Поделиться через


Теги служб для Реестр контейнеров Azure

Теги служб помогают задать правила для разрешения или запрета трафика в определенную службу Azure. В Реестр контейнеров Azure тег службы представляет группу префиксов IP-адресов, которые можно использовать для доступа к службе глобально или в каждом регионе Azure. Реестр контейнеров Azure создает сетевой трафик, исходящий из тега службы для таких функций, как импорт изображений, веб-перехватчики и Реестр контейнеров Azure задачи.

Корпорация Майкрософт управляет префиксами адресов, охватывающими тег службы. Корпорация Майкрософт автоматически обновляет тег службы по мере изменения адресов, чтобы свести к минимуму сложность частых обновлений правил безопасности сети.

При настройке брандмауэра для реестра Реестр контейнеров Azure обслуживает запросы по IP-адресам для тегов службы. Для сценариев, упоминание в правилах доступа к брандмауэру, можно настроить правило исходящего трафика брандмауэра, чтобы разрешить доступ к Реестр контейнеров Azure IP-адресам для тегов служб.

Импорт изображений

Реестр контейнеров Azure отправляет запросы во внешнюю службу реестра через IP-адреса тега службы для скачивания изображений. Если внешняя служба реестра выполняется за брандмауэром, требуется правило для входящего трафика, чтобы разрешить IP-адреса для тегов служб. Эти IP-адреса попадают под AzureContainerRegistry тег службы, который включает необходимые диапазоны IP-адресов для импорта образов из общедоступных или реестров Azure.

Azure гарантирует, что эти диапазоны IP-адресов обновляются автоматически. Создание этого протокола безопасности имеет решающее значение для обеспечения целостности реестра и обеспечения его доступности.

Чтобы настроить правила безопасности сети и разрешить трафик из тега AzureContainerRegistry службы для импорта образа в Реестр контейнеров Azure, см. сведения о конечных точках реестра. Подробные инструкции и инструкции по использованию тега службы во время импорта образа см. в разделе "Импорт образов контейнеров" в реестр контейнеров.

Веб-перехватчики

В Реестр контейнеров Azure теги служб используются для управления сетевым трафиком для таких функций, как веб-перехватчики, чтобы гарантировать, что только доверенные источники могут активировать эти события. При настройке веб-перехватчика в Реестр контейнеров Azure он может реагировать на события на уровне реестра или область вниз до определенного тега репозитория. Для гео-реплика реестров можно настроить каждый веб-перехватчик для реагирования на события в определенном региональном реплика.

Конечная точка веб-перехватчика должна быть общедоступна из реестра. Вы можете настроить для веб-перехватчика реестра проверку подлинности запросов в защищенной конечной точке.

Реестр контейнеров Azure отправляет запрос в настроенную конечную точку веб-перехватчика через IP-адреса для тегов служб. Если конечная точка веб-перехватчика выполняется за брандмауэром, для разрешения этих IP-адресов требуется правило входящего трафика. Чтобы защитить доступ к конечной точке веб-перехватчика, необходимо также настроить правильную проверку подлинности для проверки запроса.

Подробные инструкции по созданию установки веб-перехватчика см. в документации по Реестр контейнеров Azure.

Задачи службы "Реестр контейнеров Azure"

При использовании Реестр контейнеров Azure задач, таких как при создании образов контейнеров или автоматизации рабочих процессов, тег службы представляет группу префиксов IP-адресов, которые Реестр контейнеров Azure используются.

Во время выполнения задач Реестр контейнеров Azure отправляет запросы внешним ресурсам через IP-адреса для тегов служб. Если внешний ресурс выполняется за брандмауэром, он требует входящего правила, чтобы разрешить эти IP-адреса. Применение этих правил входящего трафика — это распространенная практика, помогающая обеспечить безопасность и надлежащее управление доступом в облачных средах.

Дополнительные сведения о задачах Реестр контейнеров Azure см. в статье Автоматизация сборок образов контейнеров и обслуживания с помощью Реестр контейнеров Azure задач. Сведения об использовании тега службы для настройки правил доступа брандмауэра для задач Реестр контейнеров Azure см. в статье "Настройка правил для доступа к реестру контейнеров Azure за брандмауэром".

Рекомендации

  • Настройте и настройте правила безопасности сети, чтобы разрешить трафик из AzureContainerRegistry тега службы для таких функций, как импорт изображений, веб-перехватчики и Реестр контейнеров Azure задачи, такие как номера портов и протоколы.

  • Настройте правила брандмауэра, чтобы разрешить трафик исключительно из диапазонов IP-адресов, связанных с тегами служб Реестр контейнеров Azure для каждой функции.

  • Обнаружение и предотвращение несанкционированного трафика, который не поступает из Реестр контейнеров Azure IP-адресов для тегов служб.

  • Отслеживайте непрерывный сетевой трафик и периодически просматривайте конфигурации безопасности, чтобы устранить непредвиденный трафик для каждой функции Реестр контейнеров Azure с помощью Azure Monitor или Наблюдатель за сетями.