Conectar-se de forma privada a um registro de contêiner do Azure usando o Azure Private Link

Limite o acesso a um Registro atribuindo endereços IP privados de rede virtual aos pontos de extremidade do Registro e usando o Azure Private Link. O tráfego de rede entre os clientes na rede virtual e os pontos de extremidade privados do registro atravessa a rede virtual e um link privado na rede de backbone da Microsoft, eliminando a exposição da Internet pública. O Private Link também permite o acesso ao Registro privado local por meio da Rota Expressa do Azure, emparelhamento privado ou um gateway VPN.

Você pode definir as configurações de DNS para os pontos de extremidade privados do Registro, para que as configurações sejam resolvidas para o endereço IP privado alocado do Registro. Com a configuração de DNS, os clientes e serviços na rede podem continuar a acessar o registro no nome de domínio totalmente qualificado do registro, como myregistry.azurecr.io.

Este artigo mostra como configurar um ponto de extremidade privado para seu registro usando o portal do Azure (recomendado) ou a CLI do Azure. Esse recurso está disponível na camada de serviço de registro de contêiner Premium . Para obter informações sobre camadas e limites de serviço do Registro, consulte Camadas do Registro de Contêiner do Azure.

Importante

Algumas funcionalidades podem não estar disponíveis ou exigir mais configuração em um registro de contêiner que restrinja o acesso a pontos de extremidade privados, sub-redes selecionadas ou endereços IP.

• Quando o acesso à rede pública a um registo está desativado, o acesso ao registo por determinados serviços fidedignos, incluindo o Centro de Segurança do Azure, requer a ativação de uma definição de rede para ignorar as regras de rede.
• Depois que o acesso à rede pública é desabilitado, as instâncias de determinados serviços do Azure, incluindo os Serviços de DevOps do Azure, não conseguem acessar o registro do contêiner.
• Atualmente, não há suporte para pontos de extremidade privados com agentes gerenciados do Azure DevOps. Você precisará usar um agente auto-hospedado com linha de visão de rede para o ponto de extremidade privado.
• Se o registro tiver um ponto de extremidade privado aprovado e o acesso à rede pública estiver desabilitado, os repositórios e marcas não poderão ser listados fora da rede virtual usando o portal do Azure, a CLI do Azure ou outras ferramentas.

Nota

A partir de outubro de 2021, os novos registos de contentores permitem um máximo de 200 terminais privados. Os registos criados anteriormente permitem um máximo de 10 terminais privados. Use o comando az acr show-usage para ver o limite do seu registro. Abra um ticket de suporte para aumentar o limite para 200 endpoints privados.

Pré-requisitos

• Uma rede virtual e uma sub-rede na qual configurar o ponto de extremidade privado. Se necessário, crie uma nova rede virtual e sub-rede.
• Para testes, é recomendável configurar uma VM na rede virtual. Para conhecer as etapas para criar uma máquina virtual de teste para acessar seu registro, consulte Criar uma máquina virtual habilitada para Docker.
• Para usar as etapas da CLI do Azure neste artigo, recomenda-se a CLI do Azure versão 2.6.0 ou posterior. Se precisar de instalar ou atualizar, veja Install Azure CLI (Instalar o Azure CLI). Ou execute no Azure Cloud Shell.
• Se você ainda não tiver um registro de contêiner, crie um (camada Premium necessária) e importe uma imagem pública de exemplo, como mcr.microsoft.com/hello-world do Microsoft Container Registry. Por exemplo, use o portal do Azure ou a CLI do Azure para criar um registro.

Registrar provedor de recursos do Registro de contêiner

Para configurar o acesso ao Registro usando um link privado em uma assinatura ou locatário diferente do Azure, você precisa registrar o provedor de recursos para o Registro de Contêiner do Azure nessa assinatura. Use o portal do Azure, a CLI do Azure ou outras ferramentas.

Exemplo:

az account set --subscription <Name or ID of subscription of private link>

az provider register --namespace Microsoft.ContainerRegistry

Configurar ponto de extremidade privado - portal (recomendado)

Configure um ponto de extremidade privado ao criar um registro ou adicione um ponto de extremidade privado a um registro existente.

