Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Dengan Azure Container Registry, Anda dapat mengizinkan layanan Azure tepercaya tertentu untuk mengakses registri yang dikonfigurasi dengan aturan akses jaringan. Saat Anda mengizinkan layanan tepercaya, instans layanan tepercaya dapat dengan aman melewati aturan jaringan registri dan melakukan operasi seperti menarik atau mendorong gambar. Artikel ini menjelaskan cara mengaktifkan dan menggunakan layanan tepercaya dengan registri kontainer Azure yang dibatasi jaringan.
Gunakan Azure Cloud Shell atau penginstalan lokal Azure CLI untuk menjalankan contoh perintah di artikel ini. Gunakan versi 2.18 atau yang lebih baru untuk menjalankannya secara lokal. Jalankan az --version untuk menemukan versinya. Jika Anda perlu memasang atau meningkatkan, lihat Memasang Azure CLI.
Batasan
- Skenario akses registri tertentu dengan layanan tepercaya memerlukan identitas terkelola untuk sumber daya Azure. Kecuali jika dicatat bahwa identitas terkelola yang ditetapkan pengguna didukung, hanya identitas yang ditetapkan sistem yang dapat digunakan.
- Mengizinkan layanan tepercaya tidak berlaku untuk registri kontainer yang dikonfigurasi dengan titik akhir layanan. Fitur ini hanya memengaruhi registri yang dibatasi dengan titik akhir privat atau yang memiliki aturan akses IP publik yang diterapkan.
Tentang layanan tepercaya
Azure Container Registry memiliki model keamanan berlapis yang mendukung beberapa konfigurasi jaringan untuk membatasi akses ke registri. Konfigurasi ini meliputi:
- Titik akhir privat dengan Azure Private Link. Saat dikonfigurasi, titik akhir privat registri hanya dapat diakses oleh sumber daya dalam jaringan virtual, menggunakan alamat IP privat.
- Aturan firewall registri, yang memungkinkan akses ke titik akhir publik registri hanya dari alamat IP publik atau rentang alamat tertentu. Anda juga dapat mengonfigurasi firewall untuk memblokir semua akses ke titik akhir publik saat menggunakan titik akhir privat.
Saat Anda menyebarkan registri di jaringan virtual atau mengonfigurasinya dengan aturan firewall, registri tersebut menolak akses ke pengguna atau layanan dari luar sumber tersebut.
Beberapa layanan Azure multipenyewa beroperasi dari jaringan yang tidak dapat Anda sertakan dalam pengaturan jaringan registri ini. Akibatnya, layanan ini tidak dapat melakukan operasi seperti menarik atau mendorong gambar ke registri. Dengan menetapkan instans layanan tertentu sebagai "tepercaya", pemilik registri dapat mengizinkan sumber daya Azure tertentu untuk melewati pengaturan jaringan registri untuk melakukan operasi registri.
Layanan tepercaya
Instans layanan berikut dapat mengakses registri kontainer yang dibatasi jaringan jika pengaturan layanan tepercaya yang diizinkan oleh registri diaktifkan (default). Lebih banyak layanan akan ditambahkan dari waktu ke waktu.
Jika ditunjukkan, akses oleh layanan tepercaya memerlukan konfigurasi tambahan dari identitas terkelola dalam instans layanan, penugasan peran RBAC, dan autentikasi dengan registri. Untuk langkah-langkah, lihat Layanan alur kerja tepercaya, di akhir artikel ini.
| Layanan tepercaya | Skenario penggunaan yang didukung | Mengonfigurasi identitas terkelola dengan peran RBAC |
|---|---|---|
| Azure Container Instances (Instans Kontainer Azure) | Menyebarkan ke Azure Container Instances dari Azure Container Registry menggunakan identitas terkelola | Ya, baik identitas yang ditetapkan sistem atau yang ditetapkan pengguna |
| Microsoft Defender untuk Awan | Pemindaian kerentanan oleh Microsoft Defender untuk registri kontainer | Tidak. |
| Pembelajaran Mesin | Menerapkan atau melatih model di ruang kerja Pembelajaran Mesin menggunakan citra kontainer Docker kustom | Ya |
| Azure Container Registry (Pendaftaran Kontainer Azure) | Mengimpor gambar ke atau dari registri kontainer Azure yang dibatasi jaringan | Tidak. |
Catatan
Saat ini, mengaktifkan pengaturan allow trusted services tidak berlaku untuk App Service.
Mengizinkan layanan tepercaya - CLI
Secara default, pengaturan izinkan layanan tepercaya diaktifkan di registri kontainer Azure baru. Nonaktifkan atau aktifkan pengaturan dengan menjalankan perintah perbarui az acr.
Untuk menonaktifkan:
az acr update --name myregistry --allow-trusted-services false
Untuk mengaktifkan pengaturan di registri yang sudah ada atau registri di mana pengaturan sudah dinonaktifkan:
az acr update --name myregistry --allow-trusted-services true
Mengizinkan layanan tepercaya - portal
Secara default, pengaturan izinkan layanan tepercaya diaktifkan di registri kontainer Azure baru.
Untuk menonaktifkan atau mengaktifkan kembali pengaturan di portal:
- Di portal, navigasi ke registri kontainer Anda.
- Di Pengaturan, pilih Jaringan.
- Di Izinkan akses jaringan publik, pilih Jaringan yang dipilih atau Dinonaktifkan.
- Lakukan salah satu langkah berikut:
- Untuk menonaktifkan akses oleh layanan tepercaya, di bawah Pengecualian firewall, hapus centang Izinkan layanan Microsoft tepercaya untuk mengakses registri kontainer ini.
- Untuk mengizinkan layanan tepercaya, di bawah Pengecualian firewall, centang Izinkan layanan Microsoft tepercaya untuk mengakses registri kontainer ini.
- Pilih Simpan.
Alur kerja layanan tepercaya
Berikut adalah alur kerja umum untuk mengaktifkan instans layanan tepercaya untuk mengakses registri kontainer yang dibatasi jaringan. Alur kerja ini diperlukan saat Anda menggunakan identitas terkelola instans layanan untuk melewati aturan jaringan registri.
- Aktifkan identitas terkelola di salah satu layanan tepercaya untuk Azure Container Registry.
- Tetapkan identitas peran Azure ke registri Anda. Misalnya, tetapkan baik
Container Registry Repository Reader(untuk registri yang diaktifkan ABAC) atauAcrPull(untuk registri non-ABAC). - Konfigurasikan pengaturan di registri yang dibatasi jaringan untuk mengizinkan akses oleh layanan tepercaya.
- Gunakan informasi masuk identitas untuk mengautentikasi dengan registri yang dibatasi jaringan.
- Tarik citra dari registri, atau lakukan operasi lain yang diizinkan oleh peran tersebut.
Langkah berikutnya
- Untuk membatasi akses ke registri menggunakan titik akhir privat di jaringan virtual, lihat Mengonfigurasi Azure Private Link untuk registri kontainer Azure.
- Untuk menetapkan aturan firewall registri, lihat Mengonfigurasi aturan jaringan IP publik.