Использование управляемого удостоверения для проверки подлинности в реестре контейнеров Azure

Вы можете использовать управляемое удостоверение для ресурсов Azure для проверки подлинности в реестре контейнеров Azure из другого ресурса Azure без необходимости предоставлять учетные данные реестра или управлять ими.

Например, настройте назначаемое пользователем или назначаемое системой управляемое удостоверение на виртуальной машине Linux для доступа к образам контейнеров из реестра контейнеров, так же легко, как и в общедоступном реестре. Кроме того, настройте кластер службы Azure Kubernetes, чтобы использовать управляемое удостоверение для извлечения образов контейнеров из реестра контейнеров Azure для развертываний pod.

Обзор управляемых удостоверений в Azure см. в статье "Что такое управляемые удостоверения для ресурсов Azure"?

Вы можете назначить управляемое удостоверение ролью с правами только на извлечение, на отправку и извлечение или с другими разрешениями в одном или нескольких частных реестрах в Azure. Полный список ролей реестра см. в обзоре разрешений и ролей реестра контейнеров Azure.

Затем используйте удостоверение для проверки подлинности в любой службе, поддерживающей управляемые удостоверения, без каких-либо учетных данных в коде.

В этой статье вы узнаете, как:

Включите пользовательское удостоверение или системное удостоверение на виртуальной машине Azure (ВМ).
Предоставить доступ идентификатору к контейнерному реестру Azure
Использовать управляемое удостоверение для доступа к реестру и извлечения образа контейнера

Предпосылки

Чтобы выполнить действия, описанные в этой статье, можно использовать Azure CLI или Azure PowerShell. Используйте последнюю версию любого средства. Если у вас нет установленного средства, см. статью "Установка Azure CLI " или "Установка Azure PowerShell".

Чтобы настроить реестр контейнеров и отправить в него образ контейнера, необходимо также установить Docker локально. Docker предоставляет пакеты, которые позволяют быстро настроить Docker в системе под управлением macOS, Windows или Linux.

Если у вас еще нет реестра контейнеров Azure, создайте реестр и отправьте в него образ контейнера. Выполните действия по созданию реестра с помощью Azure CLI, Azure PowerShell или портала Azure.

В этой статье предполагается, что у вас есть aci-helloworld:v1 образ контейнера, хранящийся в реестре. В примерах используется имя реестра myContainerRegistry. Эти значения можно заменить собственными именами реестра и образов.

Создание и настройка виртуальной машины с поддержкой Docker

Создайте виртуальную машину Ubuntu с поддержкой Docker для использования с управляемым удостоверением. Кроме того, необходимо установить Azure CLI или Azure PowerShell на виртуальной машине в зависимости от того, какое средство вы хотите использовать.

Если у вас уже установлена виртуальная машина Azure с помощью Azure CLI или Azure PowerShell, вы можете перейти к следующему разделу.

Развертывание виртуальной машины Ubuntu Azure по умолчанию с помощью az vm create. В следующем примере создается виртуальная машина с именем myDockerVM в существующей группе ресурсов с именем myResourceGroup:

az vm create \
    --resource-group myResourceGroup \
    --name myDockerVM \
    --image Ubuntu2204 \
    --admin-username azureuser \
    --generate-ssh-keys

Создание виртуальной машины занимает несколько минут. После завершения команды обратите внимание на publicIpAddress, отображаемый в Azure CLI. Используйте этот адрес для подключения SSH к виртуальной машине на следующем шаге.

Развертывание виртуальной машины Ubuntu Azure по умолчанию с помощью New-AzVM. В следующем примере создается виртуальная машина с именем myDockerVM в существующей группе ресурсов с именем myResourceGroup. Вам будет предложено указать имя пользователя, которое вы используете при подключении к виртуальной машине. Укажите azureuser в качестве имени пользователя. Вы также запрашиваете пароль, который можно оставить пустым. Проверка подлинности паролей для виртуальной машины отключена при использовании ключа SSH.

$vmParams = @{
    ResourceGroupName   = 'MyResourceGroup'
    Name                = 'myDockerVM'
    Image               = 'UbuntuLTS'
    PublicIpAddressName = 'myPublicIP'
    GenerateSshKey      = $true
    SshKeyName          = 'mySSHKey'
}
New-AzVM @vmParams

Создание виртуальной машины занимает несколько минут. По завершении команды выполните следующую команду, чтобы получить общедоступный IP-адрес. Используйте этот адрес для подключения SSH к виртуальной машине на следующем шаге.

Get-AzPublicIpAddress -Name myPublicIP -ResourceGroupName myResourceGroup | Select-Object -ExpandProperty IpAddress

Установка Docker на виртуальной машине

Затем установите Docker на виртуальной машине, чтобы он смог извлечь и запустить образы контейнеров из реестра контейнеров Azure.

После запуска виртуальной машины создайте подключение SSH к виртуальной машине. Замените publicIpAddress общедоступным IP-адресом виртуальной машины.

ssh azureuser@publicIpAddress

Выполните следующую команду, чтобы установить Docker на виртуальной машине:

sudo apt update
sudo apt install docker.io -y

После установки выполните следующую команду, чтобы проверить правильность работы Docker на виртуальной машине:

sudo docker run -it mcr.microsoft.com/hello-world

Hello from Docker!
This message shows that your installation appears to be working correctly.
[...]

Установка Azure CLI или Azure PowerShell на виртуальной машине

Azure CLI
Azure PowerShell

Выполните действия, описанные в статье Установка Azure CLI с помощью apt, чтобы установить Azure CLI на виртуальной машине Ubuntu. Для этой статьи обязательно установите последнюю версию.

После установки Azure CLI выйдите из сеанса SSH.

Выполните действия по установке PowerShell в Ubuntu и установите модуль Azure Az PowerShell , чтобы установить PowerShell и Azure PowerShell на виртуальной машине Ubuntu. В этой статье обязательно установите Azure PowerShell версии 7.5.0 или более поздней.

В зависимости от настройки вашей виртуальной машины, вам может потребоваться использовать sudo, чтобы выполнять команды Azure PowerShell и команды Docker в этой статье.

После установки Azure PowerShell выйдите из сеанса SSH.

Настройте виртуальную машину с управляемым удостоверением, назначенным пользователем

Управляемое удостоверение, назначаемое пользователем , — это автономный ресурс Azure, управляемый отдельно от ресурсов, использующих его. Управляемое удостоверение, назначаемое пользователем, можно связать с несколькими ресурсами Azure.

В этом разделе объясняется, как настроить виртуальную машину с удостоверением, назначенным пользователем, для безопасного доступа к реестру контейнеров Azure.

Создание управляемой идентичности, назначаемой пользователем

Azure CLI
Azure PowerShell

Создайте удостоверение в подписке с помощью команды az identity create . Вы можете использовать ту же группу ресурсов, которую вы использовали ранее для создания реестра контейнеров или виртуальной машины, или выбрать другую.

az identity create --resource-group myResourceGroup --name myACRId

Чтобы настроить удостоверение на следующих шагах, выполните команду az identity show для сохранения идентификатора ресурса и идентификатора субъекта-службы удостоверения в переменных.

# Get resource ID of the user-assigned identity
userID=$(az identity show --resource-group myResourceGroup --name myACRId --query id --output tsv)

# Get service principal ID of the user-assigned identity
spID=$(az identity show --resource-group myResourceGroup --name myACRId --query principalId --output tsv)

Вам понадобится идентификатор удостоверения на следующем шаге при входе в интерфейс командной строки из виртуальной машины, отобразите значение:

echo $userID

Идентификатор имеет форму:

/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myACRId

Создайте идентификацию в вашей подписке с помощью командлета New-AzUserAssignedIdentity. Вы можете использовать ту же группу ресурсов, которую вы использовали ранее для создания реестра контейнеров или виртуальной машины, или выбрать другую.

New-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Location eastus -Name myACRId

Чтобы настроить удостоверение на следующих шагах, используйте командлет Get-AzUserAssignedIdentity для сохранения идентификатора ресурса удостоверения и идентификатора основного субъекта в переменных.

# Get resource ID of the user-assigned identity
$userID = (Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name myACRId).Id

# Get service principal ID of the user-assigned identity
$spID = (Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name myACRId).PrincipalId

Поскольку на следующем этапе, при входе в Azure PowerShell с виртуальной машины, вам понадобится идентификатор удостоверения, отобразите это значение.

