Azure kapsayıcı kayıt defterinde kimlik doğrulaması yapmak için Azure yönetilen kimliği kullanma

Kayıt defteri kimlik bilgilerini sağlamaya veya yönetmeye gerek kalmadan başka bir Azure kaynağından azure kapsayıcı kayıt defterinde kimlik doğrulaması yapmak için Azure kaynakları için yönetilen kimlik kullanın. Örneğin, kapsayıcı kayıt defterinizdeki kapsayıcı görüntülerine erişmek için, genel kayıt defteri kullandığınız kadar kolay bir şekilde Linux VM'de kullanıcı tarafından atanan veya sistem tarafından atanan bir yönetilen kimlik ayarlayın. Alternatif olarak, pod dağıtımları için Azure Container Registry'den kapsayıcı görüntülerini çekmek üzere yönetilen kimliğini kullanmak üzere bir Azure Kubernetes Service kümesi ayarlayın.

Bu makale için yönetilen kimlikler ve nasıl yapılır hakkında daha fazla bilgi ediniyorsunuz:

• Azure VM'de kullanıcı tarafından atanan veya sistem tarafından atanan kimliği etkinleştirme
• Azure kapsayıcı kayıt defterine kimlik erişimi verme
• Yönetilen kimliği kullanarak kayıt defterine erişme ve kapsayıcı görüntüsü çekme

Azure CLI

Azure kaynaklarını oluşturmak için bu makale, Azure CLI 2.0.55 veya sonraki bir sürümünü çalıştırmanızı gerektirir. Sürümü bulmak için az --version komutunu çalıştırın. Yüklemeniz veya yükseltmeniz gerekirse, bkz. Azure CLI yükleme.

Azure PowerShell

Azure kaynaklarını oluşturmak için bu makale, Azure PowerShell modülünün 7.5.0 veya sonraki bir sürümünü çalıştırmanızı gerektirir. Sürümü bulmak için Get-Module Az -ListAvailable komutunu çalıştırın. Yüklemeniz veya yükseltmeniz gerekirse, bkz. Azure PowerShell Modülü yükleme.

Kapsayıcı kayıt defterini ayarlamak ve kapsayıcı görüntüsü göndermek için Docker'ın da yerel olarak yüklenmiş olması gerekir. Docker macOS, Windows veya Linux'ta Docker'ı kolayca yapılandırmanızı sağlayan paketler sağlar.

Yönetilen kimlik neden kullanılır?

Azure kaynakları için yönetilen kimlikler özelliği hakkında bilgi sahibi değilseniz bu genel bakışı inceleyin.

Seçili Azure kaynaklarını yönetilen kimlikle ayarladıktan sonra, kimliğe herhangi bir güvenlik sorumlusu gibi başka bir kaynağa istediğiniz erişimi verin. Örneğin, yönetilen bir kimliğe Azure'daki özel kayıt defterine çekme, gönderme ve çekme veya diğer izinlere sahip bir rol atayın. (Kayıt defteri rollerinin tam listesi için bkz. Azure Container Registry rolleri ve izinleri.) Bir veya daha fazla kaynağa kimlik erişimi verebilirsiniz.

Ardından, kodunuzda herhangi bir kimlik bilgisi olmadan Microsoft Entra kimlik doğrulamasını destekleyen herhangi bir hizmette kimlik doğrulaması yapmak için kimliği kullanın. Senaryonuza bağlı olarak yönetilen kimliği kullanarak kimlik doğrulaması yapmayı seçin. Kimliği kullanarak bir sanal makineden Azure kapsayıcı kayıt defterine erişmek için Azure Resource Manager ile kimlik doğrulaması yaparsınız.

Kapsayıcı kayıt defteri oluşturma

Azure CLI

Henüz bir Azure kapsayıcı kayıt defteriniz yoksa, bir kayıt defteri oluşturun ve örnek bir kapsayıcı görüntüsü gönderin. Adımlar için bkz . Hızlı Başlangıç: Azure CLI kullanarak özel kapsayıcı kayıt defteri oluşturma.

