Что такое подключенный реестр?

Функция подключенного реестра контейнеров Azure включает локальную или удаленную реплику, которая синхронизирует образы контейнеров с облачным реестром контейнеров Azure. Используйте подключенный реестр, чтобы ускорить доступ к артефактам реестра, размещенным локально или удаленно.

Облачный реестр контейнеров Azure предоставляет функции, включая георепликацию, интегрированную безопасность, управляемое Azure хранилище и интеграцию с конвейерами разработки и развертывания Azure. Тем не менее вы можете захотеть расширить свои облачные инвестиции в персональные и периферийные решения, для чего требуются параметры за пределами стандартного облачного реестра контейнеров Azure, или у вас может быть переменное или ограниченное подключение к облаку.

В локальных или удаленных средах рабочие нагрузки контейнеров нуждаются в том, чтобы образы контейнеров и связанные артефакты находились поблизости, чтобы поддерживать производительность и надежность. Подключенные реестры предоставляют решение локального реестра, которое регулярно синхронизирует содержимое с облачным реестром контейнеров Azure.

Цены и доступность

Функция подключенного реестра в настоящее время доступна только для уровня служб"Премиум" (SKU).

Вы можете развернуть подключенный реестр в любом регионе, где доступен реестр контейнеров Azure.

Изменения в выставлении счетов за подключенный реестр начинаются 1 августа 2025 г. Эти изменения включают ежемесячную плату, примененную к подписке Azure, связанной с родительским реестром. Дополнительные сведения см. в разделе о ценах на реестр контейнеров Azure.

Как работает подключенный реестр?

Вы можете развернуть подключенный реестр на сервере или устройстве локально или в среде, поддерживающей локальные рабочие нагрузки контейнеров, например Kubernetes с поддержкой Azure Arc. Подключенный реестр синхронизирует образы контейнеров и другие артефакты OCI (Open Container Initiative) с облачным реестром контейнеров Azure.

На следующей схеме показана типичная модель развертывания для подключенного реестра с помощью кластера Kubernetes с поддержкой Azure Arc.

Схема обзора подключенного реестра с помощью Kubernetes с поддержкой Arc.

Развертывание и синхронизация

Вы управляете каждым подключенным реестром как ресурсом в облачном реестре контейнеров Azure. Этот реестр контейнеров Azure является родительским объектом подключенного реестра.

Расширение подключенного реестра Arc можно развернуть в кластере Kubernetes с поддержкой Arc. Защитите подключение с помощью TLS (Transport Layer Security) с конфигурациями по умолчанию для доступа только для чтения и окна непрерывной синхронизации. Эта настройка позволяет подключенному реестру синхронизировать образы из реестра контейнеров Azure (ACR) с подключенным реестром в локальной среде, что позволяет извлекать образы из подключенного реестра.

Состояние активации подключенного реестра указывает, развернут ли он локально (активный) или не развернут в данный момент (неактивный).

После того как подключенный реестр активен, он регулярно обращается к облачному реестру для синхронизации образов контейнеров и артефактов OCI.

Вы также можете настроить синхронизацию для синхронизации подмножества репозиториев из облачного реестра или синхронизации только в течение определенных интервалов, чтобы уменьшить трафик между облаком и локальной средой.

Режимы

Подключенный реестр работает в одном из двух режимов: ReadWrite или ReadOnly.

ReadOnly mode — это значение по умолчанию. Если подключенный реестр находится в режиме ReadOnly, клиенты могут только загружать артефакты для чтения. Используйте эту конфигурацию в сценариях, когда клиентам необходимо извлечь образ контейнера для работы. Этот режим по умолчанию соответствует безопасному подходу по умолчанию.

ReadWrite mode — Этот режим позволяет клиентам получать и передавать объекты (доступ на чтение и запись) в подключенный реестр. Артефакты, которые вы отправляете в подключенный реестр, синхронизируются с облачным реестром. Режим ReadWrite полезен при наличии локальной среды разработки. Вы отправляете образы в локальный подключенный реестр, и оттуда они синхронизируются с облачным родительским реестром.

Подключенные реестры должны быть совместимы с возможностями их родительского реестра. Если родительский реестр использует режим ReadWrite, дочерние реестры могут использовать любой из режимов. Однако если родительский реестр использует ReadOnly режим, дочерние реестры также должны использовать ReadOnly режим.

Доступ через клиенты

Локальные клиенты используют стандартные средства, такие как Интерфейс командной строки Docker для отправки или извлечения содержимого из подключенного реестра. Чтобы управлять клиентским доступом, создайте в реестре контейнеров Azure токены, не связанные с Microsoft Entra, для доступа к каждому подключенному реестру. Вы можете ограничить область действия маркеров клиента, предоставив доступ на получение или отправку к одному или нескольким репозиториям в реестре.