Criar um ponto de extremidade privado - novo registro

1. Ao criar um registro no portal, na guia Noções básicas , em SKU, selecione Premium.

2. Selecione o separador Rede.

3. Em Conectividade de rede, selecione Ponto de extremidade> privado+ Adicionar.

4. Insira ou selecione as seguintes informações:

   Definição	valor
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Insira o nome de um grupo existente ou crie um novo.
   Nome	Introduza um nome exclusivo.
   Subrecurso do Registro	Selecionar registo
   Rede
   Rede virtual	Selecione a rede virtual para o ponto de extremidade privado. Exemplo: myDockerVMVNET.
   Sub-rede	Selecione a sub-rede para o ponto de extremidade privado. Exemplo: myDockerVMSubnet.
   Integração com DNS privado
   Integrar com zona DNS privada	Selecione Yes (Sim).
   Zona DNS Privado	Selecione (Novo) privatelink.azurecr.io

5. Configure as restantes definições de registo e, em seguida, selecione Rever + criar.

Seu link privado agora está configurado e pronto para uso.

Criar um ponto de extremidade privado - registro existente

1. No portal, navegue até o registro do contêiner.

2. Em Configurações, selecione Rede.

3. Na guia Pontos de extremidade privados, selecione + Ponto de extremidade privado.

4. Na guia Noções básicas, insira ou selecione as seguintes informações:

   Definição	valor
   Detalhes do projeto
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Insira o nome de um grupo existente ou crie um novo.
   Detalhes da instância
   Nome	Introduza um nome.
   País/Região	Selecione uma região.

5. Selecione Next: Resource.

6. Insira ou selecione as seguintes informações:

   Definição	valor
   Método de ligação	Para este exemplo, selecione Conectar a um recurso do Azure no meu diretório.
   Subscrição	Selecione a sua subscrição.
   Tipo de recurso	Selecione Microsoft.ContainerRegistry/registries.
   Resource	Selecione o nome do seu registo
   Subrecurso de destino	Selecionar registo

7. Selecione Next: Configuration.

8. Insira ou selecione as informações:

   Definição	valor
   Rede
   Rede virtual	Selecione a rede virtual para o ponto de extremidade privado
   Sub-rede	Selecione a sub-rede para o ponto de extremidade privado
   Integração DNS Privada
   Integrar com zona DNS privada	Selecione Yes (Sim).
   Zona DNS Privado	Selecione (Novo) privatelink.azurecr.io

9. Selecione Rever + criar. Você será direcionado para a página Revisar + criar, onde o Azure valida sua configuração.

10. Quando vir a mensagem Validação aprovada , selecione Criar.

Confirmar a configuração do endpoint

Depois que o ponto de extremidade privado é criado, as configurações de DNS na zona privada aparecem com as configurações de pontos de extremidade privados no portal:

1. No portal, navegue até o registro do contêiner e selecione Configurações > de rede.
2. Na guia Pontos de extremidade privados, selecione o ponto de extremidade privado que você criou.
3. Selecione Configuração de DNS.
4. Revise as configurações de link e as configurações de DNS personalizadas.

Configurar ponto de extremidade privado - CLI

Os exemplos da CLI do Azure neste artigo usam as seguintes variáveis de ambiente. Você precisará dos nomes de um registro de contêiner, rede virtual e sub-rede existentes para configurar um ponto de extremidade privado. Substitua valores apropriados para o seu ambiente. Todos os exemplos são formatados para o shell Bash:

REGISTRY_NAME=<container-registry-name>
REGISTRY_LOCATION=<container-registry-location> # Azure region such as westeurope where registry created
RESOURCE_GROUP=<resource-group-name> # Resource group for your existing virtual network and subnet
NETWORK_NAME=<virtual-network-name>
SUBNET_NAME=<subnet-name>

Desativar políticas de rede na sub-rede

Desative diretivas de rede, como grupos de segurança de rede na sub-rede para o ponto de extremidade privado. Atualize sua configuração de sub-rede com az network vnet subnet update:

az network vnet subnet update \
 --name $SUBNET_NAME \
 --vnet-name $NETWORK_NAME \
 --resource-group $RESOURCE_GROUP \
 --disable-private-endpoint-network-policies

Configurar a zona DNS privada

Crie uma zona DNS privada do Azure para o domínio de registro de contêiner privado do Azure. Em etapas posteriores, você cria registros DNS para seu domínio de registro nesta zona DNS. Para obter mais informações, consulte Opções de configuração de DNS, mais adiante neste artigo.

