Tag layanan untuk Azure Container Registry
Tag layanan membantu menetapkan aturan untuk mengizinkan atau menolak lalu lintas ke layanan Azure tertentu. Di Azure Container Registry, tag layanan mewakili sekelompok awalan alamat IP yang dapat digunakan untuk mengakses layanan baik secara global atau per wilayah Azure. Azure Container Registry menghasilkan lalu lintas jaringan yang berasal dari tag layanan untuk fitur seperti impor gambar, webhook, dan tugas Azure Container Registry.
Microsoft mengelola awalan alamat yang mencakup tag layanan. Microsoft secara otomatis memperbarui tag layanan saat alamat berubah, untuk meminimalkan kompleksitas pembaruan yang sering terjadi pada aturan keamanan jaringan.
Saat Anda mengonfigurasi firewall untuk registri, Azure Container Registry melayani permintaan pada alamat IP untuk tag layanannya. Untuk skenario yang disebutkan dalam aturan akses Firewall, Anda dapat mengonfigurasi aturan keluar firewall untuk mengizinkan akses ke alamat IP Azure Container Registry untuk tag layanan.
Impor gambar
Azure Container Registry mengirimkan permintaan ke layanan registri eksternal melalui alamat IP tag layanan untuk mengunduh gambar. Jika layanan registri eksternal berjalan di belakang firewall, layanan memerlukan aturan masuk untuk mengizinkan alamat IP untuk tag layanan. IP ini termasuk dalam AzureContainerRegistry tag layanan, yang mencakup rentang IP yang diperlukan untuk mengimpor gambar dari registri publik atau Azure.
Azure memastikan bahwa rentang IP ini diperbarui secara otomatis. Menetapkan protokol keamanan ini sangat penting untuk menjunjung tinggi integritas registri dan memastikan ketersediaannya.
Untuk mengonfigurasi aturan keamanan jaringan dan mengizinkan lalu lintas dari AzureContainerRegistry tag layanan untuk impor gambar di Azure Container Registry, lihat Tentang titik akhir registri. Untuk langkah-langkah terperinci dan panduan tentang cara menggunakan tag layanan selama impor gambar, lihat Mengimpor gambar kontainer ke registri kontainer.
Webhook
Di Azure Container Registry, Anda menggunakan tag layanan untuk mengelola lalu lintas jaringan untuk fitur seperti webhook untuk memastikan bahwa hanya sumber tepercaya yang dapat memicu peristiwa ini. Saat Anda menyiapkan webhook di Azure Container Registry, webhook dapat merespons peristiwa di tingkat registri atau dicakup ke tag repositori tertentu. Untuk registri yang direplikasi secara geografis, Anda mengonfigurasi setiap webhook untuk merespons peristiwa di replika regional tertentu.
Titik akhir webhook harus dapat diakses secara publik dari registri. Anda dapat mengkonfigurasi permintaan webhook registri untuk mengautentikasi ke titik akhir yang aman.
Azure Container Registry mengirimkan permintaan ke titik akhir webhook yang dikonfigurasi melalui alamat IP untuk tag layanan. Jika titik akhir webhook berjalan di belakang firewall, diperlukan aturan masuk untuk mengizinkan alamat IP ini. Untuk membantu mengamankan akses titik akhir webhook, Anda juga harus mengonfigurasi autentikasi yang tepat untuk memvalidasi permintaan.
Untuk langkah-langkah terperinci tentang membuat penyiapan webhook, lihat dokumentasi Azure Container Registry.
perintah Azure Container Registry
Saat Anda menggunakan tugas Azure Container Registry, seperti saat Anda membuat gambar kontainer atau mengotomatiskan alur kerja, tag layanan mewakili grup awalan alamat IP yang digunakan Azure Container Registry.
Selama eksekusi tugas, Azure Container Registry mengirim permintaan ke sumber daya eksternal melalui alamat IP untuk tag layanan. Jika sumber daya eksternal berjalan di belakang firewall, sumber daya tersebut memerlukan aturan masuk untuk mengizinkan alamat IP ini. Menerapkan aturan masuk ini adalah praktik umum untuk membantu memastikan keamanan dan manajemen akses yang tepat di lingkungan cloud.
Untuk mempelajari selengkapnya tentang tugas Azure Container Registry, lihat Mengotomatiskan build dan pemeliharaan gambar kontainer dengan tugas Azure Container Registry. Untuk mempelajari cara menggunakan tag layanan untuk menyiapkan aturan akses firewall untuk tugas Azure Container Registry, lihat Mengonfigurasi aturan untuk mengakses registri kontainer Azure di belakang firewall.
Praktik terbaik
Konfigurasikan dan sesuaikan aturan keamanan jaringan untuk mengizinkan lalu lintas dari
AzureContainerRegistrytag layanan untuk fitur seperti impor gambar, webhook, dan tugas Azure Container Registry, seperti nomor port dan protokol.Siapkan aturan firewall untuk mengizinkan lalu lintas hanya dari rentang IP yang terkait dengan tag layanan Azure Container Registry untuk setiap fitur.
Mendeteksi dan mencegah lalu lintas tidak sah yang tidak berasal dari alamat IP Azure Container Registry untuk tag layanan.
Pantau lalu lintas jaringan terus menerus dan tinjau konfigurasi keamanan secara berkala untuk mengatasi lalu lintas tak terduga untuk setiap fitur Azure Container Registry dengan menggunakan Azure Monitor atau Network Watcher.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk