Informazioni sull'accesso a un registro connesso

  • Articolo

Per accedere e gestire un registro connesso, attualmente è supportata solo l'autenticazione basata su token del Registro Azure Container. Come illustrato nell'immagine seguente, vengono usati due tipi diversi di token da ogni registro connesso:

  • Token client: uno o più token usati dai client locali per eseguire l'autenticazione con un registro connesso e eseguire il push o il pull di immagini e artefatti da o verso tale registro.
  • Token di sincronizzazione: token usato da ogni registro connesso per accedere all’elemento padre e sincronizzare il contenuto.

Verificare l'autenticazione del registro connesso

Importante

Archiviare le password dei token per ogni registro connesso in un percorso sicuro. Dopo la creazione, le password dei token non possono essere recuperate. È possibile rigenerare le password dei token in qualsiasi momento.

Token client

Per gestire l'accesso client a un registro connesso, creare token con ambito per le azioni in uno o più repository. Dopo aver creato un token, configurare il registro connesso per accettare il token tramite il comando az acr connected-registry update. Un client può quindi usare le credenziali del token per accedere a un endpoint del registro connesso, ad esempio per usare i comandi Docker dell'interfaccia della riga di comando per eseguire il pull o il push di immagini nel registro connesso.

Le opzioni per la configurazione delle azioni dei token client dipendono dal fatto che il registro connesso consenta operazioni push e pull o funzioni come mirror solo pull.

  • Un registro connesso in modalità ReadWrite predefinita consente sia le operazioni pull che push, in modo che sia possibile creare un token che consenta azioni sia di lettura che di scrittura di contenuto del repository in tale registro.
  • Per un registro connesso in modalità ReadOnly, i token client possono consentire solo alle azioni di leggere il contenuto del repository.

Gestire i token client

Aggiornare i token client, le password o le mappe dell'ambito in base alle esigenze tramite i comandi az acr token e az acr scope-map. Gli aggiornamenti dei token client vengono propagati automaticamente ai registri connessi che accettano il token.

Token di sincronizzazione

Ogni registro connesso usa un token di sincronizzazione per l'autenticazione con il relativo elemento padre immediato, che può essere un altro registro connesso o il registro cloud. Il registro connesso usa automaticamente questo token durante la sincronizzazione del contenuto con l'elemento padre o l'esecuzione di altri aggiornamenti.

  • Il token di sincronizzazione e le password vengono generati automaticamente quando si crea la risorsa registro connesso. Eseguire il comando az acr connected-registry install renew-credentials per rigenerare le password.
  • Includere le credenziali del token di sincronizzazione nella configurazione usata per distribuire il registro connesso in locale.
  • Per impostazione predefinita, al token di sincronizzazione viene concessa l'autorizzazione per sincronizzare i repository selezionati con il relativo elemento padre. È necessario fornire un token di sincronizzazione esistente o uno o più repository da sincronizzare quando si crea la risorsa registro connesso.
  • Dispone inoltre delle autorizzazioni per leggere e scrivere messaggi di sincronizzazione in un gateway usato per comunicare con l'elemento padre del registro connesso. Questi messaggi controllano la pianificazione della sincronizzazione e gestiscono altri aggiornamenti tra il registro connesso e il relativo elemento padre.

Gestire il token di sincronizzazione

Aggiornare i token di sincronizzazione, le password o le mappe dell'ambito in base alle esigenze tramite i comandi az acr token e az acr scope-map. Gli aggiornamenti del token di sincronizzazione vengono propagati automaticamente al registro connesso. Seguire le procedure standard di rotazione delle password durante l'aggiornamento del token di sincronizzazione.

Nota

Il token di sincronizzazione non può essere eliminato finché il registro connesso associato al token non viene eliminato. È possibile disabilitare un registro connesso impostando lo stato del token di sincronizzazione su disabled.

Endpoint del registro

L’ambito delle credenziali del token per i registri connessi è l'accesso a endpoint del registro specifici:

  • Un token client accede all'endpoint del registro connesso. L'endpoint del registro connesso è l'URI del server di accesso, che in genere è l'indirizzo IP del server o del dispositivo che lo ospita.

  • Un token di sincronizzazione accede all'endpoint del registro padre, ovvero a un altro endpoint del registro connesso o al registro cloud stesso. Quando l'ambito è quello di accedere al registro cloud, il token di sincronizzazione deve raggiungere due endpoint del registro:

    • Nome completo del server di accesso, ad esempio contoso.azurecr.io. Questo endpoint viene usato per l'autenticazione.
    • Un endpoint dati completo a livello di area per il registro cloud, ad esempio contoso.westus2.data.azurecr.io. Questo endpoint viene usato per scambiare messaggi con il registro connesso a scopo di sincronizzazione.

Passaggi successivi

Continuare con uno degli articoli seguenti per informazioni su scenari specifici in cui è possibile usare il registro connesso.

Panoramica: Registro connesso e IoT Edge