Dela via


Förstå åtkomsten till ett anslutet register

För att få åtkomst till och hantera ett anslutet register stöds för närvarande endast ACR-tokenbaserad autentisering . Som du ser i följande bild används två olika typer av token av varje anslutet register:

  • Klienttoken – En eller flera token som lokala klienter använder för att autentisera med ett anslutet register och skicka eller hämta avbildningar och artefakter till eller från det.
  • Synkroniseringstoken – en token som används av varje anslutet register för att komma åt dess överordnade och synkronisera innehåll.

Verview för ansluten registerautentisering

Viktigt!

Lagra tokenlösenord för varje anslutet register på en säker plats. När de har skapats kan tokenlösenord inte hämtas. Du kan återskapa tokenlösenord när som helst.

Klienttoken

Om du vill hantera klientåtkomst till ett anslutet register skapar du tokensomfång för åtgärder på en eller flera lagringsplatser. När du har skapat en token konfigurerar du det anslutna registret så att det accepterar token med hjälp av kommandot az acr connected-registry update . En klient kan sedan använda tokenautentiseringsuppgifterna för att komma åt en ansluten registerslutpunkt, till exempel för att använda Docker CLI-kommandon för att hämta eller skicka avbildningar till det anslutna registret.

Alternativen för att konfigurera klienttokenåtgärder beror på om det anslutna registret tillåter både push- och pull-åtgärder eller funktioner som en spegling med endast hämtning.

  • Ett anslutet register i standardläget ReadWrite tillåter både pull- och push-åtgärder, så att du kan skapa en token som tillåter åtgärder för att både läsa och skriva lagringsplatsinnehåll i registret.
  • För ett anslutet register i ReadOnly-läge kan klienttoken endast tillåta åtgärder för att läsa lagringsplatsinnehåll.

Hantera klienttoken

Uppdatera klienttoken, lösenord eller omfångskartor efter behov med hjälp av az acr token och az acr scope-map-kommandon . Uppdateringar av klienttoken sprids automatiskt till de anslutna register som accepterar token.

Synkroniseringstoken

Varje anslutet register använder en synkroniseringstoken för att autentisera med sin närmaste överordnade – vilket kan vara ett annat anslutet register eller molnregistret. Det anslutna registret använder automatiskt den här token när innehåll synkroniseras med det överordnade eller utför andra uppdateringar.

  • Synkroniseringstoken och lösenorden genereras automatiskt när du skapar den anslutna registerresursen. Kör kommandot az acr connected-registry install renew-credentials för att återskapa lösenorden.
  • Inkludera autentiseringsuppgifter för synkroniseringstoken i konfigurationen som används för att distribuera det anslutna registret lokalt.
  • Som standard beviljas synkroniseringstoken behörighet att synkronisera valda lagringsplatser med dess överordnade. Du måste ange en befintlig synkroniseringstoken eller en eller flera lagringsplatser som ska synkroniseras när du skapar den anslutna registerresursen.
  • Den har också behörighet att läsa och skriva synkroniseringsmeddelanden på en gateway som används för att kommunicera med det anslutna registrets överordnade. Dessa meddelanden styr synkroniseringsschemat och hanterar andra uppdateringar mellan det anslutna registret och dess överordnade.

Hantera synkroniseringstoken

Uppdatera synkroniseringstoken, lösenord eller omfångskartor efter behov med hjälp av az acr token och az acr scope-map-kommandon . Uppdateringar av synkroniseringstoken sprids automatiskt till det anslutna registret. Följ standardmetoderna för att rotera lösenord när du uppdaterar synkroniseringstoken.

Kommentar

Det går inte att ta bort synkroniseringstoken förrän det anslutna registret som är associerat med token har tagits bort. Du kan inaktivera ett anslutet register genom att ange status för synkroniseringstoken till disabled.

Registerslutpunkter

Tokenautentiseringsuppgifter för anslutna register är begränsade för åtkomst till specifika registerslutpunkter:

  • En klienttoken kommer åt det anslutna registrets slutpunkt. Den anslutna registerslutpunkten är inloggningsserverns URI, som vanligtvis är IP-adressen för den server eller enhet som är värd för den.

  • En synkroniseringstoken kommer åt slutpunkten för det överordnade registret, som antingen är en annan ansluten registerslutpunkt eller själva molnregistret. När synkroniseringstoken har begränsad åtkomst till molnregistret måste den nå två registerslutpunkter:

    • Det fullständigt kvalificerade inloggningsservernamnet, till exempel contoso.azurecr.io. Den här slutpunkten används för autentisering.
    • En fullständigt kvalificerad regional dataslutpunkt för molnregistret, till exempel contoso.westus2.data.azurecr.io. Den här slutpunkten används för att utbyta meddelanden med det anslutna registret i synkroniseringssyfte.

Nästa steg

Fortsätt till följande artikel om du vill veta mer om specifika scenarier där anslutna register kan användas.