Tag di servizio per Registro Azure Container
I tag di servizio consentono di impostare regole per consentire o negare il traffico a un servizio di Azure specifico. In Registro Azure Container, un tag di servizio rappresenta un gruppo di prefissi di indirizzi IP che possono essere usati per accedere al servizio a livello globale o per area di Azure. Registro Azure Container genera traffico di rete originato da un tag di servizio per funzionalità quali l'importazione di immagini, i webhook e le attività Registro Azure Container.
Microsoft gestisce i prefissi di indirizzo inclusi in un tag di servizio. Microsoft aggiorna automaticamente un tag di servizio quando cambiano gli indirizzi, per ridurre al minimo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete.
Quando si configura un firewall per un registro, Registro Azure Container gestisce le richieste sugli indirizzi IP per i relativi tag di servizio. Per gli scenari indicati nelle regole di accesso del firewall, è possibile configurare la regola in uscita del firewall per consentire l'accesso agli indirizzi IP Registro Azure Container per i tag di servizio.
Importazione di immagini
Registro Azure Container invia richieste al servizio registro esterno tramite indirizzi IP tag di servizio per scaricare le immagini. Se il servizio registro esterno viene eseguito dietro un firewall, è necessaria una regola in ingresso per consentire gli indirizzi IP per i tag del servizio. Questi indirizzi IP rientrano nel tag del AzureContainerRegistry servizio, che include gli intervalli IP necessari per l'importazione di immagini da registri pubblici o di Azure.
Azure garantisce che questi intervalli IP vengano aggiornati automaticamente. Stabilire questo protocollo di sicurezza è fondamentale per garantire l'integrità del Registro di sistema e garantire la disponibilità.
Per configurare le regole di sicurezza di rete e consentire il traffico dal tag del servizio per l'importazione AzureContainerRegistry di immagini in Registro Azure Container, vedere Informazioni sugli endpoint del Registro di sistema. Per istruzioni dettagliate su come usare il tag di servizio durante l'importazione di immagini, vedere Importare immagini del contenitore in un registro contenitori.
Webhooks
In Registro Azure Container si usano tag di servizio per gestire il traffico di rete per funzionalità come i webhook per garantire che solo le origini attendibili possano attivare questi eventi. Quando si configura un webhook in Registro Azure Container, può rispondere agli eventi a livello del Registro di sistema o essere limitato a un tag di repository specifico. Per i registri con replica geografica, è possibile configurare ogni webhook per rispondere agli eventi in una replica a livello di area specifica.
L'endpoint per un webhook deve essere accessibile pubblicamente dal registro. È possibile configurare le richieste webhook del registro per l'autenticazione a un endpoint protetto.
Registro Azure Container invia la richiesta all'endpoint webhook configurato tramite gli indirizzi IP per i tag di servizio. Se l'endpoint del webhook viene eseguito dietro un firewall, è necessaria una regola in ingresso per consentire questi indirizzi IP. Per proteggere l'accesso all'endpoint webhook, è necessario configurare anche l'autenticazione appropriata per convalidare la richiesta.
Per informazioni dettagliate sulla creazione di una configurazione webhook, vedere la documentazione Registro Azure Container.
Attività del Registro Azure Container
Quando si usano Registro Azure Container attività, ad esempio quando si creano immagini del contenitore o si automatizzano i flussi di lavoro, il tag del servizio rappresenta il gruppo di prefissi di indirizzi IP usati Registro Azure Container.
Durante l'esecuzione delle attività, Registro Azure Container invia richieste a risorse esterne tramite gli indirizzi IP per i tag di servizio. Se una risorsa esterna viene eseguita dietro un firewall, è necessaria una regola in ingresso per consentire questi indirizzi IP. L'applicazione di queste regole in ingresso è una procedura comune per garantire la sicurezza e la corretta gestione degli accessi negli ambienti cloud.
Per altre informazioni sulle attività di Registro Azure Container, vedere Automatizzare le compilazioni e la manutenzione delle immagini del contenitore con Registro Azure Container attività. Per informazioni su come usare un tag di servizio per configurare le regole di accesso del firewall per le attività Registro Azure Container, vedere Configurare le regole per accedere a un registro contenitori di Azure dietro un firewall.
Procedure consigliate
Configurare e personalizzare le regole di sicurezza di rete per consentire il traffico dal tag del
AzureContainerRegistryservizio per funzionalità come l'importazione di immagini, i webhook e le attività Registro Azure Container, ad esempio numeri di porta e protocolli.Configurare le regole del firewall per consentire il traffico esclusivamente dagli intervalli IP associati ai tag del servizio Registro Azure Container per ogni funzionalità.
Rilevare e impedire il traffico non autorizzato che non ha origine da Registro Azure Container indirizzi IP per i tag di servizio.
Monitorare il traffico di rete in modo continuo ed esaminare periodicamente le configurazioni di sicurezza per risolvere il traffico imprevisto per ogni Registro Azure Container funzionalità usando Monitoraggio di Azure o Network Watcher.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per