Azure Container Registry için hizmet etiketleri

  • Makale

Hizmet etiketleri, belirli bir Azure hizmetine gelen trafiğe izin vermek veya trafiği reddetmek için kuralların ayarlanmasına yardımcı olur. Azure Container Registry'de hizmet etiketi, hizmete genel olarak veya Azure bölgesi başına erişmek için kullanılabilecek bir IP adresi ön eki grubunu temsil eder. Azure Container Registry, görüntü içeri aktarma, web kancaları ve Azure Container Registry görevleri gibi özellikler için bir hizmet etiketinden kaynaklanan ağ trafiği oluşturur.

Microsoft, bir hizmet etiketinin kapsadığını adres ön eklerini yönetir. Microsoft, ağ güvenlik kurallarında sık sık yapılan güncelleştirmelerin karmaşıklığını en aza indirmek için adresler değiştikçe bir hizmet etiketini otomatik olarak güncelleştirir.

Bir kayıt defteri için güvenlik duvarı yapılandırdığınızda Azure Container Registry, hizmet etiketleri için IP adreslerinde istekler sağlar. Güvenlik duvarı erişim kurallarında belirtilen senaryolar için, hizmet etiketleri için Azure Container Registry IP adreslerine erişime izin vermek üzere güvenlik duvarı giden kuralını yapılandırabilirsiniz.

Görüntü içeri aktarma

Azure Container Registry, görüntüleri indirmek için hizmet etiketi IP adresleri aracılığıyla dış kayıt defteri hizmetine istek gönderir. Dış kayıt defteri hizmeti bir güvenlik duvarının arkasında çalışıyorsa, hizmet etiketleri için IP adreslerine izin vermek için bir gelen kuralı gerekir. Bu IP'ler, genel veya Azure kayıt defterlerinden görüntüleri içeri aktarmak için gerekli IP aralıklarını içeren hizmet etiketinin altına AzureContainerRegistry girer.

Azure, bu IP aralıklarının otomatik olarak güncelleştirilmesini sağlar. Bu güvenlik protokolünü oluşturmak, kayıt defterinin bütünlüğünü korumak ve kullanılabilirliğini sağlamak için çok önemlidir.

Azure Container Registry'de görüntü içeri aktarma için ağ güvenlik kurallarını yapılandırmak ve hizmet etiketinden gelen AzureContainerRegistry trafiğe izin vermek için bkz . Kayıt defteri uç noktaları hakkında. Görüntü içeri aktarma sırasında hizmet etiketini kullanma hakkında ayrıntılı adımlar ve yönergeler için bkz . Kapsayıcı görüntülerini kapsayıcı kayıt defterine aktarma.

Web kancaları

Azure Container Registry'de, yalnızca güvenilen kaynakların bu olayları tetikleyebilmesini sağlamak amacıyla web kancaları gibi özelliklerin ağ trafiğini yönetmek için hizmet etiketlerini kullanırsınız. Azure Container Registry'de bir web kancası ayarladığınızda, bu web kancası kayıt defteri düzeyindeki olaylara yanıt verebilir veya kapsamı belirli bir depo etiketine daraltılabilir. Coğrafi olarak çoğaltılan kayıt defterleri için, her web kancasını belirli bir bölgesel çoğaltmadaki olaylara yanıt verecek şekilde yapılandırabilirsiniz.

Web kancasının uç noktası kayıt defterinden genel olarak erişilebilir olmalıdır. Güvenli bir uç noktada kimlik doğrulaması yapmak için kayıt defteri web kancası isteklerini yapılandırabilirsiniz.

Azure Container Registry, hizmet etiketlerinin IP adresleri aracılığıyla isteği yapılandırılan web kancası uç noktasına gönderir. Web kancası uç noktası bir güvenlik duvarının arkasında çalışıyorsa, bu IP adreslerine izin vermek için bir gelen kuralı gerekir. Web kancası uç noktası erişiminin güvenliğini sağlamaya yardımcı olmak için, isteği doğrulamak için uygun kimlik doğrulamasını da yapılandırmanız gerekir.

Web kancası kurulumu oluşturmayla ilgili ayrıntılı adımlar için Azure Container Registry belgelerine bakın.

Azure Container Registry görevleri

Kapsayıcı görüntüleri oluştururken veya iş akışlarını otomatikleştirirken olduğu gibi Azure Container Registry görevlerini kullanırken, hizmet etiketi Azure Container Registry'nin kullandığı IP adresi ön ekleri grubunu temsil eder.

Görevlerin yürütülmesi sırasında Azure Container Registry, hizmet etiketlerinin IP adresleri aracılığıyla dış kaynaklara istek gönderir. Dış kaynak bir güvenlik duvarının arkasında çalışıyorsa, bu IP adreslerine izin vermek için bir gelen kuralı gerekir. Bu gelen kuralları uygulamak, bulut ortamlarında güvenlik ve uygun erişim yönetimi sağlamaya yardımcı olan yaygın bir uygulamadır.

Azure Container Registry görevleri hakkında daha fazla bilgi edinmek için bkz . Azure Container Registry görevleriyle kapsayıcı görüntüsü derlemelerini ve bakımını otomatikleştirme. Azure Container Registry görevleri için güvenlik duvarı erişim kurallarını ayarlamak üzere hizmet etiketi kullanmayı öğrenmek için bkz . Güvenlik duvarının arkasındaki Azure kapsayıcı kayıt defterine erişmek için kuralları yapılandırma.

En iyi yöntemler

  • Bağlantı noktası numaraları ve protokoller gibi görüntü içeri aktarma, web kancaları ve Azure Container Registry görevleri gibi özellikler için hizmet etiketinden gelen AzureContainerRegistry trafiğe izin verecek şekilde ağ güvenlik kurallarını yapılandırın ve özelleştirin.

  • Her özellik için yalnızca Azure Container Registry hizmet etiketleriyle ilişkili IP aralıklarından gelen trafiğe izin vermek için güvenlik duvarı kuralları ayarlayın.

  • Hizmet etiketleri için Azure Container Registry IP adreslerinden kaynaklanmayan yetkisiz trafiği algılayın ve engelleyin.

  • Azure İzleyici veya Ağ İzleyicisi kullanarak ağ trafiğini sürekli izleyin ve her Azure Container Registry özelliğinin beklenmeyen trafiğini gidermek için güvenlik yapılandırmalarını düzenli aralıklarla gözden geçirin.