Bu makalede, kapsayıcı görüntüsünün aci-helloworld:v1 kayıt defterinizde depolandığı varsayılır. Örneklerde myContainerRegistry kayıt defteri adı kullanılır. öğesini sonraki adımlarda kendi kayıt defterinizle ve görüntü adlarınızla değiştirin.

Azure PowerShell

Henüz bir Azure kapsayıcı kayıt defteriniz yoksa, bir kayıt defteri oluşturun ve örnek bir kapsayıcı görüntüsü gönderin. Adımlar için bkz . Hızlı Başlangıç: Azure PowerShell kullanarak özel kapsayıcı kayıt defteri oluşturma.

Bu makalede, kapsayıcı görüntüsünün aci-helloworld:v1 kayıt defterinizde depolandığı varsayılır. Örneklerde myContainerRegistry kayıt defteri adı kullanılır. öğesini sonraki adımlarda kendi kayıt defterinizle ve görüntü adlarınızla değiştirin.

Docker özellikli vm oluşturma

Azure CLI

Docker özellikli bir Ubuntu sanal makinesi oluşturun. Azure CLI'yi sanal makineye de yüklemeniz gerekir. Zaten bir Azure sanal makineniz varsa, sanal makineyi oluşturmak için bu adımı atlayın.

az vm create ile varsayılan bir Ubuntu Azure sanal makinesi dağıtın. Aşağıdaki örnek, myResourceGroup adlı mevcut bir kaynak grubunda myDockerVM adlı bir VM oluşturur:

az vm create \
    --resource-group myResourceGroup \
    --name myDockerVM \
    --image Ubuntu2204 \
    --admin-username azureuser \
    --generate-ssh-keys

VM’nin oluşturulması birkaç dakika sürer. Komut tamamlandığında Azure CLI tarafından görüntülenenleri publicIpAddress not alın. VM'ye SSH bağlantıları oluşturmak için bu adresi kullanın.

Azure PowerShell

Docker özellikli bir Ubuntu sanal makinesi oluşturun. Sanal makineye Azure PowerShell'i de yüklemeniz gerekir. Zaten bir Azure sanal makineniz varsa, sanal makineyi oluşturmak için bu adımı atlayın.

New-AzVM ile varsayılan bir Ubuntu Azure sanal makinesi dağıtın. Aşağıdaki örnek, myResourceGroup adlı mevcut bir kaynak grubunda myDockerVM adlı bir VM oluşturur. VM'ye bağlandığınızda kullanılacak bir kullanıcı adı girmeniz istenir. Kullanıcı adı olarak azureuser değerini belirtin. Ayrıca sizden boş bırakabileceğiniz bir parola istenir. SSH anahtarı kullanılırken VM için parolayla oturum açma devre dışı bırakılır.

$vmParams = @{
    ResourceGroupName   = 'MyResourceGroup'
    Name                = 'myDockerVM'
    Image               = 'UbuntuLTS'
    PublicIpAddressName = 'myPublicIP'
    GenerateSshKey      = $true
    SshKeyName          = 'mySSHKey'
}
New-AzVM @vmParams

VM’nin oluşturulması birkaç dakika sürer. Komut tamamlandığında, genel IP adresini almak için aşağıdaki komutu çalıştırın. VM'ye SSH bağlantıları oluşturmak için bu adresi kullanın.

Get-AzPublicIpAddress -Name myPublicIP -ResourceGroupName myResourceGroup | Select-Object -ExpandProperty IpAddress

Docker'ı VM'ye yükleme

Sanal makinenizde Docker kapsayıcılarını çalıştırmak için Docker'ı yüklemeniz gerekir. Bu bölümde Docker'ı bir Ubuntu VM'sine yükleme adımları sağlanır ve VM'nizin Azure Container Registry'nizden kapsayıcı görüntülerini çekmeye ve çalıştırmaya hazır olduğundan emin olun.

VM çalıştırıldıktan sonra VM'ye bir SSH bağlantısı oluşturun. publicIpAddress değerini VM'nizin genel IP adresiyle değiştirin.

ssh azureuser@publicIpAddress

Docker'ı VM'ye yüklemek için aşağıdaki komutu çalıştırın:

sudo apt update
sudo apt install docker.io -y

Yüklemeden sonra, Docker'ın VM'de düzgün çalıştığını doğrulamak için aşağıdaki komutu çalıştırın:

sudo docker run -it mcr.microsoft.com/hello-world

Hello from Docker!
This message shows that your installation appears to be working correctly.
[...]

Azure CLI

Azure CLI'yi yükleme

Azure CLI'yı Ubuntu sanal makinenize yüklemek için Apt ile Azure CLI'yı yükleme makalesindeki adımları izleyin. Bu makale için 2.0.55 veya sonraki bir sürümü yüklediğinizden emin olun.

Azure PowerShell

Azure PowerShell'i yükleme

Ubuntu sanal makinenize PowerShell ve Azure PowerShell yüklemek için Ubuntu'ya PowerShell Yükleme ve Azure Az PowerShell modülünü yükleme makalesindeki adımları izleyin. Bu makale için Azure PowerShell sürüm 7.5.0 veya üzerini yüklediğinizden emin olun.

SSH oturumundan çıkın.

Örnek 1: Kullanıcı tarafından atanan kimlikle erişim

Kimlik oluşturma

Azure CLI

az identity create komutunu kullanarak aboneliğinizde bir kimlik oluşturun . Kapsayıcı kayıt defterini veya sanal makineyi oluşturmak için daha önce kullandığınız kaynak grubunu veya farklı bir kaynak grubunu kullanabilirsiniz.

az identity create --resource-group myResourceGroup --name myACRId

Aşağıdaki adımlarda kimliği yapılandırmak için az identity show komutunu kullanarak kimliğin kaynak kimliğini ve hizmet sorumlusu kimliğini değişkenlerde depolayın.

# Get resource ID of the user-assigned identity
userID=$(az identity show --resource-group myResourceGroup --name myACRId --query id --output tsv)

# Get service principal ID of the user-assigned identity
spID=$(az identity show --resource-group myResourceGroup --name myACRId --query principalId --output tsv)

Daha sonraki bir adımda sanal makinenizden CLI'da oturum açtığınızda kimliğin kimliğine ihtiyacınız olduğundan değerini gösterin:

echo $userID

Kimlik şu biçimdedir:

/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myACRId

Azure PowerShell

New-AzUserAssignedIdentity cmdlet'ini kullanarak aboneliğinizde bir kimlik oluşturun. Kapsayıcı kayıt defterini veya sanal makineyi oluşturmak için daha önce kullandığınız kaynak grubunu veya farklı bir kaynak grubunu kullanabilirsiniz.

New-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Location eastus -Name myACRId

Aşağıdaki adımlarda kimliği yapılandırmak için Get-AzUserAssignedIdentity cmdlet'ini kullanarak kimliğin kaynak kimliğini ve hizmet sorumlusu kimliğini değişkenler halinde depolayın.

# Get resource ID of the user-assigned identity
$userID = (Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name myACRId).Id

# Get service principal ID of the user-assigned identity
$spID = (Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name myACRId).PrincipalId

Daha sonraki bir adımda sanal makinenizden Azure PowerShell'de oturum açtığınızda kimliğin kimliğine ihtiyacınız olduğundan değerini gösterin:

$userID

Kimlik şu biçimdedir:

/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myACRId

VM'yi kimlikle yapılandırma

Azure CLI

Aşağıdaki az vm identity assign komutu, Docker VM'nizi kullanıcı tarafından atanan kimlikle yapılandırır:

az vm identity assign --resource-group myResourceGroup --name myDockerVM --identities $userID

Azure PowerShell

Aşağıdaki Update-AzVM komutu, Docker VM'nizi kullanıcı tarafından atanan kimlikle yapılandırır:

$vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myDockerVM
Update-AzVM -ResourceGroupName myResourceGroup -VM $vm -IdentityType UserAssigned -IdentityID $userID

Kapsayıcı kayıt defterine kimlik erişimi verme

Azure CLI

Şimdi kapsayıcı kayıt defterinize erişmek için kimliği yapılandırın. Kayıt defterinin kaynak kimliğini almak için önce az acr show komutunu kullanın:

resourceID=$(az acr show --resource-group myResourceGroup --name myContainerRegistry --query id --output tsv)

Kimliğe AcrPull rolünü atamak için az role assignment create komutunu kullanın. Bu rol, kayıt defteri için çekme izinleri sağlar. Hem çekme hem de gönderme izinleri sağlamak için AcrPush rolünü atayın.

az role assignment create --assignee $spID --scope $resourceID --role acrpull

Azure PowerShell

Şimdi kapsayıcı kayıt defterinize erişmek için kimliği yapılandırın. Kayıt defterinin kaynak kimliğini almak için önce Get-AzContainerRegistry komutunu kullanın:

$resourceID = (Get-AzContainerRegistry -ResourceGroupName myResourceGroup -Name myContainerRegistry).Id

Kimliğe AcrPull rolünü atamak için New-AzRoleAssignment cmdlet'ini kullanın. Bu rol, kayıt defteri için çekme izinleri sağlar. Hem çekme hem de gönderme izinleri sağlamak için AcrPush rolünü atayın.

New-AzRoleAssignment -ObjectId $spID -Scope $resourceID -RoleDefinitionName AcrPull

Kayıt defterine erişmek için kimliği kullanma

Azure CLI

Kimlikle yapılandırılan Docker sanal makinesinde SSH. VM'de yüklü Azure CLI'yı kullanarak aşağıdaki Azure CLI komutlarını çalıştırın.

İlk olarak, VM'de yapılandırdığınız kimliği kullanarak az login ile Azure CLI'da kimlik doğrulaması yapın. için <userID>, önceki adımda aldığınız kimliğin kimliğini değiştirin.

az login --identity --username <userID>

Ardından az acr login ile kayıt defterinde kimlik doğrulaması yapın. Bu komutu kullandığınızda CLI, kapsayıcı kayıt defteriyle oturumunuzun kimliğini sorunsuz bir şekilde doğrulamak için çalıştırdığınızda az login oluşturulan Active Directory belirtecini kullanır. (VM'nizin kurulumuna bağlı olarak, bu komutu ve docker komutlarını ile sudoçalıştırmanız gerekebilir.)

az acr login --name myContainerRegistry

Bir Login succeeded ileti görmeniz gerekir. Ardından kimlik bilgileri sağlamadan komutları çalıştırabilirsiniz docker . Örneğin, kayıt defterinizin oturum açma sunucusu adını belirterek görüntüyü çekmek aci-helloworld:v1 için docker pull komutunu çalıştırın. Oturum açma sunucusu adı, kapsayıcı kayıt defteri adınızdan (tümü küçük harfle) ve ardından .azurecr.io örneğin , mycontainerregistry.azurecr.ioşeklinden oluşur.

docker pull mycontainerregistry.azurecr.io/aci-helloworld:v1

Azure PowerShell

Kimlikle yapılandırılan Docker sanal makinesinde SSH. VM'de yüklü Azure PowerShell'i kullanarak aşağıdaki Azure PowerShell komutlarını çalıştırın.

İlk olarak, VM'de yapılandırdığınız kimliği kullanarak Connect-AzAccount ile Azure PowerShell'de kimlik doğrulaması uygulayın. için -AccountId , kimliğin istemci kimliğini belirtin.

