Informazioni sull'accesso a un registro connesso

  • Articolo

Per accedere e gestire un Registro di sistema connesso, attualmente è supportata solo l'autenticazione basata su token del registro Azure Container. Come illustrato nell'immagine seguente, vengono usati due diversi tipi di token da ogni Registro di sistema connesso:

  • Token client : uno o più token che i client locali usano per eseguire l'autenticazione con un Registro di sistema connesso e eseguire il push o il pull di immagini e artefatti verso o da esso.
  • Token di sincronizzazione: token usato da ogni Registro di sistema connesso per accedere al contenuto padre e sincronizzare.

Verifica dell'autenticazione del Registro di sistema connessa

Importante

Archiviare le password del token per ogni Registro di sistema connesso in una posizione sicura. Dopo la creazione, le password del token non possono essere recuperate. È possibile rigenerare le password del token in qualsiasi momento.

Token client

Per gestire l'accesso client a un Registro di sistema connesso, creare token con ambito per le azioni in uno o più repository. Dopo aver creato un token, configurare il Registro di sistema connesso per accettare il token usando il comando az acr connected-registry update . Un client può quindi usare le credenziali del token per accedere a un endpoint del Registro di sistema connesso, ad esempio per usare i comandi dell'interfaccia della riga di comando Docker per eseguire il pull o il push delle immagini nel Registro di sistema connesso.

Le opzioni per la configurazione delle azioni del token client dipendono dal fatto che il Registro di sistema connesso consenta operazioni push e pull o funzioni come mirroring pull.

  • Un Registro di sistema connesso nella modalità ReadWrite predefinito consente operazioni pull e push, in modo da poter creare un token che consenta le azioni sia di lettura che di scrittura del contenuto del repository nel Registro di sistema.
  • Per un Registro di sistema connesso in modalità ReadOnly, i token client possono consentire solo le azioni di lettura del contenuto del repository.

Gestire i token client

Aggiornare i token client, le password o le mappe dell'ambito in base alle esigenze usando az acr token e az acr scope-map comandi. Gli aggiornamenti dei token client vengono propagati automaticamente ai registri connessi che accettano il token.

Token di sincronizzazione

Ogni Registro di sistema connesso usa un token di sincronizzazione per l'autenticazione con il relativo padre immediato, che potrebbe essere un altro Registro di sistema connesso o il Registro di sistema cloud. Il Registro di sistema connesso usa automaticamente questo token durante la sincronizzazione del contenuto con l'elemento padre o l'esecuzione di altri aggiornamenti.

  • Il token di sincronizzazione e le password vengono generati automaticamente quando si crea la risorsa del Registro di sistema connessa. Eseguire il comando az acr connected-registry install renew-credentials per rigenerare le password.
  • Includere le credenziali del token di sincronizzazione nella configurazione usata per distribuire il Registro di sistema connesso in locale.
  • Per impostazione predefinita, il token di sincronizzazione viene concesso per sincronizzare i repository selezionati con il relativo padre. È necessario fornire un token di sincronizzazione esistente o uno o più repository da sincronizzare quando si crea la risorsa del Registro di sistema connessa.
  • Dispone inoltre delle autorizzazioni per leggere e scrivere messaggi di sincronizzazione in un gateway usato per comunicare con l'elemento padre del Registro di sistema connesso. Questi messaggi controllano la pianificazione della sincronizzazione e gestiscono altri aggiornamenti tra il Registro di sistema connesso e il relativo padre.

Gestire il token di sincronizzazione

Aggiornare i token di sincronizzazione, le password o le mappe dell'ambito in base alle esigenze usando az acr token e az acr scope-map comandi. Gli aggiornamenti del token di sincronizzazione vengono propagati automaticamente al Registro di sistema connesso. Seguire le procedure standard di rotazione delle password durante l'aggiornamento del token di sincronizzazione.

Nota

Il token di sincronizzazione non può essere eliminato finché non viene eliminato il Registro di sistema connesso associato al token. È possibile disabilitare un Registro di sistema connesso impostando lo stato del token di sincronizzazione su disabled.

Endpoint del Registro di sistema

Le credenziali del token per i registri connessi sono con ambito per accedere a endpoint del Registro di sistema specifici:

  • Un token client accede all'endpoint del Registro di sistema connesso. L'endpoint del Registro di sistema connesso è l'URI del server di accesso, che in genere è l'indirizzo IP del server o del dispositivo che lo ospita.

  • Un token di sincronizzazione accede all'endpoint del Registro di sistema padre, ovvero un altro endpoint del Registro di sistema connesso o il Registro di sistema cloud stesso. Quando viene ambito per accedere al Registro di sistema cloud, il token di sincronizzazione deve raggiungere due endpoint del Registro di sistema:

    • Nome del server di accesso completo, contoso.azurecr.ioad esempio . Questo endpoint viene usato per l'autenticazione.
    • Endpoint dati a livello di area completo per il registro cloud, ad esempio contoso.westus2.data.azurecr.io. Questo endpoint viene usato per scambiare messaggi con il Registro di sistema connesso a scopo di sincronizzazione.

Passaggi successivi

Continuare con l'articolo seguente per informazioni sugli scenari specifici in cui è possibile usare il Registro di sistema connesso.

Panoramica: Registro di sistema connesso e IoT Edge