Pahami akses ke registri yang tersambung

  • Artikel

Untuk mengakses dan mengelola registri yang tersambung, saat ini hanya autentikasi berbasis token Azure Container Registry yang didukung. Seperti yang ditunjukkan pada gambar berikut, dua jenis token yang berbeda digunakan oleh setiap registri yang tersambung:

  • Token klien - Satu atau beberapa token yang digunakan klien lokal untuk mengautentikasi dengan registri yang tersambung dan mendorong atau menarik gambar dan artefak ke atau dari token klien.
  • Sinkronisasi token - Token yang digunakan oleh setiap registri yang tersambung untuk mengakses induknya dan menyinkronkan konten.

Tinjauan autentikasi registri yang tersambung

Penting

Simpan kata sandi token untuk setiap registri yang tersambung di lokasi yang aman. Setelah dibuat, kata sandi token tidak dapat diambil. Anda dapat meregenerasi kata sandi token kapan saja.

Token klien

Untuk mengelola akses klien ke registri yang tersambung, Anda membuat token yang dicakup untuk tindakan pada satu atau beberapa repositori. Setelah membuat token, konfigurasikan registri yang tersambung untuk menerima token dengan menggunakan perintah az acr connected-registry update. Klien kemudian dapat menggunakan info masuk token untuk mengakses titik akhir registri yang tersambung - misalnya, untuk menggunakan perintah CLI Docker untuk menarik atau mendorong gambar ke registri yang tersambung.

Opsi Anda untuk mengonfigurasi tindakan token klien bergantung pada apakah registri yang tersambung memungkinkan operasi pendorongan dan penarikan atau berfungsi sebagai cermin penarikan-saja.

  • Registri yang tersambung dalam mode ReadWrite default memungkinkan operasi penarikan dan pendorongan, sehingga Anda dapat membuat token yang memungkinkan tindakan untuk membaca dan menulis konten repositori di registri tersebut.
  • Untuk registri yang tersambung dalam mode ReadOnly, token klien hanya dapat memungkinkan tindakan membaca konten repositori.

Kelola token klien

Perbarui token klien, kata sandi, atau peta cakupan sesuai kebutuhan dengan menggunakan perintah az acr token dan az acr scope-map. Pembaruan token klien disebarkan secara otomatis ke registri tersambung yang menerima token.

Sinkronkan token

Setiap registri yang tersambung menggunakan token sinkronisasi untuk mengautentikasi dengan induk langsungnya - yang dapat berupa registri lain yang tersambung atau registri cloud. Registri yang tersambung secara otomatis menggunakan token ini saat menyinkronkan konten dengan induk atau melakukan pembaruan lainnya.

  • Token sinkronisasi dan kata sandi dibuat secara otomatis saat Anda membuat sumber daya registri yang tersambung. Jalankan perintah az acr connected-registry install renew-credentials untuk meregenerasi kata sandi.
  • Sertakan info masuk token sinkronisasi di konfigurasi yang digunakan untuk menyebarkan registri yang tersambung secara lokal.
  • Secara default, token sinkronisasi diberikan izin untuk menyinkronkan repositori yang dipilih dengan induknya. Anda harus menyediakan token sinkronisasi yang sudah ada atau satu atau beberapa repositori untuk disinkronkan saat Anda membuat sumber daya registri yang tersambung.
  • Hal ini juga memiliki izin untuk membaca dan menulis pesan sinkronisasi pada gateway yang digunakan untuk berkomunikasi dengan induk registri yang tersambung. Pesan-pesan ini mengontrol jadwal sinkronisasi dan mengelola pembaruan lain antara registri yang tersambung dan induknya.

Kelola token sinkronisasi

Perbarui token sinkronisasi, kata sandi, atau peta cakupan sesuai kebutuhan dengan menggunakan perintah az acr token dan az acr scope-map. Pembaruan token sinkronisasi disebarkan secara otomatis ke registri yang tersambung. Ikuti praktik standar memutar kata sandi saat memperbarui token sinkronisasi.

Catatan

Token sinkronisasi tidak dapat dihapus hingga registri tersambung yang terkait dengan token dihapus. Anda dapat menonaktifkan registri yang tersambung dengan mengatur status token sinkronisasi ke disabled.

Titik akhir registri

Info masuk token untuk registri yang tersambung dicakup untuk mengakses titik akhir registri tertentu:

  • Token klien mengakses titik akhir registri yang tersambung. Titik akhir registri yang tersambung adalah URI server masuk, yang biasanya merupakan alamat IP server atau perangkat yang menghostingnya.

  • Token sinkronisasi mengakses titik akhir registri induk, yang merupakan titik akhir registri lain yang tersambung atau registri cloud itu sendiri. Saat dicakup untuk mengakses registri cloud, token sinkronisasi harus mencapai dua titik akhir registri:

    • Nama server masuk yang sepenuhnya memenuhi syarat, misalnya, contoso.azurecr.io. Titik akhir ini digunakan untuk autentikasi.
    • Titik akhir data wilayah yang sepenuhnya memenuhi syarat untuk registri cloud, misalnya, contoso.westus2.data.azurecr.io. Titik akhir ini digunakan untuk bertukar pesan dengan registri yang tersambung untuk tujuan sinkronisasi.

Langkah berikutnya

Lanjutkan ke artikel berikut untuk mempelajari tentang skenario tertentu di mana registri yang tersambung dapat digunakan.

Gambaran umum: Registri yang tersambung dan IoT Edge