Hitelesítés az Azure Container Registry használatával

Az Azure-tárolóregisztrációs adatbázissal többféleképpen is hitelesíthet. Ezeket a beállításokat áttekintve megállapíthatja, hogy mi működik a legjobban a tárolóregisztrációs adatbázis használati forgatókönyvéhez.

A legtöbb esetben a következő Microsoft Entra ID-alapú módszerek egyikével végezhet hitelesítést:

• Egyéni bejelentkezés – Hitelesítés közvetlenül egy beállításjegyzékben
• Szolgáltatásnév – Microsoft Entra szolgáltatásnév használata felügyelet nélküli vagy "fej nélküli" hitelesítéshez alkalmazások és tárolóvezénylők által

Hitelesítési lehetőségek

Az alábbi táblázat az elérhető hitelesítési módszereket és a tipikus forgatókönyveket sorolja fel, további részletekre mutató hivatkozásokkal.

Tipp.

Az Azure Kubernetes Service (AKS) vagy egy másik Kubernetes-fürt hitelesítéséről a Kubernetes-ből származó Azure Container Registryvel való hitelesítés forgatókönyvei című témakörben olvashat.

Metódus	Hitelesítés	Forgatókönyvek	Microsoft Entra szerepköralapú hozzáférés-vezérlés (RBAC)	Korlátozások
Egyéni Microsoft Entra-identitás	az acr login az Azure CLI-ben Connect-AzContainerRegistry az Azure PowerShellben	Fejlesztők, tesztelők interaktív leküldése/lekérése	Igen	A Microsoft Entra-jogkivonatot 3 óránként meg kell újítani
Microsoft Entra szolgáltatásnév	docker login az acr login az Azure CLI-ben Connect-AzContainerRegistry az Azure PowerShellben Rendszerleíró adatbázis bejelentkezési beállítások API-kban vagy eszközökben	Felügyelet nélküli leküldés CI/CD-folyamatból Felügyelet nélküli lekérés az Azure-ba vagy külső szolgáltatásokba	Igen	Az SP-jelszó alapértelmezett lejárati ideje 1 év
Microsoft Entra felügyelt identitás Azure-erőforrásokhoz	docker login   az acr login az Azure CLI-ben Connect-AzContainerRegistry az Azure PowerShellben	Felügyelet nélküli leküldés az Azure CI/CD-folyamatból Felügyelet nélküli lekérés az Azure-szolgáltatásokhoz A felügyelt identitás szerepkör-hozzárendelési forgatókönyveinek listáját az ACR Entra engedélyei és szerepkör-hozzárendelései című témakörben találja.	Igen	Csak olyan Azure-szolgáltatásokból használható, amelyek támogatják az Azure-erőforrások felügyelt identitását
Rendszergazdai felhasználó	docker login	Interaktív leküldés/lekérés egyéni fejlesztő vagy tesztelő által Rendszerkép központi telepítése a beállításjegyzékből a Azure-alkalmazás Szolgáltatásba vagy az Azure Container Instancesbe	Nem, mindig lekéréses és leküldéses hozzáférés	Magas szintű hozzáférés. Beállításjegyzékenként egy fiók; nem ajánlott több felhasználó számára
Nem Microsoft Entra-jogkivonat-alapú adattárengedélyek	docker login az acr login az Azure CLI-ben Connect-AzContainerRegistry az Azure PowerShellben	Interaktív leküldés/lekérés az adattárba egyéni fejlesztő vagy tesztelő által Felügyelet nélküli lekérés az adattárból egyéni rendszer vagy külső eszköz által	A jogkivonat-alapú adattárengedélyek nem támogatják a Microsoft Entra RBAC szerepkör-hozzárendeléseit. A Microsoft Entra-alapú adattárengedélyekért lásd ehelyett az Azure Container Registry attribútumalapú hozzáférés-vezérlési (ABAC) engedélyeit az Azure-on.	Jelenleg nincs integrálva a Microsoft Entra-azonosítóval

Hitelesítés Microsoft Entra ID-vel

Amikor közvetlenül a regisztrárral dolgozik, például képeket húz le és képeket feltölt egy fejlesztői munkaállomásról az ön által létrehozott regisztrárba, az egyéni Azure-identitás használatával hitelesíthet.

