Szabályok konfigurálása egy azure-beli tárolóregisztrációs adatbázis tűzfal mögötti eléréséhez

Ez a cikk azt ismerteti, hogyan konfigurálhat szabályokat a tűzfalon az Azure-tárolóregisztrációs adatbázishoz való hozzáférés engedélyezéséhez. Előfordulhat például, hogy egy azure-IoT Edge-eszköznek tűzfal vagy proxykiszolgáló mögött kell hozzáférnie egy tárolóregisztrációs adatbázishoz egy tárolórendszerkép lekéréséhez. Vagy egy helyszíni hálózatban lévő zárolt kiszolgálónak hozzáférésre lehet szüksége a rendszerkép leküldéséhez.

Ha ehelyett csak egy Azure-beli virtuális hálózaton belül szeretné konfigurálni a bejövő hálózati hozzáférést egy tárolóregisztrációs adatbázishoz, tekintse meg a Azure Private Link azure-beli tárolóregisztrációs adatbázishoz való konfigurálását ismertető cikket.

Tudnivalók a beállításazonosítók végpontjairól

Ha rendszerképeket vagy más összetevőket szeretne lekérni vagy leküldni egy Azure-tárolóregisztrációs adatbázisba, egy ügyfélnek, például egy Docker-démonnak két különböző végponttal kell együttműködnie HTTPS-en keresztül. Azoknak az ügyfeleknek, amelyek tűzfal mögöttről férnek hozzá a beállításjegyzékhez, mindkét végponthoz konfigurálnia kell a hozzáférési szabályokat. Mindkét végpont a 443-as porton keresztül érhető el.

  • Beállításjegyzék REST API-végpontja – A hitelesítési és beállításjegyzék-kezelési műveleteket a beállításjegyzék nyilvános REST API-végpontján keresztül kezeli a rendszer. Ez a végpont a regisztrációs adatbázis bejelentkezési kiszolgálójának neve. Például: myregistry.azurecr.io

    • Regisztrációs adatbázis REST API-végpontja tanúsítványokhoz – Az Azure Container Registry helyettesítő SSL-tanúsítványt használ az összes altartományhoz. Amikor SSL használatával csatlakozik az Azure Container Registryhez, az ügyfélnek le kell tudnia tölteni a TLS-kézfogás tanúsítványát. Ilyen esetekben a azurecr.io hozzáférésnek is elérhetőnek kell lennie.
  • Tárolási (adat-) végpont – Az Azure minden beállításjegyzék nevében blobtárolót foglal le az Azure Storage-fiókokban a tárolólemezképek és más összetevők adatainak kezeléséhez. Amikor egy ügyfél hozzáfér egy Azure-beli tárolóregisztrációs adatbázis rendszerképrétegeihez, kéréseket küld a beállításjegyzék által biztosított tárfiókvégpont használatával.

Ha a beállításjegyzék georeplikálva van, előfordulhat, hogy egy ügyfélnek egy adott régióban vagy több replikált régióban kell kezelnie az adatvégpontot.

REST- és adatvégpontokhoz való hozzáférés engedélyezése

  • REST-végpont – Hozzáférés engedélyezése a regisztrációs adatbázis teljes bejelentkezési kiszolgálójának nevéhez vagy <registry-name>.azurecr.ioegy társított IP-címtartományhoz
  • Tárolási (adat-) végpont – Hozzáférés engedélyezése az összes Azure Blob Storage-fiókhoz helyettesítő karakter *.blob.core.windows.netvagy egy társított IP-címtartomány használatával.

Megjegyzés

Azure Container Registry dedikált adatvégpontokat vezet be, amelyek lehetővé teszik az ügyfél tűzfalszabályainak szigorú hatókörét a beállításjegyzékbeli tárolóhoz. Ha szeretné, engedélyezze az adatvégpontokat az összes olyan régióban, ahol a beállításjegyzék található vagy replikálva van az űrlap használatával <registry-name>.<region>.data.azurecr.io.

Tudnivalók a beállításjegyzék teljes tartománynevéről

A beállításjegyzék két teljes tartománynévvel rendelkezik, a bejelentkezési URL-címmel és az adatvégponttal.

  • A bejelentkezési URL-cím és az adatvégpont is elérhető a virtuális hálózaton belülről, privát IP-címek használatával, privát kapcsolat engedélyezésével.
  • Az adatvégpontokat nem használó beállításjegyzéknek hozzá kell férnie az adatokhoz az űrlap *.blob.core.windows.net végpontjáról, és nem biztosítja a tűzfalszabályok konfigurálásakor szükséges elkülönítést.
  • A privát kapcsolattal rendelkező beállításjegyzék automatikusan lekéri a dedikált adatvégpontot.
  • A rendszer régiónként létrehoz egy dedikált adatvégpontot egy beállításjegyzékhez.
  • A bejelentkezési URL-cím változatlan marad, függetlenül attól, hogy az adatvégpont engedélyezve van-e vagy le van tiltva.

Hozzáférés engedélyezése IP-címtartomány szerint

Ha a szervezet olyan szabályzatokkal rendelkezik, amelyek csak bizonyos IP-címekhez vagy címtartományokhoz engedélyezik a hozzáférést, töltse le az Azure IP-címtartományokat és szolgáltatáscímkéket – nyilvános felhőt.

Ha meg szeretné keresni azokat az ACR REST-végpont IP-tartományokat, amelyekhez engedélyeznie kell a hozzáférést, keressen rá az AzureContainerRegistry kifejezésre a JSON-fájlban.

Fontos

Az Azure-szolgáltatások IP-címtartományai változhatnak, és a frissítések hetente jelennek meg. Töltse le rendszeresen a JSON-fájlt, és végezze el a szükséges frissítéseket a hozzáférési szabályokban. Ha a forgatókönyvben hálózati biztonsági csoportszabályokat konfigurál egy Azure-beli virtuális hálózaton, vagy Azure Firewall használ, használja inkább az AzureContainerRegistryszolgáltatáscímkét.

REST IP-címek minden régióhoz

{
  "name": "AzureContainerRegistry",
  "id": "AzureContainerRegistry",
  "properties": {
    "changeNumber": 10,
    "region": "",
    "platform": "Azure",
    "systemService": "AzureContainerRegistry",
    "addressPrefixes": [
      "13.66.140.72/29",
    [...]

EGY adott régió REST IP-címei

Keresse meg az adott régiót, például azureContainerRegistry.AustraliaEast.

{
  "name": "AzureContainerRegistry.AustraliaEast",
  "id": "AzureContainerRegistry.AustraliaEast",
  "properties": {
    "changeNumber": 1,
    "region": "australiaeast",
    "platform": "Azure",
    "systemService": "AzureContainerRegistry",
    "addressPrefixes": [
      "13.70.72.136/29",
    [...]

Tároló IP-címei az összes régióhoz

{
  "name": "Storage",
  "id": "Storage",
  "properties": {
    "changeNumber": 19,
    "region": "",
    "platform": "Azure",
    "systemService": "AzureStorage",
    "addressPrefixes": [
      "13.65.107.32/28",
    [...]

Adott régiók tárolási IP-címei

Keresse meg az adott régiót, például Storage.AustraliaCentral.

{
  "name": "Storage.AustraliaCentral",
  "id": "Storage.AustraliaCentral",
  "properties": {
    "changeNumber": 1,
    "region": "australiacentral",
    "platform": "Azure",
    "systemService": "AzureStorage",
    "addressPrefixes": [
      "52.239.216.0/23"
    [...]

Hozzáférés engedélyezése szolgáltatáscímke szerint

Egy Azure-beli virtuális hálózatban hálózati biztonsági szabályokkal szűrje az erőforrásból, például egy virtuális gépről egy tárolóregisztrációs adatbázisba irányuló forgalmat. Az Azure hálózati szabályok létrehozásának egyszerűsítéséhez használja az AzureContainerRegistryszolgáltatáscímkét. A szolgáltatáscímkék IP-címelőtagok egy csoportját jelölik az Azure-szolgáltatások globális vagy Azure-régiónkénti eléréséhez. A címke automatikusan frissül a címek módosításakor.

Hozzon létre például egy kimenő hálózati biztonságicsoport-szabályt az AzureContainerRegistry célhelyen az Azure Container Registry felé irányuló forgalom engedélyezéséhez. Ha csak egy adott régióban szeretné engedélyezni a szolgáltatáscímkéhez való hozzáférést, adja meg a régiót a következő formátumban: AzureContainerRegistry. [régió neve].

Dedikált adatvégpontok engedélyezése

Figyelmeztetés

Ha korábban konfigurálta az ügyfél tűzfalának hozzáférését a meglévő *.blob.core.windows.net végpontokhoz, a dedikált adatvégpontokra való váltás hatással lesz az ügyfélkapcsolatra, ami lekérési hibákat okoz. Az ügyfelek konzisztens hozzáférésének biztosítása érdekében adja hozzá az új adatvégpont-szabályokat az ügyfél tűzfalszabályaihoz. Ha végzett, engedélyezze a dedikált adatvégpontokat a regisztrációs adatbázisok számára az Azure CLI vagy más eszközök használatával.

A dedikált adatvégpontok a Prémium tárolóregisztrációs adatbázis szolgáltatási szintjének opcionális funkciója. További információ a beállításjegyzék szolgáltatási szintjeiről és korlátairól: Azure Container Registry szolgáltatásszintek.

A dedikált adatvégpontokat az Azure Portal vagy az Azure CLI használatával engedélyezheti. Az adatvégpontok egy regionális mintát követnek, a következőt: <registry-name>.<region>.data.azurecr.io. A georeplikált beállításjegyzékben az adatvégpontok engedélyezése minden replikarégióban engedélyezi a végpontokat.

Portál

Adatvégpontok engedélyezése a portálon:

  1. Lépjen a tárolóregisztrációs adatbázishoz.
  2. Válassza a Hálózatkezelés>nyilvános hozzáférés lehetőséget.
  3. Jelölje be a Dedikált adatvégpont engedélyezése jelölőnégyzetet.
  4. Kattintson a Mentés gombra.

Az adatvégpont vagy végpontok a portálon jelennek meg.

Dedikált adatvégpontok a portálon

Azure CLI

Az adatvégpontok Azure CLI-vel való engedélyezéséhez használja az Azure CLI 2.4.0-s vagy újabb verzióját. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.

Az alábbi az acr update parancs dedikált adatvégpontokat engedélyez a myregistry beállításjegyzékben.

az acr update --name myregistry --data-endpoint-enabled

Az adatvégpontok megtekintéséhez használja az az acr show-endpoints parancsot:

az acr show-endpoints --name myregistry

A bemutató célú kimenet két regionális végpontot jelenít meg

{
    "loginServer": "myregistry.azurecr.io",
    "dataEndpoints": [
        {
            "region": "eastus",
            "endpoint": "myregistry.eastus.data.azurecr.io",
        },
        {
            "region": "westus",
            "endpoint": "myregistry.westus.data.azurecr.io",
        }
    ]
}

Miután beállította a dedikált adatvégpontokat a beállításjegyzékhez, engedélyezheti az ügyfél tűzfal-hozzáférési szabályait az adatvégpontokhoz. Engedélyezze az adatvégpont hozzáférési szabályait az összes szükséges beállításjegyzék-régióhoz.

Ügyfél tűzfalszabályainak konfigurálása az MCR-hez

Ha tűzfal mögött kell hozzáférnie a Microsoft Container Registryhez (MCR), tekintse meg az MCR-ügyfél tűzfalszabályainak konfigurálására vonatkozó útmutatót. Az MCR az összes Microsoft által közzétett Docker-lemezkép elsődleges beállításjegyzéke, például a Windows Server rendszerképek esetében.

Következő lépések