Dela via

Tjänsttaggar för Azure Container Registry

  • Artikel

Tjänsttaggar hjälper dig att ange regler för att tillåta eller neka trafik till en specifik Azure-tjänst. En tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst. Tjänsttaggar i Azure Container Registry (ACR) representerar en grupp IP-adressprefix som kan användas för att komma åt tjänsten antingen globalt eller per Azure-region. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras, vilket minimerar komplexiteten i frekventa uppdateringar av nätverkssäkerhetsregler.

Azure Container Registry (ACR) genererar nätverkstrafik från ACR-tjänsttaggen för funktioner som avbildningsimport, Webhook och ACR Tasks.

När du konfigurerar en brandvägg för ett register hanterar ACR begäranden på sina IP-adresser för tjänsttaggen. För de scenarier som nämns i brandväggens åtkomstregler kan kunder konfigurera brandväggens utgående regel för att tillåta åtkomst till IP-adresser för ACR-tjänsttagg.

Importera avbildningar

Azure Container Registry (ACR) initierar begäranden till externa registertjänster via IP-adresser för tjänsttaggar för nedladdning av avbildningar. Om den externa registertjänsten fungerar bakom en brandvägg krävs en inkommande regel för att acceptera IP-adresser för ACR-tjänsttaggen. Dessa IP-adresser omfattas av ACR-tjänsttaggen, som innehåller nödvändiga IP-intervall för import av avbildningar från offentliga register eller Azure-register. Azure ser till att dessa intervall uppdateras automatiskt. Att upprätta det här säkerhetsprotokollet är avgörande för att upprätthålla registrets integritet och säkerställa dess tillgänglighet.

ACR skickar begäranden till den externa registertjänsten via IP-adresser för tjänsttaggen för att ladda ned avbildningarna. Om den externa registertjänsten körs bakom brandväggen måste den ha en inkommande regel för att tillåta IP-adresser för ACR-tjänsttagg. Dessa IP-adresser ingår i tjänsttaggen AzureContainerRegistry, som omfattar IP-intervall som krävs för att importera avbildningar från offentliga register eller Azure-register. Konfigurera en säkerhetsåtgärd för att upprätthålla registrets integritet och tillgänglighet.

Lär dig mer om registerslutpunkter för att konfigurera nätverkssäkerhetsregler och tillåta trafik från ACR-tjänsttaggen för avbildningsimport i ACR.

Detaljerade steg och vägledning om hur du använder tjänsttaggen under avbildningsimporten finns i dokumentationen om Azure Container Registry.

Webhook

Tjänsttaggar i Azure Container Registry (ACR) används för att hantera nätverkstrafik för funktioner som webhooks för att säkerställa att endast betrodda källor kan utlösa dessa händelser. När du konfigurerar en webhook i ACR kan den svara på händelser på registernivå eller begränsas till en specifik lagringsplatstagg. För geo-replikerade register konfigurerar du varje webhook för att svara på händelser i en specifik regional replik.

Slutpunkten för en webhook måste vara offentligt tillgänglig från registret. Du kan konfigurera webhooksbegäranden för registret för att autentisera till en säker slutpunkt. ACR skickar begäran till den konfigurerade webhooksslutpunkten via IP-adresser för tjänsttaggen. Om webhook-slutpunkten körs bakom brandväggen måste den ha inkommande regel för att tillåta IP-adresser för ACR-tjänsttagg. För att skydda webhook-slutpunktsåtkomsten måste kunden dessutom konfigurera rätt autentisering för att verifiera begäran.

Detaljerade steg för att skapa en webhook-konfiguration finns i dokumentationen om Azure Container Registry.

ACR-uppgifter

ACR-uppgifter, till exempel när du skapar containeravbildningar eller automatiserar arbetsflöden, representerar tjänsttaggen den grupp med IP-adressprefix som ACR använder. Under körningen av uppgifter skickar Uppgifter begäranden till externa resurser via IP-adresser för tjänsttaggar. Om den externa resursen körs bakom brandväggen måste den ha en regel för inkommande trafik för att tillåta IP-adresser för ACR-tjänsttagg. Att tillämpa dessa regler för inkommande trafik är en vanlig metod för att säkerställa säkerhet och korrekt åtkomsthantering i molnmiljöer.

Läs mer om ACR-uppgifter och hur du använder tjänsttaggen för att konfigurera brandväggsåtkomstregler för ACR-uppgifter.

Bästa praxis

  • Konfigurera och anpassa nätverkssäkerhetsreglerna för att tillåta trafik från tjänsttaggen AzureContainerRegistry för funktioner som bildimport, webhooks och ACR-uppgifter, till exempel portnummer och protokoll.

  • Konfigurera brandväggsregler för att tillåta trafik enbart från IP-intervall som är associerade med ACR-tjänsttaggar för varje funktion.

  • Identifiera och förhindra obehörig trafik som inte kommer från IP-adresser för ACR-tjänsttaggen.

  • Övervaka nätverkstrafiken kontinuerligt och granska säkerhetskonfigurationer regelbundet för att hantera oväntad trafik för varje ACR-funktion med hjälp av Azure Monitor eller Network Watcher.