Informazioni sull'accesso a un registro connesso

Articolo
26.09.2024

Per accedere e gestire un registro connesso, attualmente è supportata solo l'autenticazione basata su token del Registro Azure Container. Come illustrato nell'immagine seguente, vengono usati due tipi diversi di token da ogni registro connesso:

Token client: uno o più token usati dai client locali per eseguire l'autenticazione con un registro connesso e eseguire il push o il pull di immagini e artefatti da o verso tale registro.
Token di sincronizzazione: token usato da ogni registro connesso per accedere all’elemento padre e sincronizzare il contenuto.

Verificare l'autenticazione del registro connesso

Importante

Archiviare le password dei token per ogni registro connesso in un percorso sicuro. Dopo la creazione, le password dei token non possono essere recuperate. È possibile rigenerare le password dei token in qualsiasi momento.

Token client

Per gestire l'accesso client a un registro connesso, creare token con ambito per le azioni in uno o più repository. Dopo aver creato un token, configurare il registro connesso per accettare il token tramite il comando az acr connected-registry update. Un client può quindi usare le credenziali del token per accedere a un endpoint del registro connesso, ad esempio per usare i comandi Docker dell'interfaccia della riga di comando per eseguire il pull o il push di immagini nel registro connesso.

Le opzioni per la configurazione delle azioni dei token client dipendono dal fatto che il registro connesso consenta operazioni push e pull o funzioni come mirror solo pull.

Un registro connesso in modalità ReadWrite predefinita consente sia le operazioni pull che push, in modo che sia possibile creare un token che consenta azioni sia di lettura che di scrittura di contenuto del repository in tale registro.
Per un registro connesso in modalità ReadOnly, i token client possono consentire solo alle azioni di leggere il contenuto del repository.

Gestire i token client

Aggiornare i token client, le password o le mappe dell'ambito in base alle esigenze tramite i comandi az acr token e az acr scope-map. Gli aggiornamenti dei token client vengono propagati automaticamente ai registri connessi che accettano il token.

Token di sincronizzazione

Ogni registro connesso usa un token di sincronizzazione per l'autenticazione con il relativo elemento padre immediato, che può essere un altro registro connesso o il registro cloud. Il registro connesso usa automaticamente questo token durante la sincronizzazione del contenuto con l'elemento padre o l'esecuzione di altri aggiornamenti.

Il token di sincronizzazione e le password vengono generati automaticamente quando si crea la risorsa registro connesso. Eseguire il comando [az acr connected-registry get-settings][/cli/azure/acr/connected-registry#az-acr-connected-registry-get-settings] per rigenerare le password.
Includere le credenziali del token di sincronizzazione nella configurazione usata per distribuire il registro connesso in locale.
Per impostazione predefinita, al token di sincronizzazione viene concessa l'autorizzazione per sincronizzare i repository selezionati con il relativo elemento padre. È necessario fornire un token di sincronizzazione esistente o uno o più repository da sincronizzare quando si crea la risorsa registro connesso.
Dispone inoltre delle autorizzazioni per leggere e scrivere messaggi di sincronizzazione in un gateway usato per comunicare con l'elemento padre del registro connesso. Questi messaggi controllano la pianificazione della sincronizzazione e gestiscono altri aggiornamenti tra il registro connesso e il relativo elemento padre.

Gestire il token di sincronizzazione

Aggiornare i token di sincronizzazione, le password o le mappe dell'ambito in base alle esigenze tramite i comandi az acr token e az acr scope-map. Gli aggiornamenti del token di sincronizzazione vengono propagati automaticamente al registro connesso. Seguire le procedure standard di rotazione delle password durante l'aggiornamento del token di sincronizzazione.

Nota

Il token di sincronizzazione non può essere eliminato finché il registro connesso associato al token non viene eliminato. È possibile disabilitare un registro connesso impostando lo stato del token di sincronizzazione su disabled.

Endpoint del registro

L’ambito delle credenziali del token per i registri connessi è l'accesso a endpoint del registro specifici:

Un token client accede all'endpoint del registro connesso. L'endpoint del registro connesso è l'URI del server di accesso, che in genere è l'indirizzo IP del server o del dispositivo che lo ospita.
Un token di sincronizzazione accede all'endpoint del registro padre, ovvero a un altro endpoint del registro connesso o al registro cloud stesso. Quando l'ambito è quello di accedere al registro cloud, il token di sincronizzazione deve raggiungere due endpoint del registro:
- Nome completo del server di accesso, ad esempio contoso.azurecr.io. Questo endpoint viene usato per l'autenticazione.
- Un endpoint dati completo a livello di area per il registro cloud, ad esempio contoso.westus2.data.azurecr.io. Questo endpoint viene usato per scambiare messaggi con il registro connesso a scopo di sincronizzazione.

Passaggi successivi

Continuare con uno degli articoli seguenti per informazioni su scenari specifici in cui è possibile usare il registro connesso.

Panoramica: Registro connesso e IoT Edge

Risorse aggiuntive

Documentazione

Pull Images from a Connected Registry with Azure IoT Edge - Azure Container Registry

Learn how to use Azure Container Registry CLI commands to configure a client token and pull images from a connected registry on an IoT Edge device.
Quickstart - Create Connected Registry Using the CLI - Azure Container Registry

Use Azure CLI commands to create a connected Azure container registry resource that can synchronize images and other artifacts with the cloud registry.
Quickstart - Create Connected Registry Using the Portal - Azure Container Registry

Use Azure portal to create a connected Azure container registry resource that can synchronize images and other artifacts with the cloud registry.
Connected Registry in Azure Container Registry - Azure Container Registry

Discover the connected registry feature in Azure Container Registry. Learn about its benefits and practical use cases for container management.
Quickstart: Create an Azure container registry using Terraform - Azure Container Registry

In this quickstart, you create a unique resource group and an Azure container registry in a specified location using Terraform.
Import Container Images to ACR using Azure APIs - Azure Container Registry

Import container images to an Azure container registry by using Azure APIs, without needing to run Docker commands.
Quickstart: Deploying the Connected Registry Arc Extension - Azure Container Registry

Learn how to deploy the Connected Registry Arc Extension CLI UX with secure-by-default settings for efficient and secure container workload operations.
About Registries, Repositories, Images, and Artifacts - Azure Container Registry

Introduction to key concepts of Azure container registries, repositories, container images, and other artifacts.

Training

Modulo

Configure Azure Container Registry for container app deployments - Training

Learn how to create and configure an Azure Container Registry, the process of pushing container images to Azure Container Registry and explore different authentication methods and security features for Azure Container Registry.

Certificazione

Microsoft Certified: Identity and Access Administrator Associate - Certifications

Demonstrate the features of Microsoft Entra ID to modernize identity solutions, implement hybrid solutions, and implement identity governance.

Eventi

Creare app intelligenti

17 mar, 21 - 21 mar, 10

Partecipa alla serie meetup per creare soluzioni di intelligenza artificiale scalabili basate su casi d'uso reali con altri sviluppatori ed esperti.

Esegui registrazione

Condividi tramite