$userID

Идентификатор имеет форму:

/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myACRId

Настройка виртуальной машины с управляемым удостоверением, назначенным пользователем

Затем настройте виртуальную машину Docker, чтобы использовать назначаемое пользователем удостоверение, созданное на предыдущем шаге.

Azure CLI
Azure PowerShell

Используется az vm identity assign для настройки виртуальной машины с помощью идентификатора, полученного на предыдущем шаге:

az vm identity assign --resource-group myResourceGroup --name myDockerVM --identities $userID

Используется Update-AzVM для настройки виртуальной машины с помощью идентификатора, полученного на предыдущем шаге:

$vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myDockerVM
Update-AzVM -ResourceGroupName myResourceGroup -VM $vm -IdentityType UserAssigned -IdentityID $userID

Предоставьте управляемому удостоверению, назначенному пользователем, доступ к реестру контейнеров

Теперь настройте идентификатор так, чтобы обеспечить его доступ к реестру контейнеров.

Необходимо назначить Container Registry Repository Reader (для реестров с поддержкой ABAC) или AcrPull (для реестров, отличных от ABAC). Это назначение роли предоставляет разрешения на загрузку данных в регистре.

Чтобы предоставить разрешения на вытягивание и отправку, назначьте либо роль Container Registry Repository Writer для реестров с поддержкой ABAC, либо роль AcrPush для реестров без поддержки ABAC.

Azure CLI
Azure PowerShell

Используйте az acr show для получения идентификатора ресурса реестра:

resourceID=$(az acr show --resource-group myResourceGroup --name myContainerRegistry --query id --output tsv)

Используется az role assignment create для назначения требуемой роли идентификатору. В этом примере назначается роль Container Registry Repository Reader, которая предоставляет только права на извлечение из реестра, поддерживающего ABAC.

az role assignment create --assignee $spID --scope $resourceID \
    --role "Container Registry Repository Reader" # For ABAC-enabled registries. Otherwise, use AcrPull for non-ABAC registries.

Используйте Get-AzContainerRegistry для получения идентификатора ресурса реестра:

$resourceID = (Get-AzContainerRegistry -ResourceGroupName myResourceGroup -Name myContainerRegistry).Id

Используйте New-AzRoleAssignment для назначения желаемой роли идентификатору. В этом примере назначается роль Container Registry Repository Reader, которая предоставляет разрешения только на вытягивание в реестре с включенной поддержкой ABAC.

New-AzRoleAssignment -ObjectId $spID -Scope $resourceID -RoleDefinitionName "Container Registry Repository Reader"

Используйте назначенное пользователем управляемое удостоверение для доступа к реестру

SSH в виртуальную машину Docker, настроенную с использованием удостоверения, а затем выполните следующие команды, чтобы предоставить удостоверению доступ к вашему реестру контейнеров.

Azure CLI
Azure PowerShell

На виртуальной машине выполните проверку подлинности в Azure CLI с помощью az login, используя удостоверение, полученное ранее.

az login --identity --username <userID>

Затем выполните проверку подлинности в реестре с помощью az acr login. При использовании этой команды интерфейс командной строки использует маркер Active Directory, созданный при выполнении az login , чтобы легко пройти проверку подлинности сеанса в реестре контейнеров.

az acr login --name myContainerRegistry

Вы должны увидеть сообщение Login succeeded. Затем можно выполнять docker команды без предоставления учетных данных. Например, выполните команду docker pull , чтобы извлечь aci-helloworld:v1 образ, указав имя сервера входа в реестр:

docker pull mycontainerregistry.azurecr.io/aci-helloworld:v1

На виртуальной машине выполните проверку подлинности в Azure PowerShell с помощью Connect-AzAccountидентификатора, полученного ранее. Для -AccountId укажите идентификатор клиента удостоверения.

$clientId = (Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name myACRId).ClientId
Connect-AzAccount -Identity -AccountId $clientId

Затем выполните проверку подлинности в реестре с помощью Connect-AzContainerRegistry. При использовании этой команды Azure PowerShell использует маркер Active Directory, созданный при запуске Connect-AzAccount , чтобы легко пройти проверку подлинности сеанса в реестре контейнеров.

Connect-AzContainerRegistry -Name myContainerRegistry

docker pull mycontainerregistry.azurecr.io/aci-helloworld:v1

Настройте виртуальную машину с управляемой идентичностью, назначенной системой.

