Azure Container Registry のサービス タグ
サービス タグは、特定の Azure サービスへのトラフィックを許可したり拒否したりする規則を設定するのに役立ちます。 Azure Container Registry では、サービス タグは、グローバルまたは Azure リージョンごとにサービスにアクセスするために使用できる IP アドレス プレフィックスのグループを表します。 Azure Container Registry は、イメージのインポート、Webhook、Azure Container Registry タスクなどの機能のサービス タグから送信されるネットワーク トラフィックを生成します。
サービス タグに包含されるアドレス プレフィックスは、Microsoft が管理します。 Microsoft は、ネットワーク セキュリティ規則に対する頻繁な更新の複雑さを最小限に抑えるために、アドレスが変更されるとサービス タグを自動更新します。
レジストリのファイアウォールを構成すると、Azure Container Registry は、そのサービス タグの IP アドレスで要求を処理します。 ファイアウォール アクセス規則に関するページで説明されているシナリオでは、ユーザーがサービス タグの Azure Container Registry IP アドレスへのアクセスを許可するようにファイアウォール アウトバウンド規則を構成できます。
Image import
Azure Container Registry は、イメージをダウンロードするためにサービス タグ IP アドレスを通して外部レジストリ サービスに要求を送信します。 外部レジストリ サービスがファイアウォールの背後で動作している場合は、サービス タグの IP アドレスを許可するインバウンド規則が必要です。 これらの IP は、パブリックまたは Azure レジストリからイメージをインポートするために必要な IP 範囲が含まれる AzureContainerRegistry
サービス タグの範囲に収まります。
Azure では、これらの IP 範囲が自動的に更新されます。 このセキュリティ プロトコルの確立は、レジストリの整合性を維持し、その可用性を確保するために重要です。
ネットワーク セキュリティ規則を構成し、Azure Container Registry でのイメージのインポート用に AzureContainerRegistry
サービス タグからのトラフィックを許可する方法については、「レジストリ エンドポイントについて」を参照してください。 イメージのインポート中にサービス タグを使用する方法の詳細な手順とガイダンスについては、「コンテナー レジストリにコンテナー イメージをインポートする」を参照してください。
ウェブフックs
Azure Container Registry では、サービス タグを使用して Webhook などの機能のネットワーク トラフィックを管理し、信頼されたソースのみがこれらのイベントをトリガーできるようにします。 Azure Container Registry で Webhook を設定すると、レジストリ レベルでイベントに応答するか、または特定のリポジトリ タグにスコープを絞ることできます。 geo レプリケーションされたレジストリに関しては、特定のリージョン レプリカ内のイベントに応答するように各 Webhook を構成します。
Webhook のエンドポイントはレジストリからパブリックにアクセスできる必要があります。 セキュリティで保護されたエンドポイントに対して認証されるように、レジストリの Webhook 要求を構成できます。
Azure Container Registry は、サービス タグの IP アドレスを介して、構成済み Webhook エンドポイントに要求を送信します。 Webhook エンドポイントがファイアウォールの内側で実行される場合は、これらの IP アドレスを許可する受信規則が必要です。 Webhook エンドポイント アクセスをセキュリティで保護するには、要求を検証するための適切な認証も構成する必要があります。
Webhook セットアップの作成についての詳細な手順については、Azure Container Registry のドキュメントを参照してください。
Azure Container Registry タスク
コンテナー イメージの構築やワークフローの自動化などの Azure Container Registry タスクを使用している場合、サービス タグは、Azure Container Registry が使用する IP アドレス プレフィックスのグループを表します。
タスクの実行中、Azure Container Registry はサービス タグの IP アドレスを介して外部リソースに要求を送信します。 外部リソースがファイアウォールの内側で実行される場合は、これらの IP アドレスを許可する受信規則が必要です。 これらのインバウンド規則を適用することは、クラウド環境においてセキュリティと適切なアクセス管理を確保できるようにするための一般的なプラクティスです。
Azure Container Registry タスクの詳細については、「Azure Container Registry タスクを使用してコンテナー イメージのビルドと保守管理を自動化する」を参照してください。 サービス タグを使用して Azure Container Registry タスクのファイアウォール アクセス規則を設定する方法については、「ファイアウォールの内側から Azure コンテナー レジストリにアクセスする規則を構成する」を参照してください。
ベスト プラクティス
イメージ インポート、Webhook、Azure Container Registry タスクなどの機能に対して
AzureContainerRegistry
サービス タグからのトラフィックを許可するように、ポート番号やプロトコルなどのネットワーク セキュリティ規則を構成してカスタマイズする。各機能の Azure Container Registry サービス タグに関連付けられている IP 範囲からのトラフィックのみを許可するようにファイアウォール規則を設定します。
サービス タグの Azure Container Registry IP アドレスから送信されていない未承認のトラフィックを検出して防止します。
Azure Monitor または Network Watcher を使用して、ネットワーク トラフィックを継続的に監視し、セキュリティ構成を定期的に確認して、各 Azure Container Registry 機能の想定外のトラフィックに対処します。