Compreender o acesso a um registo ligado

  • Artigo

Para aceder e gerir um registo ligado, atualmente só é suportada a autenticação baseada em tokens do ACR. Conforme mostrado na imagem seguinte, são utilizados dois tipos diferentes de tokens por cada registo ligado:

  • Tokens de cliente – um ou mais tokens que os clientes no local utilizam para autenticar com um registo ligado e emitir ou extrair imagens e artefactos de ou para o mesmo.
  • Token de sincronização – um token utilizado por cada registo ligado para aceder ao respetivo conteúdo principal e sincronizar.

Verview de autenticação do registo ligado

Importante

Armazene palavras-passe de token para cada registo ligado numa localização segura. Depois de serem criadas, não é possível obter palavras-passe de token. Pode regenerar palavras-passe de token em qualquer altura.

Tokens de cliente

Para gerir o acesso de cliente a um registo ligado, crie tokens no âmbito de ações num ou mais repositórios. Depois de criar um token, configure o registo ligado para aceitar o token com o comando az acr connected-registry update . Em seguida, um cliente pode utilizar as credenciais do token para aceder a um ponto final de registo ligado , por exemplo, para utilizar comandos da CLI do Docker para solicitar ou enviar imagens para o registo ligado.

As suas opções para configurar ações de tokens de cliente dependem se o registo ligado permite operações push e pull ou funções como um espelho só de solicitação.

  • Um registo ligado no modo ReadWrite predefinido permite operações pull e push, para que possa criar um token que permita ações para ler e escrever conteúdo do repositório nesse registo.
  • Para um registo ligado no modo ReadOnly, os tokens de cliente só podem permitir ações para ler conteúdo do repositório.

Gerir tokens de cliente

Atualize os tokens de cliente, palavras-passe ou mapas de âmbito conforme necessário com os comandos az acr token e az acr scope-map . As atualizações de tokens de cliente são propagadas automaticamente para os registos ligados que aceitam o token.

Token de sincronização

Cada registo ligado utiliza um token de sincronização para autenticar com o respetivo elemento principal imediato, que pode ser outro registo ligado ou o registo na cloud. O registo ligado utiliza automaticamente este token ao sincronizar conteúdo com o elemento principal ou executar outras atualizações.

  • O token de sincronização e as palavras-passe são gerados automaticamente quando cria o recurso de registo ligado. Execute o comando az acr connected-registry install renew-credentials para regenerar as palavras-passe.
  • Inclua credenciais de token de sincronização na configuração utilizada para implementar o registo ligado no local.
  • Por predefinição, é concedida permissão ao token de sincronização para sincronizar repositórios selecionados com o respetivo principal. Tem de fornecer um token de sincronização existente ou um ou mais repositórios para sincronizar quando criar o recurso de registo ligado.
  • Também tem permissões para ler e escrever mensagens de sincronização num gateway utilizado para comunicar com o principal do registo ligado. Estas mensagens controlam a agenda de sincronização e gerem outras atualizações entre o registo ligado e o respetivo principal.

Gerir token de sincronização

Atualize os tokens de sincronização, palavras-passe ou mapas de âmbito conforme necessário com os comandos az acr token e az acr scope-map . As atualizações de tokens de sincronização são propagadas automaticamente para o registo ligado. Siga as práticas padrão de rotação de palavras-passe ao atualizar o token de sincronização.

Nota

O token de sincronização não pode ser eliminado até que o registo ligado associado ao token seja eliminado. Pode desativar um registo ligado ao definir o estado do token de sincronização como disabled.

Pontos finais do registo

As credenciais de token para registos ligados estão no âmbito para aceder a pontos finais de registo específicos:

  • Um token de cliente acede ao ponto final do registo ligado. O ponto final do registo ligado é o URI do servidor de início de sessão, que é normalmente o endereço IP do servidor ou dispositivo que o aloja.

  • Um token de sincronização acede ao ponto final do registo principal, que é outro ponto final de registo ligado ou o próprio registo na cloud. Quando está no âmbito para aceder ao registo na cloud, o token de sincronização tem de chegar a dois pontos finais do registo:

    • O nome do servidor de início de sessão completamente qualificado, por exemplo, contoso.azurecr.io. Este ponto final é utilizado para autenticação.
    • Um ponto final de dados regional completamente qualificado para o registo na cloud, por exemplo, contoso.westus2.data.azurecr.io. Este ponto final é utilizado para trocar mensagens com o registo ligado para fins de sincronização.

Passos seguintes

Continue para o seguinte artigo para saber mais sobre cenários específicos em que o registo ligado pode ser utilizado.

Descrição geral: Registo ligado e IoT Edge