Freigeben über


Diensttags für Azure Container Registry

Diensttags helfen beim Festlegen von Regeln, um Datenverkehr zu einem bestimmten Azure-Dienst zuzulassen oder zu verweigern. Ein Diensttag stellt in Azure Container Registry (ACR) eine Gruppe von IP-Adresspräfixen dar, die global oder pro Azure-Region für den Zugriff auf den Dienst verwendet werden können. Azure Container Registry generiert Netzwerkdatenverkehr, der von einem Diensttag für Features wie Imageimport, Webhooks und Azure Container Registry-Tasks stammt.

Microsoft verwaltet die Adresspräfixe, die ein Diensttag umfasst. Microsoft aktualisiert ein Diensttag automatisch, wenn sich Adressen ändern, um die Komplexität häufiger Updates für Netzwerksicherheitsregeln zu minimieren.

Wenn Sie eine Firewall für eine Registrierung konfigurieren, stellt Azure Container Registry die Anforderungen über die IP-Adressen für die zugehörigen Diensttags bereit. Für die unter Firewallzugriffsregeln erwähnten Szenarios können Sie die ausgehende Firewallregel so konfigurieren, dass diese den Zugriff auf IP-Adressen von Azure Container Registry für Diensttags zulässt.

Imageimport

Azure Container Registry sendet Anforderungen an den externen Registrierungsdienst über die IP-Adressen von Diensttags, um Images herunterzuladen. Wenn der externe Registrierungsdienst hinter einer Firewall ausgeführt wird, ist eine Eingangsregel erforderlich, um IP-Adressen für Diensttags zuzulassen. Diese IPs fallen unter das AzureContainerRegistry-Diensttag, das die erforderlichen IP-Adressbereiche zum Importieren von Images aus öffentlichen Registrierungen oder Azure-Registrierungen enthält.

Azure stellt sicher, dass diese IP-Adressbereiche automatisch aktualisiert werden. Die Einrichtung dieses Sicherheitsprotokolls ist entscheidend für die Gewährleistung der Registrierungsintegrität und die Sicherstellung ihrer Verfügbarkeit.

Informationen zum Konfigurieren von Netzwerksicherheitsregeln und zum Zulassen des Datenverkehrs vom AzureContainerRegistry-Diensttag für den Imageimport in Azure Container Registry finden Sie unter Informationen über Registrierungsendpunkte. Ausführliche Schritte und einen Leitfaden zur Verwendung des Diensttags beim Imageimport finden Sie unter Importieren von Containerimages in eine Containerregistrierung.

webhooks

In Azure Container Registry verwenden Sie Diensttags zum Verwalten des Netzwerkdatenverkehrs für Features wie Webhooks, um sicherzustellen, dass ausschließlich vertrauenswürdige Quellen diese Ereignisse auslösen können. Wenn Sie einen Webhook in Azure Container Registry einrichten, kann dieser auf Ereignisse auf Registrierungsebene reagieren oder auf ein bestimmtes Repositorytag begrenzt werden. Bei georeplizierten Registrierungen konfigurieren Sie jeden Webhook so, dass er auf Ereignisse auf einem bestimmten regionalen Replikat reagiert.

Der Endpunkt für einen Webhook muss über die Registrierung öffentlich zugänglich sein. Sie können Registrierungsanforderungen für Webhooks konfigurieren, um sich bei einem gesicherten Endpunkt zu authentifizieren.

Azure Container Registry sendet die Anforderung über die IP-Adressen für Diensttags an den konfigurierten Webhookendpunkt. Wenn der Webhookendpunkt hinter einer Firewall ausgeführt wird, ist eine Eingangsregel erforderlich, um diese IP-Adressen zuzulassen. Um den Zugriff auf den Webhookendpunkt zu sichern, müssen Sie zudem die richtige Authentifizierung konfigurieren, um die Anforderung zu überprüfen.

Ausführliche Schritte zum Erstellen eines Webhooksetups finden Sie in der Dokumentation zu Azure Container Registry.

Azure Container Registry Tasks

Wenn Sie Azure Container Registry-Tasks verwenden, beispielsweise beim Erstellen von Containerimages oder beim Automatisieren von Workflows, stellt das Diensttag die Gruppe der IP-Adresspräfixe dar, die von Azure Container Registry verwendet werden.

Während der Ausführung von Tasks sendet Azure Container Registry Anforderungen über die IP-Adressen für Diensttags an externe Ressourcen. Wenn eine externe Ressource hinter einer Firewall ausgeführt wird, ist eine Eingangsregel erforderlich, um diese IP-Adressen zuzulassen. Das Anwenden dieser Eingangsregeln ist eine gängige Methode, um Sicherheit und eine ordnungsgemäße Zugriffsverwaltung in Cloudumgebungen sicherzustellen.

Weitere Informationen zu Azure Container Registry-Tasks finden Sie unter Automatisieren von Build- und Wartungsvorgängen für Containerimages mit Azure Container Registry-Tasks. Informationen zum Verwenden eines Diensttags, um Firewallzugriffsregeln für Azure Container Registry-Tasks einzurichten, finden Sie unter Konfigurieren von Regeln für den Zugriff auf eine Azure Container Registry-Instanz hinter einer Firewall.

Bewährte Methoden

  • Konfigurieren und Anpassen von Netzwerksicherheitsregeln, um Datenverkehr vom AzureContainerRegistry-Diensttag für Features wie Imageimport, Webhooks und Azure Container Registry-Tasks wie Portnummern und Protokolle zuzulassen

  • Einrichten von Firewallregeln, um Datenverkehr ausschließlich aus IP-Adressbereichen zuzulassen, die den Diensttags von Azure Container Registry für jedes Feature zugeordnet sind

  • Erkennen und Verhindern nicht autorisierten Datenverkehrs, der nicht von IP-Adressen von Azure Container Registry für Diensttags stammt

  • Kontinuierliches Überwachen des Netzwerkdatenverkehr und regelmäßiges Überprüfen der Sicherheitskonfigurationen, um auf unerwarteten Datenverkehr für jedes Feature in Azure Container Registry durch die Verwendung von Azure Monitor oder Network Watcher zu einzugehen