Para usar uma zona privada para substituir a resolução DNS padrão para seu registro de contêiner do Azure, a zona deve ser nomeada privatelink.azurecr.io. Execute o seguinte comando az network private-dns zone create para criar a zona privada:

az network private-dns zone create \
  --resource-group $RESOURCE_GROUP \
  --name "privatelink.azurecr.io"

Criar um link de associação

Execute az network private-dns link vnet create para associar sua zona privada à rede virtual. Este exemplo cria um link chamado myDNSLink.

az network private-dns link vnet create \
  --resource-group $RESOURCE_GROUP \
  --zone-name "privatelink.azurecr.io" \
  --name MyDNSLink \
  --virtual-network $NETWORK_NAME \
  --registration-enabled false

Criar um ponto de extremidade de registro privado

Nesta seção, crie o ponto de extremidade privado do Registro na rede virtual. Primeiro, obtenha o ID do recurso do seu registro:

REGISTRY_ID=$(az acr show --name $REGISTRY_NAME \
  --query 'id' --output tsv)

Execute o comando az network private-endpoint create para criar o ponto de extremidade privado do registro.

O exemplo a seguir cria o ponto de extremidade myPrivateEndpoint e a conexão de serviço myConnection. Para especificar um recurso de registro de contêiner para o ponto de extremidade, passe --group-ids registry:

az network private-endpoint create \
    --name myPrivateEndpoint \
    --resource-group $RESOURCE_GROUP \
    --vnet-name $NETWORK_NAME \
    --subnet $SUBNET_NAME \
    --private-connection-resource-id $REGISTRY_ID \
    --group-ids registry \
    --connection-name myConnection

Obter configuração de IP de ponto de extremidade

Para configurar registros DNS, obtenha a configuração IP do ponto de extremidade privado. Associados à interface de rede do ponto de extremidade privado neste exemplo estão dois endereços IP privados para o registro de contêiner: um para o próprio registro e outro para o ponto de extremidade de dados do registro. Se o seu registro for replicado geograficamente, um endereço IP adicional será associado a cada réplica.

Primeiro, execute az network private-endpoint show para consultar o ponto de extremidade privado para obter o ID da interface de rede:

NETWORK_INTERFACE_ID=$(az network private-endpoint show \
  --name myPrivateEndpoint \
  --resource-group $RESOURCE_GROUP \
  --query 'networkInterfaces[0].id' \
  --output tsv)

Os seguintes comandos az network nic show obtêm os endereços IP privados e FQDNs para o registro de contêiner e o ponto de extremidade de dados do registro:

REGISTRY_PRIVATE_IP=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry'].privateIpAddress" \
  --output tsv)

DATA_ENDPOINT_PRIVATE_IP=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REGISTRY_LOCATION'].privateIpAddress" \
  --output tsv)

# An FQDN is associated with each IP address in the IP configurations

REGISTRY_FQDN=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry'].privateLinkConnectionProperties.fqdns" \
  --output tsv)

DATA_ENDPOINT_FQDN=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REGISTRY_LOCATION'].privateLinkConnectionProperties.fqdns" \
  --output tsv)

Pontos de extremidade adicionais para réplicas geográficas

Se o seu registo for replicado geograficamente, consulte o ponto de extremidade de dados adicionais para cada réplica de registo. Por exemplo, na região Eastus :

REPLICA_LOCATION=eastus
GEO_REPLICA_DATA_ENDPOINT_PRIVATE_IP=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REPLICA_LOCATION'].privateIpAddress" \
  --output tsv) 

GEO_REPLICA_DATA_ENDPOINT_FQDN=$(az network nic show \
  --ids $NETWORK_INTERFACE_ID \
  --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$REPLICA_LOCATION'].privateLinkConnectionProperties.fqdns" \
  --output tsv)

Depois que uma nova replicação geográfica é adicionada, uma conexão de ponto de extremidade privada é definida como pendente. Para aprovar uma conexão de ponto de extremidade privada configurada manualmente, execute o comando az acr private-endpoint-connection aprovar .

Criar registos DNS na zona privada

Os comandos a seguir criam registros DNS na zona privada para o ponto de extremidade do Registro e seu ponto de extremidade de dados. Por exemplo, se você tiver um registro chamado myregistry na região da europa ocidental, os nomes dos pontos finais serão myregistry.azurecr.io e myregistry.westeurope.data.azurecr.io.

