Compreender o acesso a um registo ligado
Para acessar e gerenciar um registro conectado, atualmente apenas a autenticação baseada em token ACR é suportada. Como mostrado na imagem a seguir, dois tipos diferentes de tokens são usados por cada registro conectado:
- Tokens de cliente - Um ou mais tokens que os clientes locais usam para autenticar com um registro conectado e enviar ou extrair imagens e artefatos para ou a partir dele.
- Token de sincronização - Um token usado por cada registro conectado para acessar seu pai e sincronizar conteúdo.
Importante
Armazene senhas de token para cada registro conectado em um local seguro. Depois de criadas, as senhas de token não podem ser recuperadas. Você pode regenerar senhas de token a qualquer momento.
Tokens de cliente
Para gerenciar o acesso do cliente a um registro conectado, crie tokens com escopo para ações em um ou mais repositórios. Depois de criar um token, configure o registro conectado para aceitar o token usando o comando az acr connected-registry update . Um cliente pode usar as credenciais de token para acessar um ponto de extremidade do registro conectado - por exemplo, para usar comandos da CLI do Docker para extrair ou enviar imagens para o registro conectado.
Suas opções para configurar ações de token de cliente dependem se o registro conectado permite operações push e pull ou funciona como um espelho somente pull.
- Um registro conectado no modo ReadWrite padrão permite operações pull e push, para que você possa criar um token que permita ações para ler e gravar conteúdo do repositório nesse registro.
- Para um registro conectado no modo Somente Leitura, os tokens de cliente só podem permitir ações para ler o conteúdo do repositório.
Gerenciar tokens de cliente
Atualize tokens de cliente, senhas ou mapas de escopo conforme necessário usando os comandos az acr token e az acr scope-map . As atualizações de token de cliente são propagadas automaticamente para os registros conectados que aceitam o token.
Token de sincronização
Cada registro conectado usa um token de sincronização para autenticar com seu pai imediato - que pode ser outro registro conectado ou o registro na nuvem. O registro conectado usa automaticamente esse token ao sincronizar o conteúdo com o pai ou executar outras atualizações.
- O token de sincronização e as senhas são gerados automaticamente quando você cria o recurso de registro conectado. Execute o comando az acr connected-registry install renew-credentials para regenerar as senhas.
- Inclua credenciais de token de sincronização na configuração usada para implantar o registro conectado localmente.
- Por padrão, o token de sincronização recebe permissão para sincronizar repositórios selecionados com seu pai. Você deve fornecer um token de sincronização existente ou um ou mais repositórios para sincronizar ao criar o recurso do Registro conectado.
- Ele também tem permissões para ler e gravar mensagens de sincronização em um gateway usado para se comunicar com o pai do registro conectado. Essas mensagens controlam o agendamento de sincronização e gerenciam outras atualizações entre o registro conectado e seu pai.
Gerenciar token de sincronização
Atualize tokens de sincronização, senhas ou mapas de escopo conforme necessário usando os comandos az acr token e az acr scope-map . As atualizações de token de sincronização são propagadas automaticamente para o registro conectado. Siga as práticas padrão de rotação de senhas ao atualizar o token de sincronização.
Nota
O token de sincronização não pode ser excluído até que o registro conectado associado ao token seja excluído. Você pode desabilitar um registro conectado definindo o status do token de sincronização como disabled.
Pontos de extremidade do Registro
As credenciais de token para registros conectados têm como escopo acessar pontos de extremidade de registro específicos:
Um token de cliente acessa o ponto de extremidade do registro conectado. O ponto de extremidade do Registro conectado é o URI do servidor de login, que normalmente é o endereço IP do servidor ou dispositivo que o hospeda.
Um token de sincronização acessa o ponto de extremidade do registro pai, que é outro ponto de extremidade do registro conectado ou o próprio registro na nuvem. Quando definido como escopo para acessar o registro na nuvem, o token de sincronização precisa alcançar dois pontos de extremidade do Registro:
- O nome do servidor de login totalmente qualificado, por exemplo,
contoso.azurecr.io. Este ponto de extremidade é usado para autenticação. - Um ponto de extremidade de dados regional totalmente qualificado para o registro na nuvem, por exemplo,
contoso.westus2.data.azurecr.io. Este ponto de extremidade é usado para trocar mensagens com o registro conectado para fins de sincronização.
- O nome do servidor de login totalmente qualificado, por exemplo,
Próximos passos
Continue para o seguinte artigo para saber mais sobre cenários específicos onde o registro conectado pode ser utilizado.