Управляемое удостоверение, назначаемое системой , — это функция Azure, которая позволяет виртуальной машине автоматически управлять собственным удостоверением в Azure Active Directory. В этом разделе объясняется, как настроить виртуальную машину с помощью назначаемого системой удостоверения для безопасного доступа к реестру контейнеров Azure.

Включите управляемую удостоверенность, назначенную системой, на вашей ВМ

Azure CLI
Azure PowerShell

Используйте az vm identity assign, чтобы настроить виртуальную машину Docker с системно назначенным идентификатором.

az vm identity assign --resource-group myResourceGroup --name myDockerVM

Используйте az vm show для задания переменной значению principalId (идентификатор основного компонента службы) удостоверения виртуальной машины, чтобы использовать в последующих шагах.

spID=$(az vm show --resource-group myResourceGroup --name myDockerVM --query identity.principalId --out tsv)

Используйте Update-AzVM для настройки виртуальной машины Docker с удостоверением, назначаемым системой.

$vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myDockerVM
Update-AzVM -ResourceGroupName myResourceGroup -VM $vm -IdentityType SystemAssigned

Используйте Get-AzVM для задания переменной значением principalId (идентификатор главного объекта службы) удостоверения виртуальной машины для использования в последующих шагах.

$spID = (Get-AzVM -ResourceGroupName myResourceGroup -Name myDockerVM).Identity.PrincipalId

Предоставьте системно назначенному управляемому идентификатору доступ к реестру контейнеров.

Теперь настройте идентификацию таким образом, чтобы она имела доступ к регистру контейнеров.

Azure CLI
Azure PowerShell

Используйте az acr show для получения идентификатора ресурса реестра:

resourceID=$(az acr show --resource-group myResourceGroup --name myContainerRegistry --query id --output tsv)

Используется az role assignment create для назначения требуемой роли идентификатору. В этом примере назначается роль Container Registry Repository Reader, которая предоставляет только права на скачивание для реестра с поддержкой ABAC.

az role assignment create --assignee $spID --scope $resourceID \
    --role "Container Registry Repository Reader"

Используйте Get-AzContainerRegistry для получения идентификатора ресурса реестра:

$resourceID = (Get-AzContainerRegistry -ResourceGroupName myResourceGroup -Name myContainerRegistry).Id

Используйте New-AzRoleAssignment для назначения правильной роли удостоверению. В этом примере назначается роль Container Registry Repository Reader, которая предоставляет разрешения только на вытягивание из реестра с поддержкой ABAC.

New-AzRoleAssignment -ObjectId $spID -Scope $resourceID -RoleDefinitionName "Container Registry Repository Reader"

Использование управляемого удостоверения, назначаемого системой, для доступа к реестру

SSH на виртуальную машину Docker, сконфигурированную с помощью удостоверения, а затем выполните следующие команды, чтобы удостоверение получило доступ к вашему реестру контейнеров.

Azure CLI
Azure PowerShell

На виртуальной машине выполните проверку подлинности в Azure CLI с помощью удостоверения, назначенного системой, используя az login.

az login --identity

Затем выполните проверку подлинности в реестре с помощью az acr login. При использовании этой команды интерфейс командной строки использует маркер Active Directory, созданный при выполнении az login , чтобы легко пройти проверку подлинности сеанса в реестре контейнеров.

az acr login --name myContainerRegistry

docker pull mycontainerregistry.azurecr.io/aci-helloworld:v1

На виртуальной машине выполните проверку подлинности Azure PowerShell, используя назначенную системой идентичность с помощью Connect-AzAccount.

Connect-AzAccount -Identity

Затем выполните проверку подлинности в реестре с помощью Connect-AzContainerRegistry. При использовании этой команды PowerShell использует маркер Active Directory, созданный при запуске Connect-AzAccount , чтобы легко пройти проверку подлинности сеанса в реестре контейнеров.

Connect-AzContainerRegistry -Name myContainerRegistry

docker pull mycontainerregistry.azurecr.io/aci-helloworld:v1

Узнайте больше о управляемых удостоверениях для ресурсов Azure.
Узнайте, как использовать управляемое удостоверение, назначаемое системой или назначаемое пользователем, с помощью службы приложений и реестра контейнеров Azure.
Узнайте, как развернуть контейнерный образ из реестра контейнеров Azure, используя управляемое удостоверение.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-02-05