$clientId = (Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name myACRId).ClientId
Connect-AzAccount -Identity -AccountId $clientId

Ardından Connect-AzContainerRegistry ile kayıt defterinde kimlik doğrulaması yapın. Bu komutu kullandığınızda Azure PowerShell, kapsayıcı kayıt defteriyle oturumunuzun kimliğini sorunsuz bir şekilde doğrulamak için çalıştırdığınızda Connect-AzAccount oluşturulan Active Directory belirtecini kullanır. (VM'nizin kurulumuna bağlı olarak, bu komutu ve docker komutlarını ile sudoçalıştırmanız gerekebilir.)

sudo pwsh -command Connect-AzContainerRegistry -Name myContainerRegistry

Bir Login succeeded ileti görmeniz gerekir. Ardından kimlik bilgileri sağlamadan komutları çalıştırabilirsiniz docker . Örneğin, kayıt defterinizin oturum açma sunucusu adını belirterek görüntüyü çekmek aci-helloworld:v1 için docker pull komutunu çalıştırın. Oturum açma sunucusu adı, kapsayıcı kayıt defteri adınızdan (tümü küçük harfle) ve ardından .azurecr.io örneğin , mycontainerregistry.azurecr.ioşeklinden oluşur.

docker pull mycontainerregistry.azurecr.io/aci-helloworld:v1

VM'yi sistem tarafından yönetilen kimlikle yapılandırma

Sistem tarafından atanan yönetilen kimlik, sanal makinenizin Azure Active Directory'de kendi kimliğini otomatik olarak yönetmesine olanak tanıyan bir Azure özelliğidir. Bu bölümde, Azure Container Registry'nize güvenli bir şekilde erişmek için vm'nizi sistem tarafından atanan bir kimlikle yapılandırma adımları açıklanmaktadır.

VM'yi sistem tarafından yönetilen kimlikle yapılandırma

Azure CLI

Aşağıdaki az vm identity assign komutu Docker VM'nizi sistem tarafından atanan bir kimlikle yapılandırır:

az vm identity assign --resource-group myResourceGroup --name myDockerVM

Sonraki adımlarda kullanmak üzere vm kimliğinin principalId değerine (hizmet sorumlusu kimliği) bir değişken ayarlamak için az vm show komutunu kullanın.

spID=$(az vm show --resource-group myResourceGroup --name myDockerVM --query identity.principalId --out tsv)

Azure PowerShell

Aşağıdaki Update-AzVM komutu Docker VM'nizi sistem tarafından atanan bir kimlikle yapılandırır:

$vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myDockerVM
Update-AzVM -ResourceGroupName myResourceGroup -VM $vm -IdentityType SystemAssigned

Sonraki adımlarda kullanmak üzere vm kimliğinin principalId değerine (hizmet sorumlusu kimliği) bir değişken ayarlamak için Get-AzVM komutunu kullanın.

$spID = (Get-AzVM -ResourceGroupName myResourceGroup -Name myDockerVM).Identity.PrincipalId

Kapsayıcı kayıt defterine kimlik erişimi verme

Azure CLI

Şimdi kapsayıcı kayıt defterinize erişmek için kimliği yapılandırın. Kayıt defterinin kaynak kimliğini almak için önce az acr show komutunu kullanın:

resourceID=$(az acr show --resource-group myResourceGroup --name myContainerRegistry --query id --output tsv)

Kimliğe AcrPull rolünü atamak için az role assignment create komutunu kullanın. Bu rol, kayıt defteri için çekme izinleri sağlar. Hem çekme hem de gönderme izinleri sağlamak için AcrPush rolünü atayın.

az role assignment create --assignee $spID --scope $resourceID --role acrpull

Azure PowerShell

Şimdi kapsayıcı kayıt defterinize erişmek için kimliği yapılandırın. Kayıt defterinin kaynak kimliğini almak için önce [Get-AzContainerRegistry komutunu kullanın:

$resourceID = (Get-AzContainerRegistry -ResourceGroupName myResourceGroup -Name myContainerRegistry).Id

Kimliğe AcrPull rolünü atamak için New-AzRoleAssignment cmdlet'ini kullanın. Bu rol, kayıt defteri için çekme izinleri sağlar. Hem çekme hem de gönderme izinleri sağlamak için AcrPush rolünü atayın.

