Udostępnij za pośrednictwem

Informacje o dostępie do połączonego rejestru

  • Artykuł

Aby uzyskać dostęp do połączonego rejestru i zarządzać nim, obecnie obsługiwane jest tylko uwierzytelnianie oparte na tokenach usługi ACR. Jak pokazano na poniższej ilustracji, dwa różne typy tokenów są używane przez każdy połączony rejestr:

  • Tokeny klienta — co najmniej jeden token używany przez klientów lokalnych do uwierzytelniania za pomocą połączonego rejestru i wypychania lub ściągania obrazów i artefaktów do lub z niego.
  • Token synchronizacji — token używany przez każdy połączony rejestr w celu uzyskania dostępu do jego nadrzędnej i synchronizowania zawartości.

Widok uwierzytelniania rejestru połączonego

Ważne

Przechowuj hasła tokenów dla każdego połączonego rejestru w bezpiecznej lokalizacji. Po ich utworzeniu nie można pobrać haseł tokenu. Hasła tokenu można wygenerować ponownie w dowolnym momencie.

Tokeny klienta

Aby zarządzać dostępem klienta do połączonego rejestru, należy utworzyć tokeny objęte zakresem akcji w co najmniej jednym repozytorium. Po utworzeniu tokenu skonfiguruj połączony rejestr, aby akceptował token przy użyciu polecenia az acr connected-registry update . Następnie klient może użyć poświadczeń tokenu, aby uzyskać dostęp do połączonego punktu końcowego rejestru — na przykład do ściągania lub wypychania obrazów do połączonego rejestru za pomocą poleceń interfejsu wiersza polecenia platformy Docker.

Opcje konfigurowania akcji tokenu klienta zależą od tego, czy połączony rejestr zezwala zarówno na operacje wypychania, jak i ściąganie, czy działa jako dublowanie tylko do ściągania.

  • Połączony rejestr w domyślnym trybie ReadWrite umożliwia zarówno operacje ściągania, jak i wypychania, dzięki czemu można utworzyć token, który umożliwia akcje zarówno odczytu, jak i zapisu zawartości repozytorium w tym rejestrze.
  • W przypadku połączonego rejestru w trybie ReadOnly tokeny klienta mogą zezwalać tylko na akcje odczytu zawartości repozytorium.

Zarządzanie tokenami klienta

Zaktualizuj tokeny klienta, hasła lub mapy zakresu zgodnie z potrzebami, używając poleceń az acr token i az acr scope-map . Aktualizacje tokenu klienta są propagowane automatycznie do połączonych rejestrów, które akceptują token.

Token synchronizacji

Każdy połączony rejestr używa tokenu synchronizacji do uwierzytelniania za pomocą bezpośredniego elementu nadrzędnego — który może być innym połączonym rejestrem lub rejestrem w chmurze. Połączony rejestr automatycznie używa tego tokenu podczas synchronizowania zawartości z elementem nadrzędnym lub wykonywania innych aktualizacji.

  • Token synchronizacji i hasła są generowane automatycznie podczas tworzenia połączonego zasobu rejestru. Uruchom polecenie az acr connected-registry install renew-credentials, aby ponownie wygenerować hasła.
  • Uwzględnij poświadczenia tokenu synchronizacji w konfiguracji używanej do wdrożenia lokalnego połączonego rejestru.
  • Domyślnie token synchronizacji ma uprawnienie do synchronizowania wybranych repozytoriów z jego elementem nadrzędnym. Musisz podać istniejący token synchronizacji lub co najmniej jedno repozytorium do synchronizacji podczas tworzenia połączonego zasobu rejestru.
  • Ma również uprawnienia do odczytywania i zapisywania komunikatów synchronizacji w bramie używanej do komunikowania się z elementem nadrzędnym połączonego rejestru. Te komunikaty kontrolują harmonogram synchronizacji i zarządzają innymi aktualizacjami między połączonym rejestrem a jego elementem nadrzędnym.

Zarządzanie tokenem synchronizacji

Zaktualizuj tokeny synchronizacji, hasła lub mapy zakresu zgodnie z potrzebami, używając poleceń az acr token i az acr scope-map . Aktualizacje tokenów synchronizacji są propagowane automatycznie do połączonego rejestru. Postępuj zgodnie ze standardowymi rozwiązaniami dotyczącymi rotacji haseł podczas aktualizowania tokenu synchronizacji.

Uwaga

Nie można usunąć tokenu synchronizacji do momentu usunięcia połączonego rejestru skojarzonego z tokenem. Możesz wyłączyć połączony rejestr, ustawiając stan tokenu synchronizacji na disabledwartość .

Punkty końcowe rejestru

Poświadczenia tokenu dla połączonych rejestrów są ograniczone do uzyskiwania dostępu do określonych punktów końcowych rejestru:

  • Token klienta uzyskuje dostęp do punktu końcowego połączonego rejestru. Połączony punkt końcowy rejestru to identyfikator URI serwera logowania, który zazwyczaj jest adresem IP serwera lub urządzenia, które go hostuje.

  • Token synchronizacji uzyskuje dostęp do punktu końcowego rejestru nadrzędnego, który jest innym połączonym punktem końcowym rejestru lub samym rejestrem w chmurze. W przypadku uzyskiwania dostępu do rejestru w chmurze token synchronizacji musi uzyskać dostęp do dwóch punktów końcowych rejestru:

    • W pełni kwalifikowana nazwa serwera logowania, na przykład contoso.azurecr.io. Ten punkt końcowy jest używany do uwierzytelniania.
    • W pełni kwalifikowany regionalny punkt końcowy danych dla rejestru w chmurze, na przykład contoso.westus2.data.azurecr.io. Ten punkt końcowy służy do wymiany komunikatów z połączonym rejestrem na potrzeby synchronizacji.

Następne kroki

Przejdź do poniższego artykułu, aby dowiedzieć się więcej o konkretnych scenariuszach, w których można korzystać z połączonego rejestru.

Omówienie: Połączony rejestr i usługa IoT Edge