Primeiro, execute az network private-dns record-set a create para criar conjuntos de registros A vazios para o ponto de extremidade do Registro e o ponto de extremidade de dados:

az network private-dns record-set a create \
  --name $REGISTRY_NAME \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP

# Specify registry region in data endpoint name
az network private-dns record-set a create \
  --name ${REGISTRY_NAME}.${REGISTRY_LOCATION}.data \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP

Execute o comando az network private-dns record-set a add-record para criar os registros A para o ponto de extremidade do Registro e o ponto de extremidade de dados:

az network private-dns record-set a add-record \
  --record-set-name $REGISTRY_NAME \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP \
  --ipv4-address $REGISTRY_PRIVATE_IP

# Specify registry region in data endpoint name
az network private-dns record-set a add-record \
  --record-set-name ${REGISTRY_NAME}.${REGISTRY_LOCATION}.data \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP \
  --ipv4-address $DATA_ENDPOINT_PRIVATE_IP

Registos adicionais para réplicas geográficas

Se o seu registo for replicado geograficamente, crie definições de DNS adicionais para cada réplica. Continuando o exemplo na região de Eastus :

az network private-dns record-set a create \
  --name ${REGISTRY_NAME}.${REPLICA_LOCATION}.data \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP

az network private-dns record-set a add-record \
  --record-set-name ${REGISTRY_NAME}.${REPLICA_LOCATION}.data \
  --zone-name privatelink.azurecr.io \
  --resource-group $RESOURCE_GROUP \
  --ipv4-address $GEO_REPLICA_DATA_ENDPOINT_PRIVATE_IP

O link privado agora está configurado e pronto para uso.

Desativar o acesso público

Para muitos cenários, desative o acesso ao Registro de redes públicas. Essa configuração impede que clientes fora da rede virtual alcancem os pontos de extremidade do Registro.

Desativar o acesso público - portal

1. No portal, navegue até o registro do contêiner e selecione Configurações > de rede.
2. Na guia Acesso público, em Permitir acesso à rede pública, selecione Desabilitado. Em seguida, selecione Guardar.

Desabilitar o acesso público - CLI

Nota

Se o acesso público estiver desativado, os az acr build comandos não funcionarão mais.

Para desabilitar o acesso público usando a CLI do Azure, execute az acr update e defina --public-network-enabled como false.

az acr update --name $REGISTRY_NAME --public-network-enabled false

Execute o az acr build com ponto de extremidade privado e registro privado

Nota

Depois de desativar o acesso à rede pública aqui, os az acr build comandos não funcionarão mais. A menos que você esteja utilizando pools de agentes dedicados, normalmente é necessário o IP público. As tarefas reservam um conjunto de IPs públicos em cada região para solicitações de saída. Se necessário, temos a opção de adicionar esses IPs à lista de permissões do nosso firewall para uma comunicação perfeita.az acr build usa o mesmo conjunto de IPs que as tarefas.

Considere as seguintes opções para executar o az acr build com êxito.

• Atribua um pool de agentes dedicado.
• Se o pool de agentes não estiver disponível na região, adicione a Tag IPv4 regional do Serviço de Registro de Contêiner do Azure às regras de acesso ao firewall.. As tarefas reservam um conjunto de IPs públicos em cada região (também conhecida como AzureContainerRegistry Service Tag) para solicitações de saída. Você pode optar por adicionar os IPs na lista de permissões do firewall.
• Crie uma tarefa ACR com uma identidade gerenciada e habilite serviços confiáveis para acessar o ACR restrito à rede.

Desabilitar o acesso a um registro de contêiner usando um ponto de extremidade de serviço

Importante

O registro de contêiner não oferece suporte à habilitação de recursos de ponto de extremidade de serviço e link privado configurados a partir de uma rede virtual.

Depois que o registro tiver o acesso público desabilitado e o link privado configurado, você poderá desabilitar o acesso do ponto de extremidade do serviço a um registro de contêiner de uma rede virtual removendo as regras de rede virtual.

• Execute az acr network-rule list o comando para listar as regras de rede existentes.
• Execute az acr network-rule remove o comando para remover a regra de rede.

Validar conexão de link privado

Você deve validar se os recursos dentro da sub-rede do ponto de extremidade privado se conectam ao seu registro por meio de um endereço IP privado e têm a integração de zona DNS privada correta.

Para validar a conexão de link privado, conecte-se à máquina virtual que você configurou na rede virtual.

Execute um utilitário como nslookup ou dig para procurar o endereço IP do seu registo através da ligação privada. Por exemplo:

dig $REGISTRY_NAME.azurecr.io

Exemplo de saída mostra o endereço IP do registro no espaço de endereço da sub-rede:

[...]
; <<>> DiG 9.11.3-1ubuntu1.13-Ubuntu <<>> myregistry.azurecr.io
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52155
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;myregistry.azurecr.io.         IN      A

;; ANSWER SECTION:
myregistry.azurecr.io.  1783    IN      CNAME   myregistry.privatelink.azurecr.io.
myregistry.privatelink.azurecr.io. 10 IN A      10.0.0.7

[...]

Compare esse resultado com o endereço IP público na dig saída para o mesmo registro em um ponto de extremidade público:

[...]
;; ANSWER SECTION:
myregistry.azurecr.io.	2881	IN	CNAME	myregistry.privatelink.azurecr.io.
myregistry.privatelink.azurecr.io. 2881	IN CNAME xxxx.xx.azcr.io.
xxxx.xx.azcr.io.	300	IN	CNAME	xxxx-xxx-reg.trafficmanager.net.
xxxx-xxx-reg.trafficmanager.net. 300 IN	CNAME	xxxx.westeurope.cloudapp.azure.com.
xxxx.westeurope.cloudapp.azure.com. 10	IN A 20.45.122.144

[...]

Operações de registo através de ligação privada

Verifique também se você pode executar operações de registro da máquina virtual na rede. Faça uma conexão SSH com sua máquina virtual e execute az acr login para fazer login no seu registro. Dependendo da configuração da VM, talvez seja necessário prefixar os seguintes comandos com sudo.

az acr login --name $REGISTRY_NAME

Execute operações do Registro, como docker pull extrair uma imagem de exemplo do Registro. Substitua hello-world:v1 por uma imagem e tag apropriadas para o seu registro, prefixadas com o nome do servidor de login do registro (todas minúsculas):

docker pull myregistry.azurecr.io/hello-world:v1

O Docker extrai com êxito a imagem para a VM.

Gerir ligações de pontos finais privados

Gerencie as conexões de ponto de extremidade privado de um registro usando o portal do Azure ou usando comandos no grupo de comandos az acr private-endpoint-connection . As operações incluem aprovar, excluir, listar, rejeitar ou mostrar detalhes das conexões privadas de ponto de extremidade de um registro.

Por exemplo, para listar as conexões de ponto de extremidade privado de um registro, execute o comando az acr private-endpoint-connection list . Por exemplo:

az acr private-endpoint-connection list \
  --registry-name $REGISTRY_NAME 

Quando você configura uma conexão de ponto de extremidade privada usando as etapas neste artigo, o Registro aceita automaticamente conexões de clientes e serviços que têm permissões do RBAC do Azure no Registro. Você pode configurar o ponto de extremidade para exigir aprovação manual de conexões. Para obter informações sobre como aprovar e rejeitar conexões de ponto de extremidade privadas, consulte Gerenciar uma conexão de ponto de extremidade privado.

Importante

Atualmente, se você excluir um ponto de extremidade privado de um registro, também poderá precisar excluir o link da rede virtual para a zona privada. Se o link não for excluído, você poderá ver um erro semelhante ao unresolvable host.

Opções de configuração de DNS

O ponto de extremidade privado neste exemplo integra-se a uma zona DNS privada associada a uma rede virtual básica. Essa instalação usa o serviço DNS fornecido pelo Azure diretamente para resolver o FQDN público do Registro para seus endereços IP privados na rede virtual.

O link privado suporta cenários de configuração de DNS adicionais que usam a zona privada, inclusive com soluções DNS personalizadas. Por exemplo, você pode ter uma solução DNS personalizada implantada na rede virtual ou local em uma rede conectada à rede virtual usando um gateway VPN ou a Rota Expressa do Azure.

Para resolver o FQDN público do Registro para o endereço IP privado nesses cenários, você precisa configurar um encaminhador de nível de servidor para o serviço DNS do Azure (168.63.129.16). As opções e etapas exatas de configuração dependem de suas redes existentes e do DNS. Para obter exemplos, consulte Configuração de DNS do Ponto de Extremidade Privado do Azure.

