Marcas de serviço do Registro de Contêiner do Azure
As marcas de serviço ajudam a definir regras para permitir ou negar o tráfego para um serviço específico do Azure. No Registro de Contêiner do Azure, as marcas de serviço representam um grupo de prefixos de endereço IP que podem ser usados para acessar o serviço globalmente ou por região do Azure. O Registro de Contêiner do Azure gera tráfego de rede proveniente de uma marca de serviço para recursos como importação de imagem, webhooks e tarefas do Registro de Contêiner do Azure.
A Microsoft gerencia os prefixos de endereço que a marca de serviço abrange. A Microsoft atualiza automaticamente uma marca de serviço à medida que os endereços mudam, para minimizar a complexidade das atualizações frequentes para as regras de segurança de rede.
Quando você configura um firewall para um registro, o Registro de Contêiner do Azure atende às solicitações nos endereços IP para suas marcas de serviço. Para os cenários mencionados em Regras de acesso do firewall, você pode configurar a regra de saída do firewall para permitir o acesso aos endereços IP do Registro de Contêiner do Azure para marcas de serviço.
Importar imagem
O Registro de Contêiner do Azure envia solicitações para o serviço de registro externo por meio de endereços IP de marca de serviço para baixar imagens. Se o serviço de registro externo é executado protegido por um firewall, ele requer uma regra de entrada para aceitar endereços IP de marcas de serviço. Esses IPs se enquadram na marca de serviço do AzureContainerRegistry
, que inclui os endereços IP necessários para importar imagens de registros públicos ou do Azure.
O Azure garante que esses intervalos de Intervalo de IP sejam atualizados automaticamente. Estabelecer esse protocolo de segurança é crucial para manter a integridade do registro e garantir sua disponibilidade.
Para configurar regras de segurança de rede e permitir o tráfego da marca de serviço do AzureContainerRegistry
para importação de imagem no Registro de Contêiner do Azure, confira Sobre os pontos de extremidade. Para obter etapas e diretrizes detalhadas sobre como usar a marca de serviço durante a importação de imagem, consulte Importar imagens de contêiner para um registro de contêiner.
Webhooks
No Registro de Contêiner do Azure, use marcas de serviço para gerenciar o tráfego de rede para recursos como webhooks para garantir que apenas fontes confiáveis possam disparar esses eventos. Ao configurar um webhook no Registro de Contêiner do Azure, ele pode responder a eventos no nível do registro ou ter o escopo reduzido para a marca de um repositório específico. Para registros com replicação geográfica, você configura cada webhook para responder a eventos em uma réplica regional específica.
O ponto de extremidade para um webhook deve estar acessível publicamente no registro. Você pode configurar as solicitações de webhook do registro para autenticar em um ponto de extremidade protegido.
O Registro de Contêiner do Azure envia a solicitação para o ponto de extremidade de webhook configurado por meio dos endereços IP para marcas de serviço. Se o ponto de extremidade do webhook for executado protegido por um firewall, ele exigirá uma regra de entrada para permitir esses endereços IP. Para ajudar a proteger o acesso ao ponto de extremidade do webhook, você também deve configurar a autenticação adequada para validar a solicitação.
Para obter etapas detalhadas sobre como criar uma configuração de webhook, consulte a documentação do Registro de Contêiner do Azure.
Tarefas do Registro de Contêiner do Azure
Quando você está usando tarefas do Registro de Contêiner do Azure, como quando você está compilando imagens de contêiner ou automatizando fluxos de trabalho, a marca de serviço representa o grupo de prefixos de endereço IP que o Registro de Contêiner do Azure usa.
Durante a execução de tarefas, o Registro de Contêiner do Azure envia solicitações para recursos externos por meio dos endereços IP para marcas de serviço. Se um recurso externo for executado protegido por um firewall, ele exigirá uma regra de entrada para permitir esses endereços IP. Aplicar essas regras de entrada é uma prática comum para ajudar a garantir a segurança e o gerenciamento de acesso adequado em ambientes de nuvem.
Para saber mais sobre as tarefas do Registro de Contêiner do Azure, consulte Automatizar compilações e manutenção de imagem de contêiner com tarefas do Registro de Contêiner do Azure. Para saber como usar uma marca de serviço para configurar regras de acesso de firewall para tarefas do Registro de Contêiner do Azure, consulte Configurar regras para acessar um registro de contêiner do Azure protegido por um firewall.
Práticas recomendadas
Configurar e personalizar as regras de segurança de rede para permitir o tráfego da marca de serviço
AzureContainerRegistry
para recursos como importação de imagem, webhooks e tarefas do Registro de Contêiner do Azure, como números de porta e protocolos.Configurar regras de firewall para permitir o tráfego somente de intervalos de IP associados a marcas de serviço do Registro de Contêiner do Azure para cada recurso.
Detectar e impedir o tráfego não autorizado que não é proveniente de endereços IP do Registro de Contêiner do Azure para marcas de serviço.
Monitorar o tráfego de rede continuamente e revisar as configurações de segurança periodicamente para resolver o tráfego inesperado para cada recurso do Registro de Contêiner do Azure usando o Azure Monitor ou o Observador de Rede.