Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Registro de Contêiner do Azure é um serviço de registro privado para gerar, armazenar e fornecer imagens de contêiner e artefatos relacionados. Neste guia de início rápido, você vai criar uma instância de registro de contêiner com a CLI do Azure. Em seguida, use os comandos do Docker para efetuar push de uma imagem de contêiner no Registro e, por fim, efetuar pull e executar a imagem do seu Registro.
Este início rápido exige que você esteja executando a CLI do Azure (versão 2.0.55 ou posterior é recomendada). Execute az --version para encontrar a versão. Se você precisa instalar ou atualizar, consulte Instalar a CLI do Azure.
Você também deve ter o Docker instalado localmente. O Docker fornece pacotes que configuram facilmente o Docker em qualquer sistema macOS, Windows ou Linux.
Como o Azure Cloud Shell não inclui todos os componentes de Docker necessários (o daemon dockerd), você não pode usar o Cloud Shell para este guia de início rápido.
Criar um grupo de recursos
Crie um grupo de recursos com o comando az group create. Um grupo de recursos do Azure é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados.
O exemplo a seguir cria um grupo de recursos chamado myResourceGroup no local eastus.
az group create --name myResourceGroup --location eastus
Configurar parâmetros para um registro de contêiner
Neste início rápido, você cria um registro Standard , o que é suficiente para a maioria dos fluxos de trabalho do Registro de Contêiner do Azure. Para obter detalhes sobre as camadas de serviço disponíveis, confira Camadas de serviço do registro de contêiner.
Crie uma instância ACR usando o comando az acr create. O nome do registro deve ser exclusivo no Azure e conter de 5 a 50 caracteres alfanuméricos em minúsculas. No exemplo a seguir, mycontainerregistry é usado. Atualize-o para um valor exclusivo.
Configurar a opção DNL (Rótulo de Nome de Domínio)
O recurso DNL (Rótulo de Nome de Domínio) reforça a segurança impedindo ataques de aquisição de subdomínio de nomes DNS do Registro. Esses ataques ocorrem quando um registro é excluído e outra entidade reutiliza o mesmo nome do Registro, potencialmente fazendo com que as referências downstream sejam extraídas do registro recriado pela outra entidade.
O DNL resolve isso acrescentando um hash exclusivo ao nome DNS do registro. Isso garante que, mesmo que o mesmo nome do registro seja reutilizado por outra entidade, os nomes DNS serão diferentes devido ao hash exclusivo. Isso protege suas referências downstream de apontar inadvertidamente para o registro recriado pela outra entidade.
Ao criar um registro no comando az acr create , você pode especificar o sinalizador --dnl-scope opcional e escolher entre as opções disponíveis:
Unsecure: cria o nome DNS as-is, com base no nome do registro (por exemplo,contosoacrregistry.azurecr.io). Essa opção não inclui proteção DNL.TenantReuse: acrescenta um hash exclusivo com base no nome do locatário e do registro, garantindo que o nome DNS seja exclusivo dentro do locatário.SubscriptionReuse: adiciona um hash exclusivo com base na assinatura, no locatário e no nome do registro, garantindo que o nome DNS seja exclusivo na assinatura.ResourceGroupReuse: acrescenta um hash exclusivo com base no grupo de recursos, assinatura, locatário e nome do registro, garantindo que o nome DNS seja exclusivo dentro do grupo de recursos.NoReuse: gera um nome DNS exclusivo com um hash exclusivo sempre que o registro é criado, independentemente de outros fatores, garantindo que o nome DNS seja sempre exclusivo.
Observação
Configuração Imutável: o escopo DNL selecionado durante a criação do registro é permanente e não pode ser modificado posteriormente. Isso garante um comportamento DNS consistente e impede interrupções em referências downstream.
Implicações de nome DNS das opções de DNL
Formato de nome DNS: para todas as opções habilitadas para DNL, exceto Unsecure, o nome DNS segue o formato registryname-hash.azurecr.io, em que o traço (-) serve como o delineador de hash. Para evitar conflitos, o traço (-) não é permitido no nome do registro. Por exemplo, um registro nomeado contosoacrregistry com o TenantReuse escopo DNL terá um nome DNS como contosoacrregistry-e7ggejfuhzhgedc8.azurecr.io.
Referências Downstream: o nome DNS pode diferir do nome do registro, exigindo atualizações em arquivos downstream como Dockerfiles, Kubernetes YAML e Gráficos Helm para refletir o nome DNS completo com o hash DNL. Por exemplo, se você quiser que o Dockerfile downstream faça referência a um registro chamado contosoacrregistry com o escopo DNL TenantReuse, será necessário atualizar a referência para contosoacrregistry-e7ggejfuhzhgedc8.azurecr.io no seu Dockerfile downstream.
Configurar o modo de permissões de atribuição de função
Opcionalmente, você pode usar o --role-assignment-mode parâmetro para especificar o modo de atribuição de função do registro.
Essa opção determina como o controle de acesso baseado em função (RBAC) do Microsoft Entra e as atribuições de função são gerenciados para o registro, incluindo o uso do controle de acesso baseado em atributo (ABAC) do Microsoft Entra para permissões de repositório do Microsoft Entra.
Especifique rbac-abac para esse parâmetro para manter as atribuições de função padrão do Microsoft Entra RBAC, ao mesmo tempo em que aplica opcionalmente condições do ABAC do Microsoft Entra para controle de acesso de nível de repositório refinado.
Para obter mais informações sobre essa opção, consulte o ABAC (controle de acesso baseado em atributo) do Microsoft Entra para obter permissões de repositório.
Criar um registro de contêiner
az acr create --resource-group myResourceGroup \
--name mycontainerregistry --sku Standard \
--role-assignment-mode 'rbac-abac' \
--dnl-scope TenantReuse
Quando o registro é criado, o resultado é semelhante ao seguinte:
{
"adminUserEnabled": false,
"creationDate": "2019-01-08T22:32:13.175925+00:00",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ContainerRegistry/registries/mycontainerregistry",
"location": "eastus",
"loginServer": "mycontainerregistry-e7ggejfuhzhgedc8.azurecr.io",
"name": "mycontainerregistry",
"provisioningState": "Succeeded",
"resourceGroup": "myResourceGroup",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"status": null,
"storageAccount": null,
"tags": {},
"type": "Microsoft.ContainerRegistry/registries",
"roleAssignmentMode": "AbacRepositoryPermissions",
"autoGeneratedDomainNameLabelScope": "TenantReuse"
}
Anote loginServer na saída, que é o nome totalmente qualificado do Registro (todo em minúsculas). No restante deste início rápido, <registry-name> é um espaço reservado para o nome do registro de contêiner e <login-server> é um espaço reservado para o nome do servidor de logon do registro.
Dica
Neste início rápido, você cria um Registro Standard , o que é suficiente para a maioria dos fluxos de trabalho do Registro de Contêiner do Azure. Escolha outras camadas para aumentar a taxa de transferência de armazenamento e imagem, além de recursos como a conexão usando um ponto de extremidade privado. Para obter detalhes sobre as camadas de serviço (SKUs) disponíveis, confira Camadas de serviço do registro de contêiner.
Fazer logon no registro
Antes de efetuar push e pull nas imagens de contêiner, você deverá fazer logon no Registro. Para fazer isso, use o comando az acr login. Especifique somente o nome do registro ao fazer logon com a CLI do Azure. Não use o nome do servidor de logon totalmente qualificado.
az acr login --name <registry-name>
Exemplo:
az acr login --name mycontainerregistry
O comando retorna uma mensagem Login Succeeded na conclusão.
Efetuar push de imagem para registro
Para enviar por push uma imagem para um Registro de Contêiner do Azure, primeiro você deve ter uma imagem. Se você ainda não tiver imagens de contêiner locais, execute o comando docker pull a seguir para efetuar pull de uma imagem pública existente. Para este exemplo, efetue pull da imagem hello-world do Microsoft Container Registry.
docker pull mcr.microsoft.com/hello-world
Para efetuar push de uma imagem para o Registro, você precisa marcá-la com a marca do docker com o nome totalmente qualificado de seu servidor de logon do Registro.
- O formato de nome do servidor de logon para registros protegidos de Rótulo de Nome de Domínio (DNL) com um hash de nome DNS exclusivo incluído é
mycontainerregistry-abc123.azurecr.io. - O formato de nome do servidor de logon para registros criados com a opção
UnsecureDNL émycontainerregistry.azurecr.io.
Por exemplo, se o registro tiver sido criado com o escopo DNL Tenant Reuse, o servidor de logon poderá ser semelhante a mycontainerregistry-abc123.azurecr.io com um hash no nome DNS. Se o registro tiver sido criado com a opção Unsecure DNL, o servidor de logon terá a aparência mycontainerregistry.azurecr.io sem o hash.
Para obter mais detalhes sobre as opções de DNL durante a criação do registro e as implicações de nome DNS, consulte Início Rápido – Criar Registro no Portal.
Exemplo: marcando uma imagem antes de fazer o push
Marque a imagem usando o comando docker tag usando o servidor de login do registro.
Marcando imagem para um registro não DNL:
docker tag mcr.microsoft.com/hello-world mycontainerregistry.azurecr.io/hello-world:v1
Marcando imagem para um registro habilitado para DNL:
docker tag mcr.microsoft.com/hello-world mycontainerregistry-abc123.azurecr.io/hello-world:v1
Por fim, use docker push para efetuar push da imagem para a instância do registro. Substitua o <login-server> pelo nome do servidor de logon de sua instância do registro. Este exemplo cria o repositório Olá, mundo, que contém a imagem hello-world:v1.
docker push <login-server>/hello-world:v1
Depois de efetuar push da imagem no registro de contêiner, remova a imagem hello-world:v1 de seu ambiente do Docker local. (Observe que este comando docker rmi não remove a imagem do repositório hello-world no registro de contêiner do Azure.)
docker rmi <login-server>/hello-world:v1
Listar imagens de contêiner
O exemplo a seguir lista os repositórios em seu Registro:
az acr repository list --name <registry-name> --output table
Saída:
Result
----------------
hello-world
O exemplo a seguir lista as marcas no repositório hello-world.
az acr repository show-tags --name <registry-name> --repository hello-world --output table
Saída:
Result
--------
v1
Executar a imagem do Registro
Agora, é possível efetuar pull e executar a imagem de contêiner hello-world:v1 do registro de contêiner usando docker run:
docker run <login-server>/hello-world:v1
Saída de exemplo:
Unable to find image 'mycontainerregistry.azurecr.io/hello-world:v1' locally
v1: Pulling from hello-world
Digest: sha256:662dd8e65ef7ccf13f417962c2f77567d3b132f12c95909de6c85ac3c326a345
Status: Downloaded newer image for mycontainerregistry.azurecr.io/hello-world:v1
Hello from Docker!
This message shows that your installation appears to be working correctly.
[...]
Limpar recursos
Quando não for mais necessário, você poderá usar o comando az group delete para remover o grupo de recursos, o registro de contêiner e as imagens de contêiner armazenadas lá.
az group delete --name myResourceGroup
Próximas etapas
Neste início rápido, você criou um Registro de Contêiner do Azure com a CLI do Azure, efetuou push de uma imagem de contêiner para o Registro e extraiu e executou a imagem do Registro. Prossiga para os tutoriais de Registro de Contêiner do Azure para uma análise mais profunda do ACR.