Güvenilen hizmetlerin ağ ile kısıtlanmış bir kapsayıcı kayıt defterine güvenli bir şekilde erişmesine izin verme
Azure Container Registry, belirli güvenilen Azure hizmetlerinin ağ erişim kurallarıyla yapılandırılmış bir kayıt defterine erişmesine izin verebilir. Güvenilen hizmetlere izin verildiğinde, güvenilir bir hizmet örneği kayıt defterinin ağ kurallarını güvenli bir şekilde atlayabilir ve çekme veya gönderme görüntüleri gibi işlemler gerçekleştirebilir. Bu makalede, ağ ile kısıtlanmış bir Azure kapsayıcı kayıt defteriyle güvenilen hizmetlerin nasıl etkinleştirileceği ve kullanılacağı açıklanmaktadır.
Bu makaledeki komut örneklerini çalıştırmak için Azure Cloud Shell'i veya Azure CLI'nın yerel yüklemesini kullanın. Yerel olarak kullanmak isterseniz, sürüm 2.18 veya üzeri gereklidir. Sürümü bulmak için az --version komutunu çalıştırın. Yüklemeniz veya yükseltmeniz gerekirse, bkz. Azure CLI yükleme.
Sınırlamalar
- Güvenilen hizmetlere sahip bazı kayıt defteri erişim senaryoları, Azure kaynakları için yönetilen kimlik gerektirir. Kullanıcı tarafından atanan yönetilen kimliğin desteklendiğinin belirtilmesi dışında, yalnızca sistem tarafından atanan bir kimlik kullanılabilir.
- Güvenilen hizmetlere izin vermek, hizmet uç noktasıyla yapılandırılmış bir kapsayıcı kayıt defteri için geçerli değildir. Bu özellik yalnızca özel uç noktayla kısıtlanmış veya genel IP erişim kuralları uygulanmış kayıt defterlerini etkiler.
Güvenilen hizmetler hakkında
Azure Container Registry'de, bir kayıt defterine erişimi kısıtlayan birden çok ağ yapılandırmasını destekleyen katmanlı bir güvenlik modeli vardır, örneğin:
- Azure Özel Bağlantı ile özel uç nokta. Yapılandırıldığında, özel IP adresleri kullanılarak bir kayıt defterinin özel uç noktasına yalnızca sanal ağ içindeki kaynaklar erişebilir.
- Kayıt defterinin genel uç noktasına yalnızca belirli genel IP adreslerinden veya adres aralıklarından erişim sağlayan kayıt defteri güvenlik duvarı kuralları. Özel uç noktaları kullanırken güvenlik duvarını genel uç noktaya tüm erişimi engelleyecek şekilde de yapılandırabilirsiniz.
Bir sanal ağda dağıtıldığında veya güvenlik duvarı kurallarıyla yapılandırıldığında, kayıt defteri söz konusu kaynakların dışındaki kullanıcılara veya hizmetlere erişimi reddeder.
Birçok çok kiracılı Azure hizmeti, bu kayıt defteri ağ ayarlarına eklenmeyen ağlardan çalışır ve kayıt defterine görüntü çekme veya gönderme gibi işlemler gerçekleştirmelerini engeller. Bir kayıt defteri sahibi, belirli hizmet örneklerini "güvenilir" olarak belirleyerek, kayıt defteri işlemlerini gerçekleştirmek için belirli Azure kaynaklarının kayıt defterinin ağ ayarlarını güvenli bir şekilde atlamasına izin verebilir.
Güvenilen hizmetler
Kayıt defterinin güvenilen hizmetlere izin ver ayarı etkinse (varsayılan) aşağıdaki hizmetlerin örnekleri ağ ile kısıtlanmış bir kapsayıcı kayıt defterine erişebilir. Zaman içinde daha fazla hizmet eklenecektir.
Belirtildiğinde, güvenilen hizmet tarafından erişim için bir hizmet örneğinde yönetilen kimliğin ek yapılandırılması, RBAC rolü ataması ve kayıt defteriyle kimlik doğrulaması gerekir. Örneğin, bu makalenin devamında yer alan Güvenilen hizmetler iş akışı bölümüne bakın.
| Güvenilen hizmet | Desteklenen kullanım senaryoları | RBAC rolüyle yönetilen kimliği yapılandırma |
|---|---|---|
| Azure Container Instances | Yönetilen kimlik kullanarak Azure Container Registry'den Azure Container Instances'a dağıtma | Evet, sistem tarafından atanan veya kullanıcı tarafından atanan kimlik |
| Bulut için Microsoft Defender | Kapsayıcı kayıt defterleri için Microsoft Defender tarafından güvenlik açığı taraması | Hayır |
| ACR Görevleri | ACR Görevinden üst kayıt defterine veya farklı bir kayıt defterine erişme | Yes |
| Machine Learning | Özel docker kapsayıcı görüntüsü kullanarak Machine Learning çalışma alanında model dağıtma veya eğitma | Yes |
| Azure Container Registry | Ağ ile kısıtlanmış bir Azure kapsayıcı kayıt defterine veya bu kayıt defterinden görüntü içeri aktarma | Hayır |
Not
Şu anda, güvenilen hizmetlere izin ver ayarının etkinleştirilmesi App Service için geçerli değildir.
