Aracılığıyla paylaş


Güvenilen hizmetlerin ağ ile kısıtlanmış bir kapsayıcı kayıt defterine güvenli bir şekilde erişmesine izin verme

Azure Container Registry, belirli güvenilen Azure hizmetlerinin ağ erişim kurallarıyla yapılandırılmış bir kayıt defterine erişmesine izin verebilir. Güvenilen hizmetlere izin verildiğinde, güvenilir bir hizmet örneği kayıt defterinin ağ kurallarını güvenli bir şekilde atlayabilir ve çekme veya gönderme görüntüleri gibi işlemler gerçekleştirebilir. Bu makalede, ağ ile kısıtlanmış bir Azure kapsayıcı kayıt defteriyle güvenilen hizmetlerin nasıl etkinleştirileceği ve kullanılacağı açıklanmaktadır.

Bu makaledeki komut örneklerini çalıştırmak için Azure Cloud Shell'i veya Azure CLI'nın yerel yüklemesini kullanın. Yerel olarak kullanmak isterseniz, sürüm 2.18 veya üzeri gereklidir. Sürümü bulmak için az --version komutunu çalıştırın. Yüklemeniz veya yükseltmeniz gerekirse, bkz. Azure CLI yükleme.

Sınırlamalar

  • Güvenilen hizmetlere sahip bazı kayıt defteri erişim senaryoları, Azure kaynakları için yönetilen kimlik gerektirir. Kullanıcı tarafından atanan yönetilen kimliğin desteklendiğinin belirtilmesi dışında, yalnızca sistem tarafından atanan bir kimlik kullanılabilir.
  • Güvenilen hizmetlere izin vermek, hizmet uç noktasıyla yapılandırılmış bir kapsayıcı kayıt defteri için geçerli değildir. Bu özellik yalnızca özel uç noktayla kısıtlanmış veya genel IP erişim kuralları uygulanmış kayıt defterlerini etkiler.

Güvenilen hizmetler hakkında

Azure Container Registry'de, bir kayıt defterine erişimi kısıtlayan birden çok ağ yapılandırmasını destekleyen katmanlı bir güvenlik modeli vardır, örneğin:

Bir sanal ağda dağıtıldığında veya güvenlik duvarı kurallarıyla yapılandırıldığında, kayıt defteri söz konusu kaynakların dışındaki kullanıcılara veya hizmetlere erişimi reddeder.

Birçok çok kiracılı Azure hizmeti, bu kayıt defteri ağ ayarlarına eklenmeyen ağlardan çalışır ve kayıt defterine görüntü çekme veya gönderme gibi işlemler gerçekleştirmelerini engeller. Bir kayıt defteri sahibi, belirli hizmet örneklerini "güvenilir" olarak belirleyerek, kayıt defteri işlemlerini gerçekleştirmek için belirli Azure kaynaklarının kayıt defterinin ağ ayarlarını güvenli bir şekilde atlamasına izin verebilir.

Güvenilen hizmetler

Kayıt defterinin güvenilen hizmetlere izin ver ayarı etkinse (varsayılan) aşağıdaki hizmetlerin örnekleri ağ ile kısıtlanmış bir kapsayıcı kayıt defterine erişebilir. Zaman içinde daha fazla hizmet eklenecektir.

Belirtildiğinde, güvenilen hizmet tarafından erişim için bir hizmet örneğinde yönetilen kimliğin ek yapılandırılması, RBAC rolü ataması ve kayıt defteriyle kimlik doğrulaması gerekir. Örneğin, bu makalenin devamında yer alan Güvenilen hizmetler iş akışı bölümüne bakın.

Güvenilen hizmet Desteklenen kullanım senaryoları RBAC rolüyle yönetilen kimliği yapılandırma
Azure Container Instances Yönetilen kimlik kullanarak Azure Container Registry'den Azure Container Instances'a dağıtma Evet, sistem tarafından atanan veya kullanıcı tarafından atanan kimlik
Bulut için Microsoft Defender Kapsayıcı kayıt defterleri için Microsoft Defender tarafından güvenlik açığı taraması Hayır
ACR Görevleri ACR Görevinden üst kayıt defterine veya farklı bir kayıt defterine erişme Yes
Machine Learning Özel docker kapsayıcı görüntüsü kullanarak Machine Learning çalışma alanında model dağıtma veya eğitma Yes
Azure Container Registry Ağ ile kısıtlanmış bir Azure kapsayıcı kayıt defterine veya bu kayıt defterinden görüntü içeri aktarma Hayır

Not

Şu anda, güvenilen hizmetlere izin ver ayarının etkinleştirilmesi App Service için geçerli değildir.