Azure CLI

Jelentkezzen be az Azure CLI-beaz login használatával, majd futtassa az az acr login parancsot:

az login
az acr login --name <acrName>

Amikor a az acr login használatával jelentkezik be, a CLI a az login végrehajtásakor létrehozott jogkivonatot használja a munkamenet zökkenőmentes hitelesítéséhez a regisztrációs tárban. A hitelesítési folyamat befejezéséhez a Docker parancssori felületét és a Docker-démont telepíteni kell, és a környezetben kell futnia. az acr login A Docker-ügyfél használatával állít be egy Microsoft Entra-jogkivonatot a docker.config fájlban. Miután így bejelentkezett, a rendszer gyorsítótárazza a hitelesítő adatokat, és a munkamenet későbbi docker parancsai nem igényelnek felhasználónevet vagy jelszót.

Tipp.

Az egyéni identitás hitelesítésére is használható az acr login , ha docker-lemezképeken kívüli összetevőket szeretne leküldni vagy lekérni a beállításjegyzékbe, például OCI-összetevőket.

A beállításjegyzék-hozzáféréshez a használt jogkivonat az acr login3 órán át érvényes, ezért a parancs futtatása docker előtt mindig jelentkezzen be a beállításjegyzékbe. Ha a jogkivonat lejár, frissítse úgy, hogy ismételten használja a az acr login parancsot az újrahitelesítéshez.

Az Azure-identitásokkal való használat az acr login lehetővé teszi az Azure szerepköralapú hozzáférés-vezérlését (RBAC). Bizonyos esetekben előfordulhat, hogy a saját egyéni identitásával a beállításjegyzékbe szeretne bejelentkezni a Microsoft Entra ID segítségével, vagy más Azure-felhasználókat kell meghatározott szerepkörökkel konfigurálnia. Szolgáltatásközi forgatókönyvek esetén, illetve munkacsoportok vagy fejlesztési munkafolyamatok esetén, ahol nem szeretné kezelni az egyéni hozzáférést, az Azure-erőforrásokhoz tartozó felügyelt identitással is bejelentkezhet.

Az az acr-bejelentkezés használata Docker-démon nélkül

Esetenként az acr login segítségével kell hitelesítenie, ha a Docker-démon nem fut a környezetében. Előfordulhat például, hogy egy szkriptben kell futtatnia az acr login az Azure Cloud Shellben, amely biztosítja a Docker CLI-t, de nem futtatja a Docker démont.

Ebben a forgatókönyvben futtassa az acr login a --expose-token paraméterrel. Ez a beállítás egy hozzáférési jogkivonatot ad vissza a Docker parancssori felületén való bejelentkezés helyett.

az acr login --name <acrName> --expose-token

A kimenet az itt rövidített hozzáférési jogkivonatot jeleníti meg:

{
  "accessToken": "eyJhbGciOiJSUzI1NiIs[...]24V7wA",
  "loginServer": "myregistry.azurecr.io"
}

A beállításjegyzékén keresztüli hitelesítéshez tárolja a token hitelesítő adatait biztonságos helyen, és kövesse az ajánlott eljárásokat a Docker bejelentkezési hitelesítő adatainak kezeléséhez. Tárolhatja például a jogkivonat értékét egy környezeti változóban:

TOKEN=$(az acr login --name <acrName> --expose-token --output tsv --query accessToken)

Ezután futtassa `docker login`, adja meg a `00000000-0000-0000-0000-000000000000` felhasználónevet, és használja a hozzáférési tokent jelszóként.

docker login myregistry.azurecr.io --username 00000000-0000-0000-0000-000000000000 --password-stdin <<< $TOKEN

