Grundlegendes zum Zugriff auf eine verbundene Registrierung

Für den Zugriff auf und die Verwaltung einer verbundenen Registrierung wird derzeit nur die ACR-tokenbasierte Authentifizierung unterstützt. Wie in der folgenden Abbildung dargestellt, werden zwei verschiedene Tokentypen von jeder verbundenen Registrierung verwendet:

  • Clienttoken: Ein oder mehrere Token, die lokale Clients verwenden, um sich bei einer verbundenen Registrierung zu authentifizieren und Images und Artefakte per Push oder Pull zu übertragen.
  • Synchronisierungstoken: Ein Token, das von jeder verbundenen Registrierung für den Zugriff auf das übergeordnete Element und die Synchronisierung von Inhalten verwendet wird.

Übersicht über die Authentifizierung verbundener Registrierungen

Wichtig

Speichern Sie Tokenkennwörter für jede verbundene Registrierung an einem sicheren Ort. Nach der Erstellung können Tokenkennwörter nicht mehr abgerufen werden. Tokenkennwörter können jederzeit neu generiert werden.

Clienttoken

Um den Clientzugriff auf eine verbundene Registrierung zu verwalten, erstellen Sie Token für Aktionen in einem oder mehreren Repositorys. Konfigurieren Sie nach dem Erstellen eines Tokens die verbundene Registrierung mit dem Befehl az acr connected-registry update, um das Token zu akzeptieren. Ein Client kann dann die Tokenanmeldeinformationen verwenden, um auf einen verbundenen Registrierungsendpunkt zuzugreifen, z. B. um Docker-CLI-Befehle zum Übertragen von Images per Pull oder Push an die bzw. aus der verbundenen Registrierung zu verwenden.

Ihre Optionen zum Konfigurieren von Clienttokenaktionen hängen davon ab, ob die verbundene Registrierung sowohl Push- als auch Pullvorgänge zulässt oder als reiner Pullspiegel fungiert.

  • Eine verbundene Registrierung im standardmäßigen ReadWrite-Modus ermöglicht sowohl Pull- als auch Pushvorgänge. Daher können Sie ein Token erstellen, das Aktionen zum Lesen und Schreiben von Repositoryinhalten in dieser Registrierung ermöglicht.
  • Bei einer verbundenen Registrierung im ReadOnly-Modus können Clienttoken nur Aktionen zum Lesen von Repositoryinhalten zulassen.

Verwalten von Clienttoken

Aktualisieren Sie Clienttoken, Kennwörter oder Bereichszuordnungen nach Bedarf mithilfe der Befehle az acr token und az acr scope-map. Clienttokenupdates werden automatisch an die verbundenen Registrierungen weitergegeben, die das Token akzeptieren.

Synchronisierungstoken

Jede verbundene Registrierung verwendet ein Synchronisierungstoken, um sich bei ihrem unmittelbar übergeordneten Element zu authentifizieren. Hierbei kann es sich um eine andere verbundene Registrierung oder um die Cloudregistrierung handeln. Die verbundene Registrierung verwendet dieses Token automatisch bei der Synchronisierung von Inhalten mit dem übergeordneten Element oder bei der Durchführung anderer Updates.

  • Das Synchronisierungstoken und die Kennwörter werden automatisch generiert, wenn Sie die verbundene Registrierungsressource erstellen. Führen Sie den Befehl az acr connected-registry install renew-credentials aus, um die Kennwörter neu zu generieren.
  • Schließen Sie Synchronisierungstoken-Anmeldeinformationen in die Konfiguration ein, die zum lokalen Bereitstellen der verbundenen Registrierung verwendet wird.
  • Standardmäßig wird dem Synchronisierungstoken die Berechtigung erteilt, ausgewählte Repositorys mit dem übergeordneten Repository zu synchronisieren. Sie müssen beim Erstellen der verbundenen Registrierungsressource ein vorhandenes Synchronisierungstoken oder ein oder mehrere Repositorys angeben, die synchronisiert werden sollen.
  • Außerdem verfügt das Token über Berechtigungen zum Lesen und Schreiben von Synchronisierungsnachrichten auf einem Gateway, das für die Kommunikation mit dem übergeordneten Element der verbundenen Registrierung verwendet wird. Diese Nachrichten steuern den Synchronisierungszeitplan und verwalten andere Updates zwischen der verbundenen Registrierung und dem übergeordneten Element.

Verwalten des Synchronisierungstokens

Aktualisieren Sie Synchronisierungstoken, Kennwörter oder Bereichszuordnungen nach Bedarf mithilfe der Befehle az acr token und az acr scope-map. Aktualisierungen von Synchronisierungstoken werden automatisch an die verbundene Registrierung weitergegeben. Befolgen Sie beim Aktualisieren des Synchronisierungstokens die Standardmethoden zum Rotieren von Kennwörtern.

Hinweis

Das Synchronisierungstoken kann erst gelöscht werden, nachdem die dem Token zugeordnete verbundene Registrierung gelöscht wurde. Sie können eine verbundene Registrierung deaktivieren, indem Sie den Status des Synchronisierungstokens auf disabled festlegen.

Registrierungsendpunkte

Tokenanmeldeinformationen für verbundene Registrierungen gelten für den Zugriff auf bestimmte Registrierungsendpunkte:

  • Ein Clienttoken greift auf den Endpunkt der verbundenen Registrierung zu. Der Endpunkt der verbundenen Registrierung ist der Anmeldeserver-URI, bei dem es sich in der Regel um die IP-Adresse des Servers oder Geräts handelt, auf dem er gehostet wird.

  • Ein Synchronisierungstoken greift auf den Endpunkt der übergeordneten Registrierung zu, bei dem es sich entweder um einen anderen verbundenen Registrierungsendpunkt oder um die Cloudregistrierung selbst handelt. Wenn die Cloudregistrierung als Zugriffsbereich festgelegt wurde, muss das Synchronisierungstoken zwei Registrierungsendpunkte erreichen:

    • Den vollqualifizierten Anmeldeservernamen, z. B. contoso.azurecr.io. Dieser Endpunkt wird für die Authentifizierung verwendet.
    • Einen vollqualifizierten regionalen Datenendpunkt für die Cloudregistrierung, z. B. contoso.westus2.data.azurecr.io. Dieser Endpunkt wird zum Austauschen von Nachrichten mit der verbundenen Registrierung zu Synchronisierungszwecken verwendet.

Nächste Schritte

Fahren Sie mit dem folgenden Artikel fort, um sich über bestimmte Szenarien zu informieren, in denen die verbundene Registrierung verwendet werden kann: