Szabályok konfigurálása egy azure-beli tárolóregisztrációs adatbázis tűzfal mögötti eléréséhez
Ez a cikk azt ismerteti, hogyan konfigurálhat szabályokat a tűzfalon az Azure-tárolóregisztrációs adatbázishoz való hozzáférés engedélyezéséhez. Előfordulhat például, hogy egy azure-IoT Edge-eszköznek tűzfal vagy proxykiszolgáló mögött kell hozzáférnie egy tárolóregisztrációs adatbázishoz egy tárolórendszerkép lekéréséhez. Vagy egy helyszíni hálózatban lévő zárolt kiszolgálónak hozzáférésre lehet szüksége a rendszerkép leküldéséhez.
Ha ehelyett csak egy Azure-beli virtuális hálózaton belül szeretné konfigurálni a bejövő hálózati hozzáférést egy tárolóregisztrációs adatbázishoz, tekintse meg a Azure Private Link azure-beli tárolóregisztrációs adatbázishoz való konfigurálását ismertető cikket.
Tudnivalók a beállításazonosítók végpontjairól
Ha rendszerképeket vagy más összetevőket szeretne lekérni vagy leküldni egy Azure-tárolóregisztrációs adatbázisba, egy ügyfélnek, például egy Docker-démonnak két különböző végponttal kell együttműködnie HTTPS-en keresztül. Azoknak az ügyfeleknek, amelyek tűzfal mögöttről férnek hozzá a beállításjegyzékhez, mindkét végponthoz konfigurálnia kell a hozzáférési szabályokat. Mindkét végpont a 443-as porton keresztül érhető el.
Beállításjegyzék REST API-végpontja – A hitelesítési és beállításjegyzék-kezelési műveleteket a beállításjegyzék nyilvános REST API-végpontján keresztül kezeli a rendszer. Ez a végpont a regisztrációs adatbázis bejelentkezési kiszolgálójának neve. Például:
myregistry.azurecr.io
- Regisztrációs adatbázis REST API-végpontja tanúsítványokhoz – Az Azure Container Registry helyettesítő SSL-tanúsítványt használ az összes altartományhoz. Amikor SSL használatával csatlakozik az Azure Container Registryhez, az ügyfélnek le kell tudnia tölteni a TLS-kézfogás tanúsítványát. Ilyen esetekben a
azurecr.io
hozzáférésnek is elérhetőnek kell lennie.
- Regisztrációs adatbázis REST API-végpontja tanúsítványokhoz – Az Azure Container Registry helyettesítő SSL-tanúsítványt használ az összes altartományhoz. Amikor SSL használatával csatlakozik az Azure Container Registryhez, az ügyfélnek le kell tudnia tölteni a TLS-kézfogás tanúsítványát. Ilyen esetekben a
Tárolási (adat-) végpont – Az Azure minden beállításjegyzék nevében blobtárolót foglal le az Azure Storage-fiókokban a tárolólemezképek és más összetevők adatainak kezeléséhez. Amikor egy ügyfél hozzáfér egy Azure-beli tárolóregisztrációs adatbázis rendszerképrétegeihez, kéréseket küld a beállításjegyzék által biztosított tárfiókvégpont használatával.
Ha a beállításjegyzék georeplikálva van, előfordulhat, hogy egy ügyfélnek egy adott régióban vagy több replikált régióban kell kezelnie az adatvégpontot.
REST- és adatvégpontokhoz való hozzáférés engedélyezése
- REST-végpont – Hozzáférés engedélyezése a regisztrációs adatbázis teljes bejelentkezési kiszolgálójának nevéhez vagy
<registry-name>.azurecr.io
egy társított IP-címtartományhoz - Tárolási (adat-) végpont – Hozzáférés engedélyezése az összes Azure Blob Storage-fiókhoz helyettesítő karakter
*.blob.core.windows.net
vagy egy társított IP-címtartomány használatával.
Megjegyzés
Azure Container Registry dedikált adatvégpontokat vezet be, amelyek lehetővé teszik az ügyfél tűzfalszabályainak szigorú hatókörét a beállításjegyzékbeli tárolóhoz. Ha szeretné, engedélyezze az adatvégpontokat az összes olyan régióban, ahol a beállításjegyzék található vagy replikálva van az űrlap használatával <registry-name>.<region>.data.azurecr.io
.
Tudnivalók a beállításjegyzék teljes tartománynevéről
A beállításjegyzék két teljes tartománynévvel rendelkezik, a bejelentkezési URL-címmel és az adatvégponttal.
- A bejelentkezési URL-cím és az adatvégpont is elérhető a virtuális hálózaton belülről, privát IP-címek használatával, privát kapcsolat engedélyezésével.
- Az adatvégpontokat nem használó beállításjegyzéknek hozzá kell férnie az adatokhoz az űrlap
*.blob.core.windows.net
végpontjáról, és nem biztosítja a tűzfalszabályok konfigurálásakor szükséges elkülönítést. - A privát kapcsolattal rendelkező beállításjegyzék automatikusan lekéri a dedikált adatvégpontot.
- A rendszer régiónként létrehoz egy dedikált adatvégpontot egy beállításjegyzékhez.
- A bejelentkezési URL-cím változatlan marad, függetlenül attól, hogy az adatvégpont engedélyezve van-e vagy le van tiltva.
Hozzáférés engedélyezése IP-címtartomány szerint
Ha a szervezet olyan szabályzatokkal rendelkezik, amelyek csak bizonyos IP-címekhez vagy címtartományokhoz engedélyezik a hozzáférést, töltse le az Azure IP-címtartományokat és szolgáltatáscímkéket – nyilvános felhőt.
Ha meg szeretné keresni azokat az ACR REST-végpont IP-tartományokat, amelyekhez engedélyeznie kell a hozzáférést, keressen rá az AzureContainerRegistry kifejezésre a JSON-fájlban.
Fontos
Az Azure-szolgáltatások IP-címtartományai változhatnak, és a frissítések hetente jelennek meg. Töltse le rendszeresen a JSON-fájlt, és végezze el a szükséges frissítéseket a hozzáférési szabályokban. Ha a forgatókönyvben hálózati biztonsági csoportszabályokat konfigurál egy Azure-beli virtuális hálózaton, vagy Azure Firewall használ, használja inkább az AzureContainerRegistryszolgáltatáscímkét.
REST IP-címek minden régióhoz
{
"name": "AzureContainerRegistry",
"id": "AzureContainerRegistry",
"properties": {
"changeNumber": 10,
"region": "",
"platform": "Azure",
"systemService": "AzureContainerRegistry",
"addressPrefixes": [
"13.66.140.72/29",
[...]
EGY adott régió REST IP-címei
Keresse meg az adott régiót, például azureContainerRegistry.AustraliaEast.
{
"name": "AzureContainerRegistry.AustraliaEast",
"id": "AzureContainerRegistry.AustraliaEast",
"properties": {
"changeNumber": 1,
"region": "australiaeast",
"platform": "Azure",
"systemService": "AzureContainerRegistry",
"addressPrefixes": [
"13.70.72.136/29",
[...]
Tároló IP-címei az összes régióhoz
{
"name": "Storage",
"id": "Storage",
"properties": {
"changeNumber": 19,
"region": "",
"platform": "Azure",
"systemService": "AzureStorage",
"addressPrefixes": [
"13.65.107.32/28",
[...]
Adott régiók tárolási IP-címei
Keresse meg az adott régiót, például Storage.AustraliaCentral.
{
"name": "Storage.AustraliaCentral",
"id": "Storage.AustraliaCentral",
"properties": {
"changeNumber": 1,
"region": "australiacentral",
"platform": "Azure",
"systemService": "AzureStorage",
"addressPrefixes": [
"52.239.216.0/23"
[...]
Hozzáférés engedélyezése szolgáltatáscímke szerint
Egy Azure-beli virtuális hálózatban hálózati biztonsági szabályokkal szűrje az erőforrásból, például egy virtuális gépről egy tárolóregisztrációs adatbázisba irányuló forgalmat. Az Azure hálózati szabályok létrehozásának egyszerűsítéséhez használja az AzureContainerRegistryszolgáltatáscímkét. A szolgáltatáscímkék IP-címelőtagok egy csoportját jelölik az Azure-szolgáltatások globális vagy Azure-régiónkénti eléréséhez. A címke automatikusan frissül a címek módosításakor.
