Azure Container Registry에 대한 서비스 태그

  • 아티클

서비스 태그는 특정 Azure 서비스에 대한 트래픽을 허용하거나 거부하는 규칙을 설정하는 데 도움이 됩니다. Azure Container Registry에서 서비스 태그는 전역적으로 또는 Azure 지역별로 서비스에 액세스하는 데 사용할 수 있는 IP 주소 접두사 그룹을 나타냅니다. Azure Container Registry는 이미지 가져오기, 웹후크 및 Azure Container Registry 작업과 같은 기능에 대한 서비스 태그에서 시작되는 네트워크 트래픽을 생성합니다.

Microsoft에서는 서비스 태그가 포함된 주소 접두사를 관리합니다. Microsoft는 네트워크 보안 규칙에 대한 빈번한 업데이트의 복잡성을 최소화하기 위해 주소가 변경되면 서비스 태그를 자동으로 업데이트합니다.

레지스트리에 대한 방화벽을 구성하는 경우 Azure Container Registry는 해당 서비스 태그에 대한 IP 주소에 대한 요청을 제공합니다. 방화벽 액세스 규칙에 언급된 시나리오의 경우 서비스 태그에 대한 Azure Container Registry IP 주소에 대한 액세스를 허용하도록 방화벽 아웃바운드 규칙을 구성할 수 있습니다.

이미지 가져오기

Azure Container Registry는 서비스 태그 IP 주소를 통해 외부 레지스트리 서비스에 요청을 보내 이미지를 다운로드합니다. 외부 레지스트리 서비스가 방화벽 뒤에서 실행되는 경우 서비스 태그에 대한 IP 주소를 허용하는 인바운드 규칙이 필요합니다. 이러한 IP는 공용 또는 Azure 레지스트리에서 이미지를 가져오는 데 필요한 IP 범위를 포함하는 AzureContainerRegistry 서비스 태그의 일부입니다.

Azure는 이러한 IP 범위가 자동으로 업데이트되도록 합니다. 이 보안 프로토콜을 설정하는 것은 레지스트리의 무결성을 유지하고 가용성을 보장하는 데 중요합니다.

네트워크 보안 규칙을 구성하고 Azure Container Registry에서 이미지 가져오기를 위해 AzureContainerRegistry 서비스 태그의 트래픽을 허용하려면 레지스트리 엔드포인트 정보를 참조하세요. 이미지 가져오기 중에 서비스 태그를 사용하는 방법에 대한 자세한 단계 및 지침은 컨테이너 레지스트리에 컨테이너 이미지 가져오기를 참조하세요.

웹후크

Azure Container Registry에서 서비스 태그를 사용하여 웹후크와 같은 기능에 대한 네트워크 트래픽을 관리하여 신뢰할 수 있는 원본만 이러한 이벤트를 트리거할 수 있도록 합니다. Azure Container Registry에서 웹후크를 설정할 때 레지스트리 수준의 이벤트에 응답하거나 특정 리포지토리 태그로 범위를 지정할 수 있습니다. 지역 복제 레지스트리의 경우 특정 지역 복제본의 이벤트에 응답하도록 각 웹후크를 구성합니다.

웹후크에 대한 엔드포인트는 레지스트리에서 공개적으로 액세스할 수 있어야 합니다. 보안 엔드포인트에 인증하도록 레지스트리 웹후크 요청을 구성할 수 있습니다.

Azure Container Registry는 서비스 태그에 대한 IP 주소를 통해 구성된 웹후크 엔드포인트로 요청을 보냅니다. 웹후크 엔드포인트가 방화벽 뒤에서 실행되는 경우 이러한 IP 주소를 허용하려면 인바운드 규칙이 필요합니다. 웹후크 엔드포인트 액세스를 보호하려면 요청의 유효성을 검사하도록 적절한 인증도 구성해야 합니다.

웹후크 설치를 만드는 방법에 대한 자세한 단계는 Azure Container Registry 설명서를 참조하세요.

Azure Container Registry 작업

컨테이너 이미지를 빌드하거나 워크플로를 자동화하는 경우와 같이 Azure Container Registry 작업을 사용하는 경우 서비스 태그는 Azure Container Registry에서 사용하는 IP 주소 접두사 그룹을 나타냅니다.

작업을 실행하는 동안 Azure Container Registry는 서비스 태그에 대한 IP 주소를 통해 외부 리소스에 요청을 보냅니다. 외부 리소스가 방화벽 뒤에서 실행되는 경우 이러한 IP 주소를 허용하려면 인바운드 규칙이 필요합니다. 이러한 인바운드 규칙을 적용하는 것은 클라우드 환경에서 보안 및 적절한 액세스 관리를 보장하는 데 도움이 되는 일반적인 방법입니다.

Azure Container Registry 작업에 대한 자세한 내용은 Azure Container Registry 작업을 사용하여 컨테이너 이미지 빌드 및 유지 관리 자동화를 참조하세요. 서비스 태그를 사용하여 Azure Container Registry 작업에 대한 방화벽 액세스 규칙을 설정하는 방법을 알아보려면 방화벽 뒤에 있는 Azure Container Registry에 액세스하도록 규칙 구성을 참조하세요.

모범 사례

  • 이미지 가져오기, 웹후크 및 Azure Container Registry 작업(예: 포트 번호 및 프로토콜)에 대한 AzureContainerRegistry 서비스 태그의 트래픽을 허용하도록 네트워크 보안 규칙을 구성하고 사용자 지정합니다.

  • 각 기능에 대한 Azure Container Registry 서비스 태그와 연결된 IP 범위에서만 트래픽을 허용하도록 방화벽 규칙을 설정합니다.

  • 서비스 태그에 대한 Azure Container Registry IP 주소에서 발생하지 않는 권한 없는 트래픽을 검색하고 방지합니다.

  • 네트워크 트래픽을 지속적으로 모니터링하고 정기적으로 보안 구성을 검토하여 Azure Monitor 또는 Network Watcher를 사용하여 각 Azure Container Registry 기능에 대한 예기치 않은 트래픽을 해결합니다.