Tjänsttaggar för Azure Container Registry

Tjänsttaggar hjälper dig att ange regler för att tillåta eller neka trafik till en specifik Azure-tjänst. I Azure Container Registry representerar en tjänsttagg en grupp IP-adressprefix som kan användas för att komma åt tjänsten antingen globalt eller per Azure-region. Azure Container Registry genererar nätverkstrafik som kommer från en tjänsttagg för funktioner som avbildningsimport, webhooks och Azure Container Registry-uppgifter.

Microsoft hanterar adressprefixen som en tjänsttagg omfattar. Microsoft uppdaterar automatiskt en tjänsttagg när adresserna ändras för att minimera komplexiteten i frekventa uppdateringar av nätverkssäkerhetsregler.

När du konfigurerar en brandvägg för ett register hanterar Azure Container Registry begäranden på IP-adresserna för dess tjänsttaggar. För de scenarier som nämns i brandväggens åtkomstregler kan du konfigurera brandväggens utgående regel för att tillåta åtkomst till Azure Container Registry IP-adresser för tjänsttaggar.

Bildimport

Azure Container Registry skickar begäranden till den externa registertjänsten via tjänsttagg-IP-adresser för att ladda ned avbildningar. Om den externa registertjänsten körs bakom en brandvägg krävs en regel för inkommande trafik för att tillåta IP-adresser för tjänsttaggar. Dessa IP-adresser omfattas av AzureContainerRegistry tjänsttaggen, som innehåller nödvändiga IP-intervall för import av avbildningar från offentliga register eller Azure-register.

Azure ser till att dessa IP-intervall uppdateras automatiskt. Att upprätta det här säkerhetsprotokollet är avgörande för att upprätthålla registrets integritet och säkerställa dess tillgänglighet.

Information om hur du konfigurerar nätverkssäkerhetsregler och tillåter trafik från AzureContainerRegistry tjänsttaggen för avbildningsimport i Azure Container Registry finns i Om registerslutpunkter. Detaljerade anvisningar om hur du använder tjänsttaggen under avbildningsimporten finns i Importera containeravbildningar till ett containerregister.

Webhook

I Azure Container Registry använder du tjänsttaggar för att hantera nätverkstrafik för funktioner som webhooks för att säkerställa att endast betrodda källor kan utlösa dessa händelser. När du konfigurerar en webhook i Azure Container Registry kan den svara på händelser på registernivå eller begränsas till en specifik lagringsplatstagg. För geo-replikerade register konfigurerar du varje webhook för att svara på händelser i en specifik regional replik.

Slutpunkten för en webhook måste vara offentligt tillgänglig från registret. Du kan konfigurera webhooksbegäranden för registret för att autentisera till en säker slutpunkt.

Azure Container Registry skickar begäran till den konfigurerade webhook-slutpunkten via IP-adresserna för tjänsttaggar. Om webhookens slutpunkt körs bakom en brandvägg krävs en regel för inkommande trafik för att tillåta dessa IP-adresser. För att skydda webhook-slutpunktsåtkomsten måste du även konfigurera rätt autentisering för att verifiera begäran.

Detaljerade steg för att skapa en webhook-konfiguration finns i dokumentationen om Azure Container Registry.

Azure Container Registry-uppgifter

När du använder Azure Container Registry-uppgifter, till exempel när du skapar containeravbildningar eller automatiserar arbetsflöden, representerar tjänsttaggen den grupp med IP-adressprefix som Azure Container Registry använder.

Under körningen av uppgifter skickar Azure Container Registry begäranden till externa resurser via IP-adresserna för tjänsttaggar. Om en extern resurs körs bakom en brandvägg krävs en regel för inkommande trafik för att tillåta dessa IP-adresser. Att tillämpa dessa regler för inkommande trafik är en vanlig metod för att säkerställa säkerhet och korrekt åtkomsthantering i molnmiljöer.

Mer information om Azure Container Registry-uppgifter finns i Automatisera containeravbildningsversioner och underhåll med Azure Container Registry-uppgifter. Information om hur du använder en tjänsttagg för att konfigurera brandväggsåtkomstregler för Azure Container Registry-uppgifter finns i Konfigurera regler för åtkomst till ett Azure-containerregister bakom en brandvägg.

Bästa praxis

  • Konfigurera och anpassa nätverkssäkerhetsregler för att tillåta trafik från AzureContainerRegistry tjänsttaggen för funktioner som avbildningsimport, webhooks och Azure Container Registry-uppgifter, till exempel portnummer och protokoll.

  • Konfigurera brandväggsregler för att tillåta trafik enbart från IP-intervall som är associerade med Azure Container Registry-tjänsttaggar för varje funktion.

  • Identifiera och förhindra obehörig trafik som inte kommer från Azure Container Registry IP-adresser för tjänsttaggar.

  • Övervaka nätverkstrafiken kontinuerligt och granska säkerhetskonfigurationer regelbundet för att hantera oväntad trafik för varje Azure Container Registry-funktion med hjälp av Azure Monitor eller Network Watcher.