共用方式為

什麼是已連線登錄?

在本文中,您可以了解 Azure Container Registry「已連線登錄」功能。 已連線登錄檔是內部部署或遠端複本,可將容器映像與您的雲端式 Azure Container Registry 同步。 使用已連線登錄檔,協助加速存取內部部署或遠端的登錄成品。

計費

重要事項

自 2025 年 8 月 1 日開始,關聯註冊機構計費最近發生了 重要變化 。 定價計算器也正在更新以反映這一變化。

  • 2025 年 8 月 1 日以後,每個已部署已連線登錄檔的每月價格為 10 美元。
  • 此價格代表 Microsoft 承諾提供高品質的服務和產品支援。
  • 此成本適用於與父登錄相關聯的 Azure 訂用帳戶。

可用區域

已連線登錄檔可以在 Azure Container Registry 可供使用的任何區域中部署。

案例

雲端式 Azure Container Registry 所提供的功能包括異地複寫、整合式安全性、Azure 受控儲存體,以及與 Azure 開發和部署管線的整合。 同時,客戶正在將其雲端投資延伸到內部部署和現場解決方案。

若要在內部部署或遠端環境中以所需的效能和可靠性執行,容器工作負載需要容器映像和相關成品就在附近。 已連線登錄提供高效能的內部部署登錄解決方案,可定期同步內容與雲端式 Azure Container Registry。

已連線登錄的案例包括:

  • 已連線處理站
  • 銷售點零售位置
  • 運送、油鑽、採礦和其他偶爾連線的環境

已連線登錄如何運作?

已連線登錄檔可部署在伺服器或裝置內部部署,或支援內部部署容器工作負載的環境,例如已啟用 Azure Arc 的 Kubernetes 叢集。 連接的登錄會將容器映像檔和其他 OCI (Open Container Initiative)工件與基於雲端的 Azure 容器登錄同步。

下圖顯示使用已啟用 Azure Arc 的 Kubernetes 已連線登錄檔的一般部署模型。

使用已啟用 Arc 的 Kubernetes 已連線登錄檔概觀圖表。

部署

每個已連線登錄檔都是您在雲端式 Azure Container Registry 內管理的資源。 已連線登錄檔階層中的上層父代是 Azure 雲端中的 Azure Container Registry。 已連線登錄檔可以部署在已啟用 Arc 的 Kubernetes 叢集上。 若要安裝連線的登錄,請使用 AZURE 工具,例如 CLI 或入口網站。

將已連線登錄檔 Arc 延伸模組部署至已啟用 Arc 的 Kubernetes 叢集。 使用預設組態來保護與 TLS (傳輸層安全性) 的連線,以用於唯讀存取和持續同步視窗。 此設定可讓已連線登錄檔將映像從 Azure Container Registry (ACR) 同步至內部部署已連線登錄檔,讓映像從已連線登錄檔提取。

連線的註冊表的 啟用狀態 會指出它是否在本地部署。

  • 作用中 - 已連線登錄目前部署在內部部署環境。 除非停用,否則無法再次進行部署。
  • 未啟用 - 連接的註冊表沒有部署在本地環境。 此時可以進行部署。

內容同步

已連線登錄會定期存取雲端登錄,以將容器映像與 OCI 成品同步。

也可以設定為從雲端登錄同步一部分的存放庫,或只在特定間隔期間進行同步,以減少雲端與內部部署之間的流量。

模式

已連線登錄可以使用兩種模式中的其中一種運作:ReadWriteReadOnly

ReadOnly 模式 - 預設模式,已連線登錄檔處於 ReadOnly 模式時,用戶端只能提取 (讀取) 成品。 此組態用於用戶端需要提取容器映像才能運作的案例。 此預設模式符合我們的預設安全方法,且從 CLI 2.60.0 版開始生效。

ReadWrite 模式 - 此模式可讓用戶端對已連線登錄檔提取和推送 (讀取和寫入) 成品。 推送至已連線登錄的成品將會與雲端登錄同步。 本機開發環境就緒時,ReadWrite 模式十分有用。 影像會推送到本機連線的檔案庫,然後從那裡同步到雲端。

登錄階層

每個已連線登錄都必須連線至父代。 上層父代是雲端登錄。

子系登錄必須與其父代功能相容。 因此,已連線登錄檔的 ReadOnly 和 ReadWrite 模式都可以是 ReadWrite 模式中已連線登錄檔的子系,但只有 ReadOnly 模式登錄可以是 ReadOnly 模式中運作的已連線登錄檔的子系。

用戶端存取

內部部署用戶端會使用 Docker CLI 這類標準工具,從已連線登錄檔推送或提取內容。 若要管理用戶端存取,您可以建立 Azure 容器登錄 非Microsoft Microsoft Entra 令牌 ,以存取每個連線的登錄。 您可以將用戶端權杖的範圍設定為對登錄中的一或多個存放庫進行提取或推送存取。

每個已連線登錄也需要定期與其父代登錄通訊。 因此,雲端登錄會向登錄發出同步權杖 (同步權杖)。 此權杖用來向其父代登錄進行驗證,以進行同步和管理作業。

如需詳細資訊,請參閱管理已連線登錄的存取權

限制

  • 單一容器登錄的權杖和範圍對應數目限制 為各 20,000 個。 這會間接限制雲端登錄的已連線登錄檔數目,因為每個已連線登錄檔都需要同步和用戶端權杖。
  • 範圍對應中的存放庫權限數目限制為 500。
  • 已連線登錄檔的用戶端數目目前限制為 50。
  • 每個容器登錄的連線登錄數目目前限制為 50。
  • 已連線登錄檔目前不支援透過存放庫/資訊清單/標記中繼資料進行映像鎖定
  • 使用 ReadOnly 模式的已連線登錄檔不支援存放庫刪除
  • 目前不支援已連線登錄的資源記錄
  • 已連線登錄會與登錄的主區域資料端點結合。 不支援異地複寫的自動移轉。
  • 刪除已連線登錄檔需要手動移除內部部署容器,以及移除雲端中個別的範圍對應或權杖。
  • 已連線登錄同步限制如下:
    • 針對持續同步:
      • minMessageTtl 是 1 天
      • maxMessageTtl 是 90 天
    • 針對偶爾連線的案例,您想要指定同步視窗:
      • minSyncWindow 是 1 小時
      • maxSyncWindow 是 7 天

結論

在本文中,您了解了連結的註冊表和一些基本概念。 若要深入瞭解可使用聯機登錄的特定案例,請繼續閱讀下列其中一篇文章。

  • Last updated on