New-AzRoleAssignment -ObjectId $spID -Scope $resourceID -RoleDefinitionName AcrPull

Kayıt defterine erişmek için kimliği kullanma

Azure CLI

Kimlikle yapılandırılan Docker sanal makinesinde SSH. VM'de yüklü Azure CLI'yı kullanarak aşağıdaki Azure CLI komutlarını çalıştırın.

İlk olarak, VM'de sistem tarafından atanan kimliği kullanarak az login ile Azure CLI kimliğini doğrula.

az login --identity

Ardından az acr login ile kayıt defterinde kimlik doğrulaması yapın. Bu komutu kullandığınızda CLI, kapsayıcı kayıt defteriyle oturumunuzun kimliğini sorunsuz bir şekilde doğrulamak için çalıştırdığınızda az login oluşturulan Active Directory belirtecini kullanır. (VM'nizin kurulumuna bağlı olarak, bu komutu ve docker komutlarını ile sudoçalıştırmanız gerekebilir.)

az acr login --name myContainerRegistry

Bir Login succeeded ileti görmeniz gerekir. Ardından kimlik bilgileri sağlamadan komutları çalıştırabilirsiniz docker . Örneğin, kayıt defterinizin oturum açma sunucusu adını belirterek görüntüyü çekmek aci-helloworld:v1 için docker pull komutunu çalıştırın. Oturum açma sunucusu adı, kapsayıcı kayıt defteri adınızdan (tümü küçük harfle) ve ardından .azurecr.io örneğin , mycontainerregistry.azurecr.ioşeklinden oluşur.

docker pull mycontainerregistry.azurecr.io/aci-helloworld:v1

Azure PowerShell

Kimlikle yapılandırılan Docker sanal makinesinde SSH. VM'de yüklü Azure PowerShell'i kullanarak aşağıdaki Azure PowerShell komutlarını çalıştırın.

İlk olarak, VM'de sistem tarafından atanan kimliği kullanarak Connect-AzAccount ile Azure PowerShell'in kimliğini doğrulayın.

Connect-AzAccount -Identity

Ardından Connect-AzContainerRegistry ile kayıt defterinde kimlik doğrulaması yapın. Bu komutu kullandığınızda PowerShell, kapsayıcı kayıt defteriyle oturumunuzun kimliğini sorunsuz bir şekilde doğrulamak için çalıştırdığınızda Connect-AzAccount oluşturulan Active Directory belirtecini kullanır. (VM'nizin kurulumuna bağlı olarak, bu komutu ve docker komutlarını ile sudoçalıştırmanız gerekebilir.)

sudo pwsh -command Connect-AzContainerRegistry -Name myContainerRegistry

Bir Login succeeded ileti görmeniz gerekir. Ardından kimlik bilgileri sağlamadan komutları çalıştırabilirsiniz docker . Örneğin, kayıt defterinizin oturum açma sunucusu adını belirterek görüntüyü çekmek aci-helloworld:v1 için docker pull komutunu çalıştırın. Oturum açma sunucusu adı, kapsayıcı kayıt defteri adınızdan (tümü küçük harfle) ve ardından .azurecr.io örneğin , mycontainerregistry.azurecr.ioşeklinden oluşur.

docker pull mycontainerregistry.azurecr.io/aci-helloworld:v1

Sonraki adımlar

Bu makalede, Azure Container Registry ile yönetilen kimlikleri kullanmayı ve nasıl yapılacağını öğrendiniz:

• Azure VM'de kullanıcı tarafından atanan veya sistem tarafından atanan kimliği etkinleştirme
• Azure kapsayıcı kayıt defterine kimlik erişimi verme
• Yönetilen kimliği kullanarak kayıt defterine erişme ve kapsayıcı görüntüsü çekme

• Azure kaynakları için yönetilen kimlikler hakkında daha fazla bilgi edinin.
• App Service ve Azure Container Registry ile sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği kullanmayı öğrenin.
• Yönetilen kimlik kullanarak Azure Container Registry'den kapsayıcı görüntüsü dağıtmayı öğrenin.