Importante

Se para alta disponibilidade você criou pontos de extremidade privados em várias regiões, recomendamos que você use um grupo de recursos separado em cada região e coloque a rede virtual e a zona DNS privada associada nela. Essa configuração também impede a resolução DNS imprevisível causada pelo compartilhamento da mesma zona DNS privada.

Configurar manualmente os registos DNS

Para alguns cenários, talvez seja necessário configurar manualmente os registros DNS em uma zona privada em vez de usar a zona privada fornecida pelo Azure. Certifique-se de criar registros para cada um dos seguintes pontos de extremidade: o ponto de extremidade do Registro, o ponto de extremidade de dados do Registro e o ponto de extremidade de dados para qualquer réplica regional adicional. Se todos os registos não estiverem configurados, o registo poderá estar inacessível.

Importante

Se, posteriormente, você adicionar uma nova réplica, precisará adicionar manualmente um novo registro DNS para o ponto de extremidade de dados nessa região. Por exemplo, se você criar uma réplica de myregistry no local northeurope, adicione um registro para myregistry.northeurope.data.azurecr.io.

Os FQDNs e endereços IP privados necessários para criar registros DNS estão associados à interface de rede do ponto de extremidade privado. Você pode obter essas informações usando o portal do Azure ou a CLI do Azure.

• No portal, navegue até o ponto de extremidade privado e selecione Configuração de DNS.
• Usando a CLI do Azure, execute o comando az network nic show . Para obter comandos de exemplo, consulte Obter configuração de IP de ponto de extremidade, anteriormente neste artigo.

Depois de criar registros DNS, certifique-se de que os FQDNs do registro resolvam corretamente para seus respetivos endereços IP privados.

Clean up resources (Limpar recursos)

Para limpar seus recursos no portal, navegue até seu grupo de recursos. Quando o grupo de recursos for carregado, clique em Excluir grupo de recursos para remover o grupo de recursos e os recursos armazenados lá.

Se você criou todos os recursos do Azure no mesmo grupo de recursos e não precisa mais deles, você pode, opcionalmente, excluir os recursos usando um único comando az group delete :

az group delete --name $RESOURCE_GROUP

Integração com um registro com link privado habilitado

Para extrair conteúdo de um registro com link privado habilitado, os clientes devem permitir o acesso ao ponto de extremidade REST do registro, bem como a todos os pontos de extremidade de dados regionais. O proxy do cliente ou firewall deve permitir o acesso a

Ponto de extremidade REST: Ponto(s) de extremidade(s) de dados: {REGISTRY_NAME}.azurecr.io{REGISTRY_NAME}.{REGISTRY_LOCATION}.data.azurecr.io

Para um registro replicado geograficamente, o cliente precisa configurar o acesso ao ponto de extremidade de dados para cada réplica regional.

Você precisa atualizar a configuração de roteamento para o proxy do cliente e o firewall do cliente com os pontos de extremidade de dados para lidar com as solicitações pull com êxito. Um proxy de cliente fornecerá controle de tráfego central para as solicitações de saída. Para lidar com o tráfego local, um proxy de cliente não é necessário, você pode adicionar na noProxy seção para ignorar o proxy. Saiba mais sobre o documento de proxy HTTP para integrar com o AKS.

As solicitações ao servidor de token por conexão de ponto de extremidade privado não exigem a configuração do ponto de extremidade de dados.

Próximos passos

• Para saber mais sobre o Link Privado, consulte a documentação do Link Privado do Azure.

• Para verificar as configurações de DNS na rede virtual que encaminham para um ponto de extremidade privado, execute o comando az acr check-health com o --vnet parâmetro. Para obter mais informações, consulte Verificar a integridade de um registro de contêiner do Azure.

• Se você precisar configurar regras de acesso ao Registro por trás de um firewall cliente, consulte Configurar regras para acessar um registro de contêiner do Azure atrás de um firewall.

• Solucione problemas de conectividade do Ponto de Extremidade Privado do Azure.

• Se você precisar implantar Instâncias de Contêiner do Azure que podem extrair imagens de um ACR por meio de um ponto de extremidade privado, consulte Implantar em Instâncias de Contêiner do Azure do Registro de Contêiner do Azure usando uma identidade gerenciada.