Güvenilen hizmetlerin ağ ile kısıtlanmış bir kapsayıcı kayıt defterine güvenli bir şekilde erişmesine izin verme

Azure Container Registry, belirli güvenilen Azure hizmetlerinin ağ erişim kurallarıyla yapılandırılmış bir kayıt defterine erişmesine izin verebilir. Güvenilen hizmetlere izin verildiğinde, güvenilir bir hizmet örneği kayıt defterinin ağ kurallarını güvenli bir şekilde atlayabilir ve çekme veya gönderme görüntüleri gibi işlemler gerçekleştirebilir. Bu makalede, ağ ile kısıtlanmış azure kapsayıcı kayıt defteriyle güvenilen hizmetleri etkinleştirme ve kullanma açıklanmaktadır.

Bu makaledeki komut örneklerini çalıştırmak için Azure Cloud Shell veya Azure CLI'nın yerel yüklemesini kullanın. Yerel olarak kullanmak isterseniz sürüm 2.18 veya üzeri gereklidir. Sürümü bulmak için az --version komutunu çalıştırın. Yüklemeniz veya yükseltmeniz gerekirse, bkz. Azure CLI yükleme.

Sınırlamalar

• Güvenilen hizmetlere sahip bazı kayıt defteri erişim senaryoları , Azure kaynakları için yönetilen kimlik gerektirir. Kullanıcı tarafından atanan yönetilen kimliğin desteklendiğinin belirtilmesi dışında, yalnızca sistem tarafından atanan bir kimlik kullanılabilir.
• Güvenilen hizmetlere izin vermek, hizmet uç noktasıyla yapılandırılmış bir kapsayıcı kayıt defteri için geçerli değildir. Özellik yalnızca özel uç noktayla kısıtlanmış veya genel IP erişim kuralları uygulanmış kayıt defterlerini etkiler.

Güvenilen hizmetler hakkında

Azure Container Registry, bir kayıt defterine erişimi kısıtlayan birden çok ağ yapılandırmasını destekleyen katmanlı bir güvenlik modeline sahiptir:

• Azure Özel Bağlantı ile özel uç nokta. Yapılandırıldığında, özel IP adresleri kullanılarak bir kayıt defterinin özel uç noktasına yalnızca sanal ağ içindeki kaynaklar erişebilir.
• Kayıt defterinin genel uç noktasına yalnızca belirli genel IP adreslerinden veya adres aralıklarından erişim sağlayan kayıt defteri güvenlik duvarı kuralları. Özel uç noktaları kullanırken güvenlik duvarını genel uç noktaya tüm erişimi engelleyecek şekilde de yapılandırabilirsiniz.

Bir sanal ağda dağıtıldığında veya güvenlik duvarı kurallarıyla yapılandırıldığında, kayıt defteri söz konusu kaynakların dışındaki kullanıcılara veya hizmetlere erişimi engeller.

Birçok çok kiracılı Azure hizmeti, bu kayıt defteri ağ ayarlarına eklenmeyecek ağlardan çalışır ve kayıt defterine görüntü çekme veya gönderme gibi işlemler gerçekleştirmelerini engeller. Bir kayıt defteri sahibi, belirli hizmet örneklerini "güvenilir" olarak belirleyerek, kayıt defteri işlemlerini gerçekleştirmek için seçilen Azure kaynaklarının kayıt defterinin ağ ayarlarını güvenli bir şekilde atlamasına izin verebilir.

Güvenilen hizmetler

Aşağıdaki hizmetlerin örnekleri, kayıt defterinin güvenilen hizmetlere izin ver ayarı etkinse (varsayılan) ağ kısıtlamalı bir kapsayıcı kayıt defterine erişebilir. Zaman içinde daha fazla hizmet eklenecektir.

Belirtildiği durumlarda, güvenilen hizmet tarafından erişim için bir hizmet örneğinde yönetilen kimliğin ek yapılandırması, RBAC rolü ataması ve kayıt defteriyle kimlik doğrulaması gerekir. Örneğin, bu makalenin devamında yer alan Güvenilen hizmetler iş akışına bakın.

Güvenilen hizmet	Desteklenen kullanım senaryoları	Yönetilen kimliği RBAC rolüyle yapılandırma
Azure Container Instances	Yönetilen kimlik kullanarak Azure Container Registry'dan Azure Container Instances dağıtma	Evet, sistem tarafından atanan veya kullanıcı tarafından atanan kimlik
Bulut için Microsoft Defender	Kapsayıcı kayıt defterleri için Microsoft Defender güvenlik açığı taraması	No
ACR Görevleri	ACR Görevinden üst kayıt defterine veya farklı bir kayıt defterine erişme	Yes
Machine Learning	Özel bir Docker kapsayıcı görüntüsü kullanarak Machine Learning çalışma alanında model dağıtma veya eğitma	Yes
Azure Container Registry	Ağ kısıtlamalı Azure kapsayıcı kayıt defterine veya bu kayıt defterinden görüntü içeri aktarma	No

Not

Güvenilir hizmetlere izin ver ayarını etkinleştirmek App Service için geçerli değildir.

Güvenilen hizmetlere izin ver - CLI

Varsayılan olarak, güvenilen hizmetlere izin ver ayarı yeni bir Azure kapsayıcı kayıt defterinde etkinleştirilir. az acr update komutunu çalıştırarak ayarı devre dışı bırakın veya etkinleştirin.

Devre dışı bırakmak için:

az acr update --name myregistry --allow-trusted-services false

Ayarı mevcut bir kayıt defterinde veya zaten devre dışı bırakılmış bir kayıt defterinde etkinleştirmek için:

az acr update --name myregistry --allow-trusted-services true

Güvenilen hizmetlere izin ver - portal

Varsayılan olarak, güvenilen hizmetlere izin ver ayarı yeni bir Azure kapsayıcı kayıt defterinde etkinleştirilir.

Portalda ayarı devre dışı bırakmak veya yeniden etkinleştirmek için:

1. Portalda kapsayıcı kayıt defterinize gidin.
2. Ayarlar'ın altında Ağ'ı seçin.
3. Genel ağ erişimine izin ver bölümünde Seçili ağlar veya Devre dışı'yı seçin.
4. Aşağıdakilerden birini yapın:
   • Güvenilen hizmetlere erişimi devre dışı bırakmak için Güvenlik duvarı özel durumu altında Güvenilen Microsoft hizmetlerinin bu kapsayıcı kayıt defterine erişmesine izin ver'in işaretini kaldırın.
   • Güvenilen hizmetlere izin vermek için Güvenlik duvarı özel durumu altında Güvenilen Microsoft hizmetlerinin bu kapsayıcı kayıt defterine erişmesine izin ver seçeneğini işaretleyin.
5. Kaydet’i seçin.

Güvenilen hizmetler iş akışı

Aşağıda, güvenilir bir hizmet örneğinin ağ ile kısıtlanmış kapsayıcı kayıt defterine erişmesini sağlayan tipik bir iş akışı verilmiştır. Bu iş akışı, bir hizmet örneğinin yönetilen kimliği kayıt defterinin ağ kurallarını atlamak için kullanıldığında gereklidir.

1. Azure Container Registry için güvenilen hizmetlerden birinin örneğinde yönetilen kimliği etkinleştirin.
2. Kimliği kayıt defterinize bir Azure rolü atayın. Örneğin, kapsayıcı görüntülerini çekmek için ACRPull rolünü atayın.
3. Ağ kısıtlamalı kayıt defterinde, ayarı güvenilen hizmetler tarafından erişime izin verecek şekilde yapılandırın.
4. Ağ kısıtlamalı kayıt defteriyle kimlik doğrulaması yapmak için kimliğin kimlik bilgilerini kullanın.
5. Kayıt defterinden görüntüleri çekin veya rol tarafından izin verilen diğer işlemleri gerçekleştirin.

Örnek: ACR Görevleri

Aşağıdaki örnekte, ACR Görevlerinin güvenilir bir hizmet olarak kullanılması gösterilmektedir. Görev ayrıntıları için bkz. Azure tarafından yönetilen kimlik kullanarak ACR görevinde kayıt defterleri arası kimlik doğrulaması .

1. Azure kapsayıcı kayıt defteri oluşturma veya güncelleştirme. ACR görevi oluşturun.
   • Görevi oluştururken sistem tarafından atanan yönetilen kimliği etkinleştirin.
   • Görevin varsayılan kimlik doğrulama modunu (--auth-mode None) devre dışı bırakın.
2. Görev kimliğine kayıt defterine erişmek için bir Azure rolü atayın. Örneğin, görüntüleri çekme ve gönderme izinlerine sahip olan AcrPush rolünü atayın.
3. Göreve kayıt defteri için yönetilen kimlik kimlik bilgilerini ekleyin .
4. Görevin ağ kısıtlamalarını atladığını onaylamak için kayıt defterinde genel erişimi devre dışı bırakın .
5. Görevi çalıştırın. Kayıt defteri ve görev düzgün yapılandırılırsa, kayıt defteri erişime izin verdiğinden görev başarıyla çalıştırılır.

Güvenilen hizmetler tarafından erişimi devre dışı bırakmayı test etmek için:

1. Güvenilen hizmetler tarafından erişime izin verme ayarını devre dışı bırakın.
2. Görevi yeniden çalıştırın. Bu durumda, kayıt defteri artık görev tarafından erişime izin vermediğinden görev çalıştırması başarısız olur.

Sonraki adımlar

• Sanal ağda özel uç nokta kullanarak kayıt defterine erişimi kısıtlamak için bkz. Azure kapsayıcı kayıt defteri için Azure Özel Bağlantı yapılandırma.
• Kayıt defteri güvenlik duvarı kurallarını ayarlamak için bkz. Genel IP ağ kurallarını yapılandırma.