Обеспечение общей доступности содержимого реестра контейнеров

  • Статья

Настройка реестра контейнеров Azure для анонимного (без проверки подлинности) доступа на извлечение — это необязательная функция, которая позволяет любому пользователю, имеющему доступ к Интернету, извлечь любое содержимое из реестра.

Анонимный доступ на извлечение — это предварительная версия функции, доступная на уровнях служб "Стандартный" и "Премиум". Чтобы настроить анонимный доступ на извлечение, обновите реестр с помощью Azure CLI (версии 2.21.0 или более поздней). Чтобы выполнить установку или обновление, см. сведения в статье Установка Azure CLI.

Об анонимном доступе на извлечение

По умолчанию доступ на извлечение или отправку содержимого из реестра контейнеров Azure доступен только для пользователей, прошедших проверку подлинности. Включение анонимного (без проверки подлинности) доступа на извлечение делает все содержимое реестра общедоступным для операций чтения (извлечения). Анонимный доступ на извлечение можно использовать в сценариях, не требующих проверки подлинности пользователей, например для распространения общедоступных образов контейнеров.

  • Включите анонимный доступ на извлечение, обновив свойства существующего реестра.
  • После включения анонимного доступа на извлечение вы можете отключить его в любое время.
  • Для клиентов, не прошедших проверку подлинности, доступны только операции в плоскости данных.
  • Реестр может задавать высокую частоту запросов без проверки подлинности.
  • Если ранее вы проходили проверку подлинности для доступа к реестру, очистите учетные данные перед анонимной операцией извлечения.

Предупреждение

Анонимный доступ сейчас применяется ко всем репозиториям в реестре. Если вы управляете доступом к репозиториям с помощью токенов с разрешениями уровня репозитория, все пользователи могут извлекать данные из этих репозиториев в реестре, для которого включено анонимное извлечение. Мы рекомендуем удалять маркеры, если доступ с анонимным извлечением включен.

Настройка анонимного доступа на извлечение

Пользователи могут включать, отключать и запрашивать состояние анонимного доступ на вытягивание с помощью Azure CLI. В следующих примерах показано, как включить, отключить и запросить состояние анонимного доступ на вытягивание.

Включение анонимного доступа на извлечение

Обновите реестр с помощью команды az acr update и передайте параметр --anonymous-pull-enabled. По умолчанию анонимное извлечение в реестре отключено.

az acr update --name myregistry --anonymous-pull-enabled

Внимание

Если ранее вы проходили проверку подлинности для доступа к реестру с учетными данными Docker, выполните команду docker logout, чтобы очистить существующие учетные данные перед анонимной операцией извлечения. В противном случае может появиться сообщение об ошибке, похожее на "доступ на извлечение запрещен". Не забудьте всегда указывать полное имя реестра (все строчные регистры) при использовании docker login и добавлении изображений для отправки в реестр. В приведенных примерах полное имя имеется myregistry.azurecr.io.

Если вы ранее прошли проверку подлинности в реестре с учетными данными Docker, выполните следующую команду, чтобы очистить существующие учетные данные или любую предыдущую проверку подлинности.

   docker logout myregistry.azurecr.io

Это поможет вам попытаться выполнить анонимную операцию извлечения. При возникновении проблем может появиться сообщение об ошибке, аналогичное "доступ на вытягивание отклонено".

Отключение анонимного доступа на извлечение

Отключите анонимный доступ на извлечение, задав для параметра --anonymous-pull-enabled значение false.

az acr update --name myregistry --anonymous-pull-enabled false

Запрос состояния анонимного доступ на вытягивание

Пользователи могут запрашивать состояние "anonymous-pull" с помощью команды az acr show с параметром --query. Приведем пример:

az acr show -n <registry_name> --query anonymousPullEnabled

Команда возвращает логическое значение, указывающее, включена ли "Анонимный запрос" (true) или отключена (false). Это упрощает процесс проверки состояния функций в ACR.

Следующие шаги