Tags de serviço para o Registro de Contêiner do Azure
As tags de serviço ajudam a definir regras para permitir ou negar tráfego para um serviço específico do Azure. No Registro de Contêiner do Azure, uma marca de serviço representa um grupo de prefixos de endereço IP que podem ser usados para acessar o serviço globalmente ou por região do Azure. O Registro de Contêiner do Azure gera tráfego de rede originado de uma marca de serviço para recursos como importação de imagens, webhooks e tarefas do Registro de Contêiner do Azure.
A Microsoft gerencia os prefixos de endereço que uma marca de serviço engloba. A Microsoft atualiza automaticamente uma etiqueta de serviço à medida que os endereços mudam, para minimizar a complexidade das atualizações frequentes das regras de segurança de rede.
Quando você configura um firewall para um Registro, o Registro de Contêiner do Azure atende às solicitações nos endereços IP de suas tags de serviço. Para os cenários mencionados nas regras de acesso do firewall, você pode configurar a regra de saída do firewall para permitir o acesso aos endereços IP do Registro de Contêiner do Azure para marcas de serviço.
Importação de imagens
O Registro de Contêiner do Azure envia solicitações para o serviço de registro externo por meio de endereços IP de marca de serviço para baixar imagens. Se o serviço de registro externo for executado atrás de um firewall, ele exigirá uma regra de entrada para permitir endereços IP para tags de serviço. Esses IPs se enquadram na AzureContainerRegistry marca de serviço, que inclui os intervalos de IP necessários para importar imagens de registros públicos ou do Azure.
O Azure garante que esses intervalos de IP sejam atualizados automaticamente. O estabelecimento deste protocolo de segurança é crucial para manter a integridade do registo e garantir a sua disponibilidade.
Para configurar regras de segurança de rede e permitir o AzureContainerRegistry tráfego da marca de serviço para importação de imagens no Registro de Contêiner do Azure, consulte Sobre pontos de extremidade do Registro. Para obter etapas detalhadas e orientações sobre como usar a etiqueta de serviço durante a importação de imagens, consulte Importar imagens de contêiner para um registro de contêiner.
Webhooks
No Registro de Contêiner do Azure, você usa marcas de serviço para gerenciar o tráfego de rede para recursos como webhooks para garantir que apenas fontes confiáveis possam disparar esses eventos. Quando você configura um webhook no Registro de Contêiner do Azure, ele pode responder a eventos no nível do Registro ou ter escopo para uma marca de repositório específica. Para registros replicados geograficamente, você configura cada webhook para responder a eventos em uma réplica regional específica.
O ponto final de um webhook tem de estar acessível publicamente a partir do registo. Pode configurar pedidos de webhook de registo para autenticar num ponto final seguro.
O Registro de Contêiner do Azure envia a solicitação para o ponto de extremidade webhook configurado por meio dos endereços IP das tags de serviço. Se o ponto de extremidade do webhook for executado atrás de um firewall, ele exigirá uma regra de entrada para permitir esses endereços IP. Para ajudar a proteger o acesso ao ponto de extremidade do webhook, você também deve configurar a autenticação adequada para validar a solicitação.
Para obter etapas detalhadas sobre como criar uma configuração de webhook, consulte a documentação do Registro de Contêiner do Azure.
Tarefas do Azure Container Registry
Quando você estiver usando tarefas do Registro de Contêiner do Azure, como quando estiver criando imagens de contêiner ou automatizando fluxos de trabalho, a marca de serviço representa o grupo de prefixos de endereço IP que o Registro de Contêiner do Azure usa.
Durante a execução de tarefas, o Registro de Contêiner do Azure envia solicitações para recursos externos por meio dos endereços IP para marcas de serviço. Se um recurso externo for executado atrás de um firewall, ele exigirá uma regra de entrada para permitir esses endereços IP. A aplicação dessas regras de entrada é uma prática comum para ajudar a garantir a segurança e o gerenciamento adequado de acesso em ambientes de nuvem.
Para saber mais sobre as tarefas do Registro de Contêiner do Azure, consulte Automatizar compilações e manutenção de imagens de contêiner com tarefas do Registro de Contêiner do Azure. Para saber como usar uma marca de serviço para configurar regras de acesso de firewall para tarefas do Registro de Contêiner do Azure, consulte Configurar regras para acessar um Registro de contêiner do Azure atrás de um firewall.
Melhores práticas
Configure e personalize regras de segurança de rede para permitir o
AzureContainerRegistrytráfego da marca de serviço para recursos como importação de imagens, webhooks e tarefas do Registro de Contêiner do Azure, como números de porta e protocolos.Configure regras de firewall para permitir o tráfego somente de intervalos de IP associados às tags de serviço do Registro de Contêiner do Azure para cada recurso.
Detete e impeça o tráfego não autorizado que não se origina dos endereços IP do Registro de Contêiner do Azure para marcas de serviço.
Monitore o tráfego de rede continuamente e revise as configurações de segurança periodicamente para lidar com o tráfego inesperado para cada recurso do Registro de Contêiner do Azure usando o Azure Monitor ou o Inspetor de Rede.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários