Zezwalaj zaufanym usługom na bezpieczny dostęp do rejestru kontenerów z ograniczeniami sieci
Azure Container Registry może zezwalać na wybieranie zaufanych usług platformy Azure w celu uzyskania dostępu do rejestru skonfigurowanego przy użyciu reguł dostępu do sieci. Gdy zaufane usługi są dozwolone, zaufane wystąpienie usługi może bezpiecznie pominąć reguły sieciowe rejestru i wykonywać operacje, takie jak ściąganie lub wypychanie obrazów. W tym artykule opisano sposób włączania i używania zaufanych usług za pomocą rejestru kontenerów platformy Azure z ograniczeniami w sieci.
Użyj usługi Azure Cloud Shell lub lokalnej instalacji interfejsu wiersza polecenia platformy Azure, aby uruchomić przykłady poleceń w tym artykule. Jeśli chcesz używać go lokalnie, wymagana jest wersja 2.18 lub nowsza. Uruchom polecenie az --version
, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
Ograniczenia
- Niektóre scenariusze dostępu do rejestru z zaufanymi usługami wymagają tożsamości zarządzanej dla zasobów platformy Azure. Z wyjątkiem sytuacji, w których zauważono, że tożsamość zarządzana przypisana przez użytkownika jest obsługiwana, może być używana tylko tożsamość przypisana przez system.
- Zezwalanie na zaufane usługi nie ma zastosowania do rejestru kontenerów skonfigurowanego przy użyciu punktu końcowego usługi. Ta funkcja ma wpływ tylko na rejestry, które są ograniczone do prywatnego punktu końcowego lub które mają zastosowane reguły dostępu do publicznego adresu IP .
Informacje o zaufanych usługach
Azure Container Registry ma model zabezpieczeń warstwowych, obsługujący wiele konfiguracji sieci, które ograniczają dostęp do rejestru, w tym:
- Prywatny punkt końcowy z Azure Private Link. Po skonfigurowaniu prywatny punkt końcowy rejestru jest dostępny tylko dla zasobów w sieci wirtualnej przy użyciu prywatnych adresów IP.
- Reguły zapory rejestru, które umożliwiają dostęp do publicznego punktu końcowego rejestru tylko z określonych publicznych adresów IP lub zakresów adresów. Zaporę można również skonfigurować tak, aby blokowała cały dostęp do publicznego punktu końcowego podczas korzystania z prywatnych punktów końcowych.
Po wdrożeniu w sieci wirtualnej lub skonfigurowaniu z regułami zapory rejestr odmawia dostępu do użytkowników lub usług spoza tych źródeł.
Kilka wielodostępnych usług platformy Azure działa z sieci, których nie można uwzględnić w tych ustawieniach sieci rejestru, uniemożliwiając im wykonywanie operacji, takich jak ściąganie lub wypychanie obrazów do rejestru. Przez wyznaczenie niektórych wystąpień usługi jako "zaufanych", właściciel rejestru może zezwolić na wybranie zasobów platformy Azure w celu bezpiecznego obejścia ustawień sieci rejestru w celu wykonywania operacji rejestru.
Zaufane usługi
Wystąpienia następujących usług mogą uzyskiwać dostęp do rejestru kontenerów z ograniczeniami sieci, jeśli ustawienie zezwala na zaufane usługi rejestru jest włączone (ustawienie domyślne). Więcej usług zostanie dodanych w czasie.
Jeśli jest to wskazane, dostęp do zaufanej usługi wymaga dodatkowej konfiguracji tożsamości zarządzanej w wystąpieniu usługi, przypisania roli RBAC i uwierzytelnienia przy użyciu rejestru. Aby uzyskać przykładowe kroki, zobacz Przepływ pracy zaufanych usług w dalszej części tego artykułu.
Zaufana usługa | Obsługiwane scenariusze użycia | Konfigurowanie tożsamości zarządzanej przy użyciu roli RBAC |
---|---|---|
Azure Container Instances | Wdrażanie w Azure Container Instances z Azure Container Registry przy użyciu tożsamości zarządzanej | Tak, tożsamość przypisana przez system lub przypisana przez użytkownika |
Microsoft Defender for Cloud | Skanowanie luk w zabezpieczeniach przez Microsoft Defender dla rejestrów kontenerów | Nie |
Zadania usługi ACR | Uzyskiwanie dostępu do rejestru nadrzędnego lub innego rejestru niż zadanie usługi ACR | Tak |
Usługa Machine Learning | Wdrażanie lub trenowanie modelu w obszarze roboczym usługi Machine Learning przy użyciu niestandardowego obrazu kontenera platformy Docker | Tak |
Azure Container Registry | Importowanie obrazów do lub z rejestru kontenerów platformy Azure z ograniczeniami sieci | Nie |
Uwaga
Ustawienie Zezwalaj na zaufane usługi nie ma zastosowania do App Service.
