Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью реестра контейнеров Azure можно разрешить выбрать доверенные службы Azure для доступа к реестру, настроенного с помощью правил доступа к сети. Если вы разрешаете использование доверенных служб, доверенный экземпляр службы может безопасно обойти сетевые правила реестра и выполнять такие операции, как загрузка и отправка образов. В этой статье объясняется, как включить и использовать доверенные службы с реестром контейнеров Azure, ограниченным сетью.
Для выполнения примеров команд в этой статье используйте Azure Cloud Shell или локальный экземпляр Azure CLI. Используйте версию 2.18 или более поздней, чтобы запустить ее локально. Чтобы узнать версию, выполните команду az --version. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI 2.0.
Ограничения
- Для некоторых сценариев доступа к реестру с доверенными службами требуется управляемое удостоверение для ресурсов Azure. Если не указано, что поддерживается управляемое удостоверение, назначаемое пользователем, может быть использовано только удостоверение, назначаемое системой.
- Разрешение доверенных служб не применяется к реестру контейнеров, настроенному с конечной точкой службы. Эта функция влияет только на реестры, которые ограничены частной конечной точкой или регулируются правилами доступа из общедоступных IP-адресов.
О доверенных службах
Реестр контейнеров Azure имеет многоуровневую модель безопасности, которая поддерживает несколько конфигураций сети для ограничения доступа к реестру. К таким конфигурациям относятся:
- Частная конечная точка с Приватным каналом Azure. При настройке закрытая конечная точка реестра доступна только для ресурсов в пределах виртуальной сети с использованием частных IP-адресов.
- Правила брандмауэра реестра, которые разрешают доступ к общедоступной конечной точке реестра только из конкретных общедоступных IP-адресов или диапазонов адресов. Вы также можете настраивать брандмауэр, чтобы блокировать доступ к общедоступной конечной точке при использовании частных конечных точек.
При развертывании реестра в виртуальной сети или его настройке с помощью правил брандмауэра он запрещает доступ к пользователям или службам за пределами этих источников.
Несколько мультитенантных служб Azure работают из сетей, которые нельзя включить в эти параметры сети реестра. В результате эти службы не могут выполнять такие операции, как извлечение или отправка образов в реестр. Определив некоторые экземпляры службы как "доверенные", владелец реестра может разрешить выбранным ресурсам Azure безопасно обходить сетевые параметры реестра для выполнения операций с реестром.
Доверенные службы
Экземпляры следующих служб могут получить доступ к реестру контейнеров с ограниченным сетевым доступом, если включен параметр реестра Allow Trusted Services (по умолчанию). Со временем будет добавлено больше услуг.
Где указано, доступ со стороны доверенной службы требует дополнительной настройки управляемого удостоверения в экземпляре службы, назначения роли RBAC и проверки подлинности в реестре. Примеры действий см. в разделе Рабочий процесс доверенных служб далее в этой статье.
| Доверенная служба | Поддерживаемые сценарии использования | Настройка управляемого удостоверения с ролью RBAC |
|---|---|---|
| Экземпляры контейнеров Azure | Развертывание в службе "Экземпляры контейнеров Azure" из реестра контейнеров Azure с использованием управляемого удостоверения | Да, назначаемое системой удостоверение или удостоверение, назначаемое пользователем |
| Microsoft Defender для облака | Сканирование уязвимостей с помощью Microsoft Defender для реестров контейнеров | Нет |
| Машинное обучение | Развертывание или обучение модели в рабочей области Машинного обучения Azure с помощью пользовательского образа контейнера Docker | Да |
| Реестр контейнеров Azure | Импорт изображений в реестр контейнеров Azure с ограниченным доступом к сети или из него | Нет |
Примечание.
В настоящее время включение allow trusted services параметра не применяется к службе приложений.
Разрешение использовать доверенные службы (CLI)
По умолчанию параметр Allow Trusted Services (Разрешить доверенные службы) в новом реестре контейнеров Azure включен. Отключить или включить этот параметр можно, выполнив команду az acr update.
Чтобы отключить:
az acr update --name myregistry --allow-trusted-services false
Чтобы включить параметр в существующем реестре или в реестре, где он может быть уже отключен:
az acr update --name myregistry --allow-trusted-services true
Разрешение использовать доверенные службы (портал)
По умолчанию параметр Allow Trusted Services (Разрешить доверенные службы) в новом реестре контейнеров Azure включен.
Чтобы отключить или повторно включить параметр на портале:
- На портале перейдите к нужному реестру контейнеров.
- В разделе Параметры выберите Сеть.
- В окне Allow public network access (Разрешить доступ к общедоступной сети) выберите Выбранные сети или Отключено.
- Выполните один из следующих шагов:
- Чтобы отключить доступ доверенных служб, в разделе Firewall exception (Исключение брандмауэра) снимите флажок Allow trusted Microsoft services to access this container registry (Разрешить доверенным службам Майкрософт доступ к этому реестру контейнеров).
- Чтобы разрешить доступ доверенных служб, в разделе Firewall exception (Исключение брандмауэра) установите флажок Allow trusted Microsoft services to access this container registry (Разрешить доверенным службам Майкрософт доступ к этому реестру контейнеров).
- Выберите Сохранить.
Рабочий процесс доверенных служб
Ниже приведен типичный рабочий процесс, позволяющий экземпляру доверенной службы получить доступ к реестру контейнеров с ограниченным сетевым доступом. Этот рабочий процесс необходим при использовании управляемого удостоверения экземпляра службы для обхода сетевых правил реестра.
- Активируйте управляемое удостоверение для одного из экземпляров доверенных служб в Реестре контейнеров Azure.
- Назначьте идентификатор ролью Azure в вашем реестре. Например, назначьте
Container Registry Repository Reader(для реестров с поддержкой ABAC) илиAcrPull(для реестров, отличных от ABAC). - Настройте параметр в реестре, ограниченном сетью, чтобы разрешить доступ доверенным службам.
- Используйте учетные данные удостоверения для проверки подлинности в реестре с ограниченным сетевым доступом.
- Получайте образы из реестра или выполняйте другие операции, разрешенные этой ролью.
Следующие шаги
- Чтобы ограничить доступ к реестру, используя частную конечную точку в виртуальной сети, см. статью Настройка Приватного канала Azure для реестра контейнеров Azure.
- Сведения о настройке правил брандмауэра для реестра см. в разделе Настройка сетевых правил для общедоступных IP-адресов.