Share via

Azure Container Registry에 대한 서비스 태그

  • 아티클

서비스 태그는 특정 Azure 서비스에 대한 트래픽을 허용하거나 거부하는 규칙을 설정하는 데 도움이 됩니다. 서비스 태그는 지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. ACR(Azure Container Registry)의 서비스 태그는 전역적으로 또는 Azure 지역별로 서비스에 액세스하는 데 사용할 수 있는 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트하여 네트워크 보안 규칙을 자주 업데이트할 때 발생하는 복잡성을 최소화합니다.

ACR(Azure Container Registry)은 이미지 가져오기, 웹후크 및 ACR 작업과 같은 기능에 대해 ACR 서비스 태그에서 발생하는 네트워크 트래픽을 생성합니다.

레지스트리에 대한 방화벽을 구성하는 경우 ACR은 해당 서비스 태그 IP 주소에 대한 요청을 제공합니다. 방화벽 액세스 규칙에 언급된 시나리오의 경우 고객은 ACR 서비스 태그 IP 주소에 대한 액세스를 허용하도록 방화벽 아웃바운드 규칙을 구성할 수 있습니다.

이미지 가져오기

ACR(Azure Container Registry)은 이미지 다운로드를 위해 서비스 태그 IP 주소를 통해 외부 레지스트리 서비스에 요청을 시작합니다. 외부 레지스트리 서비스가 방화벽 뒤에서 작동하는 경우 ACR 서비스 태그 IP 주소를 허용하는 인바운드 규칙이 필요합니다. 이러한 IP는 공용 또는 Azure 레지스트리에서 이미지를 가져오는 데 필요한 IP 범위를 포함하는 ACR 서비스 태그의 일부입니다. Azure는 이러한 범위가 자동으로 업데이트되도록 합니다. 이 보안 프로토콜을 설정하는 것은 레지스트리의 무결성을 유지하고 가용성을 보장하는 데 중요합니다.

ACR은 서비스 태그 IP 주소를 통해 외부 레지스트리 서비스에 요청을 보내 이미지를 다운로드합니다. 외부 레지스트리 서비스가 방화벽 뒤에서 실행되는 경우 ACR 서비스 태그 IP 주소를 허용하려면 인바운드 규칙이 있어야 합니다. 이러한 IP는 공용 또는 Azure 레지스트리에서 이미지를 가져오는 데 필요한 IP 범위를 포함하는 AzureContainerRegistry 서비스 태그의 일부입니다. 레지스트리의 무결성 및 접근성을 유지하기 위한 보안 조치를 구성합니다.

네트워크 보안 규칙을 구성하고 ACR에서 이미지 가져오기를 위해 ACR 서비스 태그의 트래픽을 허용하는 레지스트리 엔드포인트에 대해 알아봅니다.

이미지 가져오기 중에 서비스 태그를 사용하는 방법에 대한 자세한 단계 및 지침은 Azure Container Registry 설명서를 참조하세요.

웹후크

ACR(Azure Container Registry)의 서비스 태그는 웹훅과 같은 기능의 네트워크 트래픽을 관리하여 신뢰할 수 있는 소스만 이러한 이벤트를 트리거할 수 있도록 하는 데 사용됩니다. ACR에서 웹후크를 설정할 때 레지스트리 수준의 이벤트에 응답하거나 특정 리포지토리 태그로 범위를 지정할 수 있습니다. 지역 복제 레지스트리의 경우 특정 지역 복제본의 이벤트에 응답하도록 각 웹후크를 구성합니다.

웹후크에 대한 엔드포인트는 레지스트리에서 공개적으로 액세스할 수 있어야 합니다. 보안 엔드포인트에 인증하도록 레지스트리 웹후크 요청을 구성할 수 있습니다. ACR은 서비스 태그 IP 주소를 통해 구성된 웹후크 엔드포인트로 요청을 보냅니다. 웹후크 엔드포인트가 방화벽 뒤에서 실행되는 경우 ACR 서비스 태그 IP 주소를 허용하려면 인바운드 규칙이 있어야 합니다. 또한 웹후크 엔드포인트 액세스를 보호하려면 고객이 적절한 인증을 구성하여 요청의 유효성을 검사해야 합니다.

웹후크 설치를 만드는 방법에 대한 자세한 단계는 Azure Container Registry 설명서를 참조하세요.

ACR 작업

ACR 작업(예: 컨테이너 이미지를 빌드하거나 워크플로를 자동화하는 경우)은 ACR에서 사용하는 IP 주소 접두사 그룹을 나타냅니다. 작업을 실행하는 동안 Tasks는 서비스 태그 IP 주소를 통해 외부 리소스에 요청을 보냅니다. 외부 리소스가 방화벽 뒤에서 실행되는 경우 ACR 서비스 태그 IP 주소를 허용하려면 인바운드 규칙이 있어야 합니다. 이러한 인바운드 규칙을 적용하는 것은 클라우드 환경에서 보안 및 적절한 액세스 관리를 보장하는 일반적인 방법입니다.

ACR 작업 및 서비스 태그를 사용하여 ACR 작업에 방화벽 액세스 규칙을 설정하는 방법에 대해 자세히 알아봅니다.

모범 사례

  • 이미지 가져오기, 웹후크 및 ACR 작업(예: 포트 번호 및 프로토콜)에 대한 AzureContainerRegistry 서비스 태그의 트래픽을 허용하도록 네트워크 보안 규칙을 구성하고 사용자 지정합니다.

  • 각 기능에 대한 ACR 서비스 태그와 연결된 IP 범위에서만 트래픽을 허용하도록 방화벽 규칙을 설정합니다.

  • ACR 서비스 태그 IP 주소에서 시작되지 않는 무단 트래픽을 검색하고 방지합니다.

  • 네트워크 트래픽을 지속적으로 모니터링하고 정기적으로 보안 구성을 검토하여 Azure Monitor 또는 Network Watcher를 사용하여 각 ACR 기능에 대한 예기치 않은 트래픽을 해결합니다.