Vysvětlení přístupu k připojenému registru
Přístup k připojenému registru a jeho správě je aktuálně podporováno pouze ověřování na základě tokenů ACR. Jak je znázorněno na následujícím obrázku, každý připojený registr používá dva různé typy tokenů:
- Klientské tokeny – Jeden nebo více tokenů, které místní klienti používají k ověření v připojeném registru a nabízení nebo vyžádání imagí a artefaktů do nebo z něj.
- Token synchronizace – token používaný jednotlivými připojenými registry pro přístup k nadřazené a synchronizaci obsahu.
Důležité
Ukládejte hesla tokenů pro každý připojený registr v bezpečném umístění. Po vytvoření se hesla tokenů nedají načíst. Hesla tokenů můžete kdykoli znovu vygenerovat.
Klientské tokeny
Pokud chcete spravovat přístup klientů k připojenému registru, vytvoříte tokeny vymezené pro akce v jednom nebo více úložištích. Po vytvoření tokenu nakonfigurujte připojený registr tak, aby token přijímal pomocí příkazu az acr connected-registry update . Klient pak může použít přihlašovací údaje tokenu pro přístup ke koncovému bodu připojeného registru – například k vyžádání nebo nasdílení imagí do připojeného registru pomocí příkazů Rozhraní příkazového řádku Dockeru.
Možnosti konfigurace akcí tokenu klienta závisí na tom, jestli připojený registr umožňuje operace nabízení i vyžádání změn nebo funkce jako zrcadlení jen pro vyžádání změn.
- Připojený registr ve výchozím režimu ReadWrite umožňuje operace vyžádání změn i nabízených oznámení, takže můžete vytvořit token, který umožňuje akce čtení i zápisu obsahu úložiště v daném registru.
- V případě připojeného registru v režimu Jen pro čtení můžou klientské tokeny povolit akce jen ke čtení obsahu úložiště.
Správa tokenů klienta
Aktualizujte klientské tokeny, hesla nebo mapování oborů podle potřeby pomocí příkazu az acr token a az acr scope-map . Aktualizace tokenů klienta se automaticky rozšíří do připojených registrů, které token přijímají.
Synchronizační token
Každý připojený registr používá token synchronizace k ověření s okamžitým nadřazeným objektem , což může být jiný připojený registr nebo cloudový registr. Připojený registr tento token automaticky používá při synchronizaci obsahu s nadřazeným objektem nebo prováděním jiných aktualizací.
- Token synchronizace a hesla se automaticky vygenerují při vytváření připojeného prostředku registru. Spuštěním příkazu az acr connected-registry install renew-credentials vygenerujte hesla.
- Zahrňte přihlašovací údaje synchronizačního tokenu do konfigurace použité k nasazení připojeného registru místně.
- Ve výchozím nastavení má token synchronizace udělené oprávnění k synchronizaci vybraných úložišť s nadřazeným objektem. Při vytváření připojeného prostředku registru musíte zadat existující synchronizační token nebo jedno nebo více úložišť, která se mají synchronizovat.
- Má také oprávnění ke čtení a zápisu synchronizačních zpráv v bráně sloužící ke komunikaci s nadřazeným objektem připojeného registru. Tyto zprávy řídí plán synchronizace a spravují další aktualizace mezi připojeným registrem a nadřazeným objektem.
Správa synchronizačního tokenu
Aktualizujte synchronizační tokeny, hesla nebo mapování oborů podle potřeby pomocí příkazu az acr token a az acr scope-map . Aktualizace tokenů synchronizace se automaticky rozšíří do připojeného registru. Při aktualizaci synchronizačního tokenu dodržujte standardní postupy obměně hesel.
Poznámka:
Synchronizační token nelze odstranit, dokud se odstraní připojený registr přidružený k tokenu. Připojený registr můžete zakázat nastavením stavu tokenu synchronizace na disabled.
Koncové body registru
Přihlašovací údaje tokenu pro připojené registry jsou omezené na přístup ke konkrétním koncovým bodům registru:
Klientský token přistupuje ke koncovému bodu připojeného registru. Připojený koncový bod registru je identifikátor URI přihlašovacího serveru, což je obvykle IP adresa serveru nebo zařízení, které ho hostuje.
Synchronizační token přistupuje ke koncovému bodu nadřazeného registru, což je jiný připojený koncový bod registru nebo samotný cloudový registr. Při přístupu ke cloudovému registru musí token synchronizace přistupovat ke dvěma koncovým bodům registru:
- Plně kvalifikovaný název přihlašovacího serveru, například
contoso.azurecr.io. Tento koncový bod se používá k ověřování. - Plně kvalifikovaný regionální datový koncový bod pro cloudový registr, například
contoso.westus2.data.azurecr.io. Tento koncový bod slouží k výměně zpráv s připojeným registrem pro účely synchronizace.
- Plně kvalifikovaný název přihlašovacího serveru, například
Další kroky
Pokračujte v následujícím článku a seznamte se s konkrétními scénáři, ve kterých je možné využít připojený registr.