Güvenilen hizmetlere izin ver - CLI

Varsayılan olarak, güvenilen hizmetlere izin ver ayarı yeni bir Azure kapsayıcı kayıt defterinde etkinleştirilir. az acr update komutunu çalıştırarak ayarı devre dışı bırakın veya etkinleştirin.

Devre dışı bırakmak için:

az acr update --name myregistry --allow-trusted-services false

Ayarı mevcut bir kayıt defterinde veya zaten devre dışı bırakılmış bir kayıt defterinde etkinleştirmek için:

az acr update --name myregistry --allow-trusted-services true

Güvenilen hizmetlere izin ver - portal

Varsayılan olarak, güvenilen hizmetlere izin ver ayarı yeni bir Azure kapsayıcı kayıt defterinde etkinleştirilir.

Portalda ayarı devre dışı bırakmak veya yeniden etkinleştirmek için:

  1. Portalda kapsayıcı kayıt defterinize gidin.
  2. Ayarlar'ın altında Ağ'ı seçin.
  3. Genel ağ erişimine izin ver bölümünde Seçili ağlar veya Devre Dışı'yı seçin.
  4. Aşağıdakilerden birini yapın:
    • Güvenilen hizmetlerin erişimini devre dışı bırakmak için Güvenlik duvarı özel durumu altında Güvenilen Microsoft hizmetleri bu kapsayıcı kayıt defterine erişmesine izin ver seçeneğinin işaretini kaldırın.
    • Güvenilen hizmetlere izin vermek için Güvenlik duvarı özel durumu altında Güvenilen Microsoft hizmetleri bu kapsayıcı kayıt defterine erişmesine izin ver'i işaretleyin.
  5. Kaydet'i seçin.

Güvenilen hizmetler iş akışı

Aşağıda, güvenilir bir hizmet örneğinin ağ ile kısıtlanmış bir kapsayıcı kayıt defterine erişmesini sağlayan tipik bir iş akışı verilmiştır. Bu iş akışı, bir hizmet örneğinin yönetilen kimliği kayıt defterinin ağ kurallarını atlamak için kullanıldığında gereklidir.

  1. Azure Container Registry için güvenilen hizmetlerden birinin örneğinde yönetilen kimliği etkinleştirin.
  2. Kimliği kayıt defterinize bir Azure rolü atayın. Örneğin, kapsayıcı görüntülerini çekmek için ACRPull rolünü atayın.
  3. Ağ ile kısıtlanmış kayıt defterinde, ayarı güvenilen hizmetler tarafından erişime izin verecek şekilde yapılandırın.
  4. Ağ kısıtlamalı kayıt defteriyle kimlik doğrulaması yapmak için kimliğin kimlik bilgilerini kullanın.
  5. Kayıt defterinden görüntüleri çekin veya rol tarafından izin verilen diğer işlemleri gerçekleştirin.

Örnek: ACR Görevleri

Aşağıdaki örnekte, ACR Görevlerinin güvenilir bir hizmet olarak kullanılması gösterilmektedir. Görev ayrıntıları için bkz . Azure tarafından yönetilen kimlik kullanarak ACR görevinde kayıt defterleri arası kimlik doğrulaması.

  1. Azure kapsayıcı kayıt defteri oluşturma veya güncelleştirme. ACR görevi oluşturun .
    • Görevi oluştururken sistem tarafından atanan yönetilen kimliği etkinleştirin.
    • Görevin varsayılan kimlik doğrulama modunu (--auth-mode None) devre dışı bırakın.
  2. Görev kimliğine kayıt defterine erişmek için bir Azure rolü atayın. Örneğin, görüntüleri çekme ve gönderme izinlerine sahip olan AcrPush rolünü atayın.
  3. Göreve kayıt defteri için yönetilen kimlik kimlik bilgilerini ekleyin.
  4. Görevin ağ kısıtlamalarını atladığını onaylamak için kayıt defterinde genel erişimi devre dışı bırakın.
  5. Görevi çalıştırın. Kayıt defteri ve görev düzgün yapılandırılırsa, kayıt defteri erişime izin verdiğinden görev başarıyla çalıştırılır.

Güvenilen hizmetler tarafından erişimi devre dışı bırakmayı test etmek için:

  1. Güvenilen hizmetler tarafından erişime izin verme ayarını devre dışı bırakın.
  2. Görevi yeniden çalıştırın. Bu durumda, kayıt defteri artık görev tarafından erişime izin vermediğinden görev çalıştırması başarısız olur.

Sonraki adımlar