzék-hozzáférési szabályokat kell beállítania egy ügyfél tűzfala mögött, olvassa el a Szabályok konfigurálása az Azure-tárolóregisztrációs adatbázis tűzfal mögötti eléréséhez című témakört.
• További hibaelhárítási útmutató : A beállításjegyzék hálózati problémáinak elhárítása.