Каждый подключенный реестр также должен регулярно обмениваться данными со своим родительским реестром. Для этого облачный реестр выдает реестру маркер синхронизации. Используйте этот токен для аутентификации в родительском реестре с целью выполнения операций синхронизации и управления.

На следующей схеме показано, как каждый подключенный реестр использует два разных типа маркеров.

Подключенная проверка подлинности реестра: обзор

Внимание

Храните пароли токенов для каждого подключенного реестра в безопасном месте. После их создания невозможно восстановить пароли токенов. Вы можете в любое время повторно создать пароли токенов.

Токены клиента

Чтобы управлять доступом клиента к подключённому реестру, создайте токены, ограниченные определёнными действиями в одном или нескольких репозиториях. После создания маркера настройте подключенный реестр, чтобы принять маркер с помощью команды az acr connected-registry update . Затем клиент может использовать учетные данные токена для доступа к подключенной конечной точке реестра, чтобы использовать команды Docker CLI для загрузки или выгрузки образов в подключенный реестр.

Обновляйте клиентские токены, пароли или карты области по мере необходимости, используя команды az acr token и az acr scope-map. Обновления маркера клиента автоматически распространяются на подключенные реестры, принимаюющие маркер.

Токен клиента получает доступ к конечной точке подключенного реестра. Подключенная конечная точка реестра — это URI сервера входа, который обычно является IP-адресом сервера или устройства, на котором он размещен.

Маркер синхронизации

Каждый подключенный реестр использует маркер синхронизации для проверки подлинности с его непосредственным родительским объектом, который может быть другим подключенным реестром или облачным реестром.

Маркер синхронизации и пароли создаются автоматически при создании подключенного ресурса реестра. Выполните команду [az acr connected-registry get-settings][/cli/azure/acr/connected-registry#az-acr-connected-registry-get-settings], чтобы повторно создать пароли или обновить их на портале Azure.

По умолчанию маркер синхронизации имеет разрешение на синхронизацию выбранных репозиториев с родительским элементом. Он также имеет разрешения на чтение и запись сообщений синхронизации на шлюзе, используемом для обмена данными с родительским элементом подключенного реестра. Эти сообщения управляют расписанием синхронизации и управляют другими обновлениями между подключенным реестром и его родительским элементом.

Обновляйте маркеры синхронизации, пароли или карты областей по мере необходимости с помощью команд az acr token и az acr scope-map. Обновления маркера синхронизации автоматически распространяются в подключенный реестр. Следуйте стандартным рекомендациям по смене паролей при обновлении маркера синхронизации.

Замечание

Маркер синхронизации нельзя удалить, пока не удалите подключенный реестр, связанный с маркером. Чтобы отключить подключенный реестр, установите значение маркера синхронизации на disabled.

Маркер синхронизации обращается к конечной точке родительского реестра, которая может быть либо конечной точкой другого подключенного реестра, либо самим облачным реестром. При предоставлении доступа к облачному реестру, токен синхронизации должен достичь двух конечных точек реестра.

  • Полное квалифицированное имя сервера логина, например contoso.azurecr.io. Эта конечная точка используется для проверки подлинности.
  • Полностью квалифицированная региональная конечная точка данных для облачного реестра, например contoso.westus2.data.azurecr.io. Эта конечная точка используется для обмена сообщениями с подключенным реестром в целях синхронизации.

Текущие ограничения

При использовании подключенных реестров помните о следующих ограничениях:

  • Количество маркеров и карт областей для одного реестра контейнеров ограничено 20 000 каждый. Это ограничение косвенно ограничивает количество подключенных реестров для облачного реестра, так как каждый подключенный реестр нуждается в маркере синхронизации и маркере клиента.
  • Количество разрешений репозитория в карте областей ограничено 500.
  • Число клиентов для подключенного реестра ограничено 50.
  • Количество подключенных реестров для каждого реестра контейнеров ограничено 50.
  • Блокировка образа с помощью репозитория , манифеста или метаданных тегов не поддерживается для подключенных реестров.
  • Удаление репозитория не поддерживается в подключенном реестре при использовании режима ReadOnly.
  • Журналы ресурсов для подключенных реестров не поддерживаются.
  • Подключенный реестр связан с конечной точкой данных в домашнем регионе реестра. Автоматическая миграция для георепликации не поддерживается.
  • Для удаления подключенного реестра требуется ручное удаление контейнеров локальной среды и удаление соответствующей карты областей или маркеров в облаке.
  • Ограничения синхронизации подключенного реестра приведены следующим образом:
    • Для непрерывной синхронизации:
      • minMessageTtl один день.
      • maxMessageTtl составляет 90 дней.
    • Для иногда подключенных сценариев, где требуется указать окно синхронизации:
      • minSyncWindow составляет 1 ч.
      • maxSyncWindow — семь дней.

Дальнейшие шаги