Güvenilen hizmetlere izin ver - CLI
Varsayılan olarak, güvenilen hizmetlere izin ver ayarı yeni bir Azure kapsayıcı kayıt defterinde etkinleştirilir. az acr update komutunu çalıştırarak ayarı devre dışı bırakın veya etkinleştirin.
Devre dışı bırakmak için:
az acr update --name myregistry --allow-trusted-services false
Ayarı mevcut bir kayıt defterinde veya zaten devre dışı bırakılmış bir kayıt defterinde etkinleştirmek için:
az acr update --name myregistry --allow-trusted-services true
Güvenilen hizmetlere izin ver - portal
Varsayılan olarak, güvenilen hizmetlere izin ver ayarı yeni bir Azure kapsayıcı kayıt defterinde etkinleştirilir.
Portalda ayarı devre dışı bırakmak veya yeniden etkinleştirmek için:
- Portalda kapsayıcı kayıt defterinize gidin.
- Ayarlar'ın altında Ağ'ı seçin.
- Genel ağ erişimine izin ver bölümünde Seçili ağlar veya Devre Dışı'yı seçin.
- Aşağıdakilerden birini yapın:
- Güvenilen hizmetlerin erişimini devre dışı bırakmak için Güvenlik duvarı özel durumu altında Güvenilen Microsoft hizmetleri bu kapsayıcı kayıt defterine erişmesine izin ver seçeneğinin işaretini kaldırın.
- Güvenilen hizmetlere izin vermek için Güvenlik duvarı özel durumu altında Güvenilen Microsoft hizmetleri bu kapsayıcı kayıt defterine erişmesine izin ver'i işaretleyin.
- Kaydet'i seçin.
Güvenilen hizmetler iş akışı
Aşağıda, güvenilir bir hizmet örneğinin ağ ile kısıtlanmış bir kapsayıcı kayıt defterine erişmesini sağlayan tipik bir iş akışı verilmiştır. Bu iş akışı, bir hizmet örneğinin yönetilen kimliği kayıt defterinin ağ kurallarını atlamak için kullanıldığında gereklidir.
- Azure Container Registry için güvenilen hizmetlerden birinin örneğinde yönetilen kimliği etkinleştirin.
- Kimliği kayıt defterinize bir Azure rolü atayın. Örneğin, kapsayıcı görüntülerini çekmek için ACRPull rolünü atayın.
- Ağ ile kısıtlanmış kayıt defterinde, ayarı güvenilen hizmetler tarafından erişime izin verecek şekilde yapılandırın.
- Ağ kısıtlamalı kayıt defteriyle kimlik doğrulaması yapmak için kimliğin kimlik bilgilerini kullanın.
- Kayıt defterinden görüntüleri çekin veya rol tarafından izin verilen diğer işlemleri gerçekleştirin.
Örnek: ACR Görevleri
Aşağıdaki örnekte, ACR Görevlerinin güvenilir bir hizmet olarak kullanılması gösterilmektedir. Görev ayrıntıları için bkz . Azure tarafından yönetilen kimlik kullanarak ACR görevinde kayıt defterleri arası kimlik doğrulaması.
- Azure kapsayıcı kayıt defteri oluşturma veya güncelleştirme.
ACR görevi oluşturun .
- Görevi oluştururken sistem tarafından atanan yönetilen kimliği etkinleştirin.
- Görevin varsayılan kimlik doğrulama modunu (
--auth-mode None) devre dışı bırakın.
- Görev kimliğine kayıt defterine erişmek için bir Azure rolü atayın. Örneğin, görüntüleri çekme ve gönderme izinlerine sahip olan AcrPush rolünü atayın.
- Göreve kayıt defteri için yönetilen kimlik kimlik bilgilerini ekleyin.
- Görevin ağ kısıtlamalarını atladığını onaylamak için kayıt defterinde genel erişimi devre dışı bırakın.
- Görevi çalıştırın. Kayıt defteri ve görev düzgün yapılandırılırsa, kayıt defteri erişime izin verdiğinden görev başarıyla çalıştırılır.
Güvenilen hizmetler tarafından erişimi devre dışı bırakmayı test etmek için:
- Güvenilen hizmetler tarafından erişime izin verme ayarını devre dışı bırakın.
- Görevi yeniden çalıştırın. Bu durumda, kayıt defteri artık görev tarafından erişime izin vermediğinden görev çalıştırması başarısız olur.
Sonraki adımlar
- Sanal ağda özel uç nokta kullanarak kayıt defterine erişimi kısıtlamak için bkz. Azure kapsayıcı kayıt defteri için Azure Özel Bağlantı yapılandırma.
- Kayıt defteri güvenlik duvarı kurallarını ayarlamak için bkz . Genel IP ağ kurallarını yapılandırma.