你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

了解连接注册表的访问权限

  • 项目

要访问和管理连接注册表,当前仅支持 ACR 令牌身份验证。 如下图所示,每个连接注册表使用两种不同类型的令牌:

  • 客户端令牌 - 一个或多个令牌,本地客户端使用该令牌向连接注册表进行身份验证,并向其推送或从其拉取映像和项目。
  • 同步令牌 -每个连接注册表用于访问其父项和同步内容的令牌。

连接注册表身份验证概述

重要

将每个连接注册表的令牌密码存储在安全的位置。 令牌密码创建后无法检索。 可以随时重新生成令牌密码。

客户端令牌

要管理连接注册表的客户端访问,需要创建一个或多个范围限定为存储库上操作的令牌。 创建令牌后,使用 az acr 连接注册表命令将连接注册表配置为接受令牌。 然后,客户端可以使用令牌凭据访问连接注册表终结点,例如,使用 Docker CLI 命令将映像拉取或推送到连接注册表。

用于配置客户端令牌操作的选项取决于连接注册表是否允许推送和拉取操作或函数作为只拉镜像。

  • 默认 ReadWrite 模式下连接注册表允许拉取和推送操作,因此可以创建一个令牌,允许在该注册表中读取写入存储库内容的操作。
  • 对于只读模式下的连接注册表,客户端令牌只允许读取存储库内容的操作。

管理客户端令牌

根据需要使用 az acr 令牌az acr 范围映射命令更新客户端令牌、密码或范围映射。 客户端令牌更新会自动传播到接受令牌的连接注册表。

同步令牌

每个连接注册表都使用同步令牌通过其直接父项(可以是另一个连接注册表或云注册表)进行身份验证。 与父项同步内容或执行其他更新时,连接注册表会自动使用此令牌。

  • 创建连接注册表资源时,自动生成同步令牌和密码。 运行 az acr 连接注册表安装续订凭据命令重新生成密码。
  • 将同步令牌凭据包含在用于本地部署连接注册表的配置中。
  • 默认情况下,会向同步令牌授予同步所选存储库及其父项的权限。 创建连接注册表资源时,必须提供现有的同步令牌或一个或多个要同步的存储库。
  • 它还拥有读取和写入网关上用于与连接注册表的父项通信的同步消息的权限。 这些消息控制同步计划,并管理连接注册表及其父项之间的其他更新。

管理同步令牌

根据需要使用 az acr 令牌az acr 范围映射命令更新同步令牌、密码或范围映射。 同步令牌更新会自动传播到连接注册表。 更新同步令牌时,请遵循旋转密码的标准做法。

注意

在删除与令牌关联的连接注册表之前,无法删除同步令牌。 可以通过将同步令牌的状态设置为disabled来禁用连接注册表。

注册表终结点

连接注册表的令牌凭据的范围限定为访问特定注册表终结点:

  • 客户端令牌访问连接注册表的终结点。 连接注册表终结点是登录服务器 URI,通常是托管它的服务器或设备的 IP 地址。

  • 同步令牌访问父级注册表的终结点,该终结点可以是另一个连接注册表终结点或云注册表本身。 在范围限定为访问云注册表时,同步令牌需要访问两个注册表终结点:

    • 完全限定的登录服务器名称,如contoso.azurecr.io。 此终结点用于身份验证。
    • 云注册表的完全限定区域数据终结点,如contoso.westus2.data.azurecr.io 。 此终结点用于与连接注册表交换消息以进行同步。

后续步骤

请继续阅读以下文章,了解可以使用连接注册表的具体方案。

概述:连接注册表和 IoT Edge