Compreender o acesso a um registo ligado
Para aceder e gerir um registo ligado, atualmente só é suportada a autenticação baseada em tokens do ACR. Conforme mostrado na imagem seguinte, são utilizados dois tipos diferentes de tokens por cada registo ligado:
- Tokens de cliente – um ou mais tokens que os clientes no local utilizam para autenticar com um registo ligado e emitir ou extrair imagens e artefactos de ou para o mesmo.
- Token de sincronização – um token utilizado por cada registo ligado para aceder ao respetivo conteúdo principal e sincronizar.
Importante
Armazene palavras-passe de token para cada registo ligado numa localização segura. Depois de serem criadas, não é possível obter palavras-passe de token. Pode regenerar palavras-passe de token em qualquer altura.
Tokens de cliente
Para gerir o acesso de cliente a um registo ligado, crie tokens no âmbito de ações num ou mais repositórios. Depois de criar um token, configure o registo ligado para aceitar o token com o comando az acr connected-registry update . Em seguida, um cliente pode utilizar as credenciais do token para aceder a um ponto final de registo ligado , por exemplo, para utilizar comandos da CLI do Docker para solicitar ou enviar imagens para o registo ligado.
As suas opções para configurar ações de tokens de cliente dependem se o registo ligado permite operações push e pull ou funções como um espelho só de solicitação.
- Um registo ligado no modo ReadWrite predefinido permite operações pull e push, para que possa criar um token que permita ações para ler e escrever conteúdo do repositório nesse registo.
- Para um registo ligado no modo ReadOnly, os tokens de cliente só podem permitir ações para ler conteúdo do repositório.
Gerir tokens de cliente
Atualize os tokens de cliente, palavras-passe ou mapas de âmbito conforme necessário com os comandos az acr token e az acr scope-map . As atualizações de tokens de cliente são propagadas automaticamente para os registos ligados que aceitam o token.
Token de sincronização
Cada registo ligado utiliza um token de sincronização para autenticar com o respetivo elemento principal imediato, que pode ser outro registo ligado ou o registo na cloud. O registo ligado utiliza automaticamente este token ao sincronizar conteúdo com o elemento principal ou executar outras atualizações.
- O token de sincronização e as palavras-passe são gerados automaticamente quando cria o recurso de registo ligado. Execute o comando az acr connected-registry install renew-credentials para regenerar as palavras-passe.
- Inclua credenciais de token de sincronização na configuração utilizada para implementar o registo ligado no local.
- Por predefinição, é concedida permissão ao token de sincronização para sincronizar repositórios selecionados com o respetivo principal. Tem de fornecer um token de sincronização existente ou um ou mais repositórios para sincronizar quando criar o recurso de registo ligado.
- Também tem permissões para ler e escrever mensagens de sincronização num gateway utilizado para comunicar com o principal do registo ligado. Estas mensagens controlam a agenda de sincronização e gerem outras atualizações entre o registo ligado e o respetivo principal.
Gerir token de sincronização
Atualize os tokens de sincronização, palavras-passe ou mapas de âmbito conforme necessário com os comandos az acr token e az acr scope-map . As atualizações de tokens de sincronização são propagadas automaticamente para o registo ligado. Siga as práticas padrão de rotação de palavras-passe ao atualizar o token de sincronização.
Nota
O token de sincronização não pode ser eliminado até que o registo ligado associado ao token seja eliminado. Pode desativar um registo ligado ao definir o estado do token de sincronização como disabled
.
Pontos finais do registo
As credenciais de token para registos ligados estão no âmbito para aceder a pontos finais de registo específicos:
Um token de cliente acede ao ponto final do registo ligado. O ponto final do registo ligado é o URI do servidor de início de sessão, que é normalmente o endereço IP do servidor ou dispositivo que o aloja.
Um token de sincronização acede ao ponto final do registo principal, que é outro ponto final de registo ligado ou o próprio registo na cloud. Quando está no âmbito para aceder ao registo na cloud, o token de sincronização tem de chegar a dois pontos finais do registo:
- O nome do servidor de início de sessão completamente qualificado, por exemplo,
contoso.azurecr.io
. Este ponto final é utilizado para autenticação. - Um ponto final de dados regional completamente qualificado para o registo na cloud, por exemplo,
contoso.westus2.data.azurecr.io
. Este ponto final é utilizado para trocar mensagens com o registo ligado para fins de sincronização.
- O nome do servidor de início de sessão completamente qualificado, por exemplo,
Passos seguintes
Continue para o seguinte artigo para saber mais sobre cenários específicos em que o registo ligado pode ser utilizado.