Zezwalaj na zaufane usługi — interfejs wiersza polecenia
Domyślnie ustawienie Zezwalaj na zaufane usługi jest włączone w nowym rejestrze kontenerów platformy Azure. Wyłącz lub włącz ustawienie, uruchamiając polecenie az acr update .
Aby wyłączyć:
az acr update --name myregistry --allow-trusted-services false
Aby włączyć ustawienie w istniejącym rejestrze lub rejestrze, w którym jest już wyłączona:
az acr update --name myregistry --allow-trusted-services true
Zezwalaj na zaufane usługi — portal
Domyślnie ustawienie Zezwalaj na zaufane usługi jest włączone w nowym rejestrze kontenerów platformy Azure.
Aby wyłączyć lub ponownie włączyć ustawienie w portalu:
- W portalu przejdź do rejestru kontenerów.
- W obszarze Ustawienia wybierz pozycję Sieć.
- W obszarze Zezwalaj na dostęp do sieci publicznej wybierz pozycję Wybrane sieci lub Wyłączone.
- Wykonaj jedną z następujących czynności:
- Aby wyłączyć dostęp przez zaufane usługi, w obszarze Wyjątek zapory usuń zaznaczenie pola wyboru Zezwalaj zaufanym usługom firmy Microsoft na dostęp do tego rejestru kontenerów.
- Aby zezwolić na zaufane usługi, w obszarze Wyjątek zapory zaznacz pole wyboru Zezwalaj zaufanym usługom firmy Microsoft na dostęp do tego rejestru kontenerów.
- Wybierz pozycję Zapisz.
Przepływ pracy zaufanych usług
Oto typowy przepływ pracy umożliwiający wystąpienie zaufanej usługi uzyskiwanie dostępu do rejestru kontenerów z ograniczeniami sieci. Ten przepływ pracy jest wymagany, gdy tożsamość zarządzana wystąpienia usługi jest używana do obejścia reguł sieciowych rejestru.
- Włącz tożsamość zarządzaną w wystąpieniu jednej z zaufanych usług dla Azure Container Registry.
- Przypisz tożsamość roli platformy Azure do rejestru. Na przykład przypisz rolę ACRPull do ściągania obrazów kontenerów.
- W rejestrze z ograniczeniami sieci skonfiguruj ustawienie, aby zezwolić na dostęp przez zaufane usługi.
- Użyj poświadczeń tożsamości, aby uwierzytelnić się w rejestrze z ograniczeniami sieci.
- Ściąganie obrazów z rejestru lub wykonywanie innych operacji dozwolonych przez rolę.
Przykład: zadania usługi ACR
W poniższym przykładzie pokazano użycie usługi ACR Tasks jako zaufanej usługi. Aby uzyskać szczegółowe informacje na temat zadania zarządzanego przez platformę Azure, zobacz Uwierzytelnianie między rejestrami w zadaniu usługi ACR przy użyciu tożsamości zarządzanej przez platformę Azure .
- Tworzenie lub aktualizowanie rejestru kontenerów platformy Azure.
Utwórz zadanie usługi ACR.
- Włącz tożsamość zarządzaną przypisaną przez system podczas tworzenia zadania.
- Wyłącz domyślny tryb uwierzytelniania (
--auth-mode None
) zadania.
- Przypisz tożsamość zadania roli platformy Azure, aby uzyskać dostęp do rejestru. Na przykład przypisz rolę AcrPush, która ma uprawnienia do ściągania i wypychania obrazów.
- Dodaj poświadczenia tożsamości zarządzanej dla rejestru do zadania.
- Aby potwierdzić, że zadanie pomija ograniczenia sieci, wyłącz dostęp publiczny w rejestrze.
- Uruchom zadanie. Jeśli rejestr i zadanie są prawidłowo skonfigurowane, zadanie zostanie uruchomione pomyślnie, ponieważ rejestr zezwala na dostęp.
Aby przetestować wyłączenie dostępu przez zaufane usługi:
- Wyłącz ustawienie, aby zezwolić na dostęp przez zaufane usługi.
- Uruchom ponownie zadanie. W takim przypadku uruchomienie zadania kończy się niepowodzeniem, ponieważ rejestr nie zezwala już na dostęp do zadania.
Następne kroki
- Aby ograniczyć dostęp do rejestru przy użyciu prywatnego punktu końcowego w sieci wirtualnej, zobacz Konfigurowanie Azure Private Link dla rejestru kontenerów platformy Azure.
- Aby skonfigurować reguły zapory rejestru, zobacz Konfigurowanie reguł sieci publicznych adresów IP.