Veilige toegang tot een containerregister met beperkte netwerktoegang toestaan voor vertrouwde services
Azure Container Registry kunt bepaalde vertrouwde Azure-services toegang geven tot een register dat is geconfigureerd met netwerktoegangsregels. Wanneer vertrouwde services zijn toegestaan, kan een vertrouwd service-exemplaar veilig de netwerkregels van het register omzeilen en bewerkingen uitvoeren, zoals pull- of push-installatiekopieën. In dit artikel wordt uitgelegd hoe u vertrouwde services inschakelt en gebruikt met een azure-containerregister met netwerkbeperkingen.
Gebruik de Azure Cloud Shell of een lokale installatie van de Azure CLI om de opdrachtvoorbeelden in dit artikel uit te voeren. Als u deze lokaal wilt gebruiken, is versie 2.18 of hoger vereist. Voer az --version uit om de versie te bekijken. Zie Azure CLI installeren als u de CLI wilt installeren of een upgrade wilt uitvoeren.
Beperkingen
- Bepaalde scenario's voor registertoegang met vertrouwde services vereisen een beheerde identiteit voor Azure-resources. Behalve wanneer wordt vermeld dat een door de gebruiker toegewezen beheerde identiteit wordt ondersteund, mag alleen een door het systeem toegewezen identiteit worden gebruikt.
- Het toestaan van vertrouwde services is niet van toepassing op een containerregister dat is geconfigureerd met een service-eindpunt. De functie is alleen van invloed op registers die zijn beperkt met een privé-eindpunt of waarop openbare IP-toegangsregels zijn toegepast.
Over vertrouwde services
Azure Container Registry heeft een gelaagd beveiligingsmodel dat ondersteuning biedt voor meerdere netwerkconfiguraties die de toegang tot een register beperken, waaronder:
- Privé-eindpunt met Azure Private Link. Wanneer dit is geconfigureerd, is het privé-eindpunt van een register alleen toegankelijk voor resources binnen het virtuele netwerk, met behulp van privé-IP-adressen.
- Firewallregels voor het register, die alleen toegang tot het openbare eindpunt van het register toestaan vanuit specifieke openbare IP-adressen of adresbereiken. U kunt de firewall ook zo configureren dat alle toegang tot het openbare eindpunt wordt geblokkeerd wanneer u privé-eindpunten gebruikt.
Bij implementatie in een virtueel netwerk of geconfigureerd met firewallregels, weigert een register de toegang tot gebruikers of services van buiten deze bronnen.
Verschillende Azure-services met meerdere tenants werken vanuit netwerken die niet kunnen worden opgenomen in deze registernetwerkinstellingen, waardoor ze geen bewerkingen kunnen uitvoeren, zoals pull- of push-installatiekopieën naar het register. Door bepaalde service-exemplaren aan te wijzen als 'vertrouwd', kan een registereigenaar toestaan dat bepaalde Azure-resources de netwerkinstellingen van het register veilig omzeilen om registerbewerkingen uit te voeren.
Vertrouwde services
Exemplaren van de volgende services hebben toegang tot een netwerkbeperkt containerregister als de instelling vertrouwde services toestaan van het register is ingeschakeld (de standaardinstelling). In de loop van de tijd worden er meer services toegevoegd.
Indien aangegeven, vereist toegang door de vertrouwde service aanvullende configuratie van een beheerde identiteit in een service-exemplaar, toewijzing van een RBAC-rol en verificatie met het register. Zie Werkstroom voor vertrouwde services verderop in dit artikel voor voorbeeldstappen.
| Vertrouwde service | Ondersteunde gebruiksscenario's | Beheerde identiteit configureren met RBAC-rol |
|---|---|---|
| Azure Container Instances | Implementeren naar Azure Container Instances vanuit Azure Container Registry met behulp van een beheerde identiteit | Ja, door het systeem toegewezen of door de gebruiker toegewezen identiteit |
| Microsoft Defender for Cloud | Scannen van beveiligingsproblemen door Microsoft Defender voor containerregisters | Nee |
| ACR-taken | Toegang tot het bovenliggende register of een ander register dan een ACR-taak | Ja |
| Machine Learning | Een model implementeren of trainen in een Machine Learning-werkruimte met behulp van een aangepaste Docker-containerinstallatiekopieën | Ja |
| Azure Container Registry | Installatiekopieën importeren in of uit een Azure-containerregister met beperkte netwerktoegang | Nee |
Notitie
Het inschakelen van de instelling Vertrouwde services toestaan is niet van toepassing op App Service.
Vertrouwde services toestaan - CLI
De instelling Vertrouwde services toestaan is standaard ingeschakeld in een nieuw Azure-containerregister. Schakel de instelling in of uit door de opdracht az acr update uit te voeren.
Uitschakelen:
az acr update --name myregistry --allow-trusted-services false
De instelling inschakelen in een bestaand register of een register waarvoor deze al is uitgeschakeld:
az acr update --name myregistry --allow-trusted-services true
Vertrouwde services toestaan - portal
De instelling Vertrouwde services toestaan is standaard ingeschakeld in een nieuw Azure-containerregister.
De instelling in de portal uitschakelen of opnieuw inschakelen:
- Navigeer in de portal naar uw containerregister.
- Selecteer onder Instellingende optie Netwerken.
- Selecteer in Openbare netwerktoegang toestaande optie Geselecteerde netwerken of Uitgeschakeld.
- Voer een van de volgende handelingen uit:
- Als u toegang door vertrouwde services wilt uitschakelen, schakelt u onder Firewall-uitzonderinghet selectievakje Vertrouwde Microsoft-services toegang geven tot dit containerregister uit.
- Als u vertrouwde services wilt toestaan, schakelt u onder Firewall-uitzonderingde optie Vertrouwde Microsoft-services toegang geven tot dit containerregister in.
- Selecteer Opslaan.
Werkstroom voor vertrouwde services
Hier volgt een typische werkstroom om een exemplaar van een vertrouwde service toegang te geven tot een containerregister met netwerkbeperkingen. Deze werkstroom is nodig wanneer de beheerde identiteit van een service-exemplaar wordt gebruikt om de netwerkregels van het register te omzeilen.
- Schakel een beheerde identiteit in een exemplaar van een van de vertrouwde services in voor Azure Container Registry.
- Wijs de identiteit een Azure-rol toe aan uw register. Wijs bijvoorbeeld de rol ACRPull toe om containerinstallatiekopieën op te halen.
- Configureer in het netwerkregister de instelling om toegang door vertrouwde services toe te staan.
- Gebruik de referenties van de identiteit om te verifiëren met het netwerkregister.
- Haal installatiekopieën op uit het register of voer andere bewerkingen uit die door de rol zijn toegestaan.
Voorbeeld: ACR-taken
In het volgende voorbeeld ziet u het gebruik van ACR-taken als een vertrouwde service. Zie Verificatie tussen registers in een ACR-taak met behulp van een door Azure beheerde identiteit voor taakdetails.
- Een Azure-containerregister maken of bijwerken.
Een ACR-taak maken.
- Schakel een door het systeem toegewezen beheerde identiteit in bij het maken van de taak.
- Schakel de standaardverificatiemodus (
--auth-mode None) van de taak uit.
- Wijs aan de taakidentiteit een Azure-rol toe voor toegang tot het register. Wijs bijvoorbeeld de rol AcrPush toe, die machtigingen heeft voor het ophalen en pushen van installatiekopieën.
- Voeg referenties voor beheerde identiteiten voor het register toe aan de taak.
- Als u wilt controleren of de taak netwerkbeperkingen omzeilt, schakelt u openbare toegang in het register uit.
- Voer de taak uit. Als het register en de taak correct zijn geconfigureerd, wordt de taak uitgevoerd, omdat het register toegang toestaat.
Het uitschakelen van toegang door vertrouwde services testen:
- Schakel de instelling uit om toegang door vertrouwde services toe te staan.
- Voer de taak opnieuw uit. In dit geval mislukt de taakuitvoering, omdat het register geen toegang meer toestaat voor de taak.
Volgende stappen
- Als u de toegang tot een register wilt beperken met behulp van een privé-eindpunt in een virtueel netwerk, raadpleegt u Azure Private Link configureren voor een Azure-containerregister.
- Zie Openbare IP-netwerkregels configureren voor informatie over het instellen van firewallregels voor het register.