Hozzon létre például egy kimenő hálózati biztonságicsoport-szabályt az AzureContainerRegistry célhelyen az Azure Container Registry felé irányuló forgalom engedélyezéséhez. Ha csak egy adott régióban szeretné engedélyezni a szolgáltatáscímkéhez való hozzáférést, adja meg a régiót a következő formátumban: AzureContainerRegistry. [régió neve].
Dedikált adatvégpontok engedélyezése
Figyelmeztetés
Ha korábban konfigurálta az ügyfél tűzfalának hozzáférését a meglévő *.blob.core.windows.net
végpontokhoz, a dedikált adatvégpontokra való váltás hatással lesz az ügyfélkapcsolatra, ami lekérési hibákat okoz. Az ügyfelek konzisztens hozzáférésének biztosítása érdekében adja hozzá az új adatvégpont-szabályokat az ügyfél tűzfalszabályaihoz. Ha végzett, engedélyezze a dedikált adatvégpontokat a regisztrációs adatbázisok számára az Azure CLI vagy más eszközök használatával.
A dedikált adatvégpontok a Prémium tárolóregisztrációs adatbázis szolgáltatási szintjének opcionális funkciója. További információ a beállításjegyzék szolgáltatási szintjeiről és korlátairól: Azure Container Registry szolgáltatásszintek.
A dedikált adatvégpontokat az Azure Portal vagy az Azure CLI használatával engedélyezheti. Az adatvégpontok egy regionális mintát követnek, a következőt: <registry-name>.<region>.data.azurecr.io
. A georeplikált beállításjegyzékben az adatvégpontok engedélyezése minden replikarégióban engedélyezi a végpontokat.
Portál
Adatvégpontok engedélyezése a portálon:
- Lépjen a tárolóregisztrációs adatbázishoz.
- Válassza a Hálózatkezelés>nyilvános hozzáférés lehetőséget.
- Jelölje be a Dedikált adatvégpont engedélyezése jelölőnégyzetet.
- Kattintson a Mentés gombra.
Az adatvégpont vagy végpontok a portálon jelennek meg.
Azure CLI
Az adatvégpontok Azure CLI-vel való engedélyezéséhez használja az Azure CLI 2.4.0-s vagy újabb verzióját. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.
Az alábbi az acr update parancs dedikált adatvégpontokat engedélyez a myregistry beállításjegyzékben.
az acr update --name myregistry --data-endpoint-enabled
Az adatvégpontok megtekintéséhez használja az az acr show-endpoints parancsot:
az acr show-endpoints --name myregistry
A bemutató célú kimenet két regionális végpontot jelenít meg
{
"loginServer": "myregistry.azurecr.io",
"dataEndpoints": [
{
"region": "eastus",
"endpoint": "myregistry.eastus.data.azurecr.io",
},
{
"region": "westus",
"endpoint": "myregistry.westus.data.azurecr.io",
}
]
}
Miután beállította a dedikált adatvégpontokat a beállításjegyzékhez, engedélyezheti az ügyfél tűzfal-hozzáférési szabályait az adatvégpontokhoz. Engedélyezze az adatvégpont hozzáférési szabályait az összes szükséges beállításjegyzék-régióhoz.
Ügyfél tűzfalszabályainak konfigurálása az MCR-hez
Ha tűzfal mögött kell hozzáférnie a Microsoft Container Registryhez (MCR), tekintse meg az MCR-ügyfél tűzfalszabályainak konfigurálására vonatkozó útmutatót. Az MCR az összes Microsoft által közzétett Docker-lemezkép elsődleges beállításjegyzéke, például a Windows Server rendszerképek esetében.
Következő lépések
Az Azure hálózati biztonságra vonatkozó ajánlott eljárásainak ismertetése
További információ az Azure-beli virtuális hálózatok biztonsági csoportjairól
További információ a tárolóregisztrációs adatbázis Private Link beállításáról
További információ a dedikált adatvégpontokról Azure Container Registry