Hasonlóképpen használhatja a parancs által az acr login visszaadott helm registry login jogkivonatot a beállításjegyzékben való hitelesítéshez:

echo $TOKEN | helm registry login myregistry.azurecr.io \
            --username 00000000-0000-0000-0000-000000000000 \
            --password-stdin

Azure PowerShell

Ha közvetlenül a regisztrációs adatbázissal dolgozik, például képfájlokat húz le vagy tölt fel egy fejlesztői munkaállomásról egy ön által létrehozott regisztrációs adatbázisba, a hitelesítéshez használja egyéni Azure-identitását. Jelentkezzen be az Azure PowerShellbe a Connect-AzAccount használatával, majd futtassa a Connect-AzContainerRegistry parancsmagot:

Connect-AzAccount
Connect-AzContainerRegistry -Name <acrName>

Amikor a Connect-AzContainerRegistry használatával jelentkezik be, a PowerShell az Connect-AzAccount végrehajtása során létrehozott jogkivonatot használja, hogy zökkenőmentesen hitelesítse a munkamenetet az Ön beállításjegyzékében. A hitelesítési folyamat befejezéséhez a Docker parancssori felületét és a Docker-démont telepíteni kell, és a környezetben kell futnia. Connect-AzContainerRegistry A Docker-ügyfél használatával állít be egy Microsoft Entra-jogkivonatot a docker.config fájlban. Miután így bejelentkezett, a rendszer gyorsítótárazza a hitelesítő adatokat, és a munkamenet későbbi docker parancsai nem igényelnek felhasználónevet vagy jelszót.

Tipp.

Az egyéni identitás hitelesítésére is használható Connect-AzContainerRegistry , ha docker-lemezképeken kívüli összetevőket szeretne leküldni vagy lekérni a beállításjegyzékbe, például OCI-összetevőket.

A beállításjegyzék-hozzáféréshez a használt Connect-AzContainerRegistry jogkivonat 3 órán át érvényes, ezért a parancs futtatása docker előtt mindig jelentkezzen be a beállításjegyzékbe. Ha a jogkivonat lejár, frissítse úgy, hogy ismételten használja a Connect-AzContainerRegistry parancsot az újrahitelesítéshez.

Az Azure-identitásokkal való használat Connect-AzContainerRegistry lehetővé teszi az Azure szerepköralapú hozzáférés-vezérlését (RBAC). Bizonyos esetekben előfordulhat, hogy a saját egyéni identitásával a beállításjegyzékbe szeretne bejelentkezni a Microsoft Entra ID segítségével, vagy más Azure-felhasználókat kell meghatározott szerepkörökkel konfigurálnia. Szolgáltatásközi forgatókönyvek esetén, illetve munkacsoportok vagy fejlesztési munkafolyamatok esetén, ahol nem szeretné kezelni az egyéni hozzáférést, az Azure-erőforrásokhoz tartozó felügyelt identitással is bejelentkezhet.

Szolgáltatásnév

Ha hozzárendel egy egyszerű szolgáltatást a beállításjegyzékhez, az alkalmazás vagy szolgáltatás használhatja a fej nélküli hitelesítéshez. A szolgáltatási feladatkörök engedélyezik az Azure szerepköralapú hozzáférés-vezérlését (RBAC) egy beállításjegyzékben. Több szolgáltatásnevet is hozzárendelhet egy beállításjegyzékhez, így különböző támogatott szerepköröket használhat adott alkalmazásokhoz.

További információ: Azure Container Registry-hitelesítés szolgáltatásnevek használatával.

Rendszergazdai fiók

Minden tárolóregisztrációs adatbázis tartalmaz egy rendszergazdai felhasználói fiókot, amely alapértelmezés szerint le van tiltva. Engedélyezheti a rendszergazda felhasználót, és kezelheti a hitelesítő adatait az Azure Portalon, vagy az Azure CLI, az Azure PowerShell vagy más Azure-eszközök használatával. A rendszergazdai fiók teljes engedélyekkel rendelkezik a beállításjegyzékhez, ezért csak akkor engedélyezze, ha szükséges.

A rendszergazdai fiókra jelenleg szükség van bizonyos helyzetekben, amikor lemezképet helyeznek üzembe egy tárolóregisztrációs adatbázisból bizonyos Azure-szolgáltatásokba. A rendszergazdai fiókra például akkor van szükség, ha az Azure Portal használatával közvetlenül üzembe helyez egy tárolórendszerképet egy beállításjegyzékből az Azure Container Instances vagy az Azure Web Apps for Containers szolgáltatásban.

Fontos

A rendszergazdai fiók úgy lett kialakítva, hogy egyetlen felhasználó hozzáférjen a beállításjegyzékhez, főként tesztelési célokra. Ne ossza meg a rendszergazdai fiók hitelesítő adatait több felhasználó között. A rendszergazdai fiókkal hitelesítő összes felhasználó egyetlen felhasználóként jelenik meg, és leküldéses és lekéréses hozzáféréssel rendelkezik a beállításjegyzékhez. A fiók módosítása vagy letiltása letiltja a beállításjegyzék-hozzáférést minden olyan felhasználó számára, aki a hitelesítő adatait használja. Használjon egyéni identitást a felhasználóknak és szolgáltatási főszemélyeket fej nélküli forgatókönyvekhez.

A rendszergazdai fiók két jelszóval rendelkezik, amelyek mindegyike újragenerálható. A rendszergazdai fiókok jelszavainak újragenerálása körülbelül 60 másodpercet vesz igénybe a replikáláshoz és az elérhetővé váláshoz. Mivel a fiók két jelszóval rendelkezik, az egyik jelszóval fenntarthatja a kapcsolatot a beállításjegyzékkel, miközben újragenerálja a másikat. Ha engedélyezi a rendszergazdai fiókot, a felhasználónevet és a jelszót is átadhatja a docker login parancsnak, amikor a rendszer alapszintű hitelesítést kér a beállításjegyzékben. A hitelesítési hitelesítő adatok kezelésével kapcsolatos ajánlott eljárásokért tekintse meg a Docker bejelentkezési parancsának hivatkozását.

Azure CLI

Ha engedélyezni szeretné a rendszergazda felhasználót egy meglévő beállításjegyzékhez, használja az --admin-enabledaz acr update parancs paraméterét az Azure CLI-ben:

az acr update -n <acrName> --admin-enabled true

Azure PowerShell

Ha engedélyezni szeretné a rendszergazda felhasználót egy meglévő beállításjegyzékhez, használja az EnableAdminUserUpdate-AzContainerRegistry parancs paraméterét az Azure PowerShellben:

Update-AzContainerRegistry -Name <acrName> -ResourceGroupName myResourceGroup -EnableAdminUser

Az Azure portálon is engedélyezheti a rendszergazdai felhasználót a regisztrárodban. A szolgáltatásmenü Beállítások területén válassza az Access-kulcsok lehetőséget. Ezután jelölje be a Rendszergazda felhasználó jelölőnégyzetet a fiók engedélyezéséhez. Megjelenik a rendszergazdai felhasználónév, valamint a két jelszó, amelyeket igény szerint megjeleníthet vagy újra létrehozhat.

Bejelentkezés másik tárolóeszközzel a Docker helyett

Bizonyos esetekben alternatív tárolóeszközöket kell használnia, például podman a Docker helyett.

Az alapértelmezett tárolóeszköz parancsokra docker van beállítvaaz acr login. Ha nem állítja be az alapértelmezett tárolóeszközt, és a docker parancs hiányzik a környezetben, hibaüzenet jelenik meg. A parancs által használt alapértelmezett tárolóeszköz az acr login módosításához állítsa be a környezeti változót DOCKER_COMMAND. Példa:

DOCKER_COMMAND=podman \
az acr login --name <acrName>

Következő lépések

• Az első rendszerkép leküldése az Azure CLI használatával
• Az első rendszerkép leküldése az Azure PowerShell használatával