Azure 容器注册表的服务标记

服务标记有助于设置规则以允许或拒绝流向特定 Azure 服务的流量。 在 Azure 容器注册表中,服务标记表示一组 IP 地址前缀,可用于全局或按 Azure 区域访问服务。 Azure 容器注册表为映像导入、Webhook 和 Azure 容器注册表任务等功能生成源自服务标记的网络流量。

Azure 会管理服务标记包含的地址前缀。 Azure 会在地址发生更改时自动更新服务标记,以最大限度地降低频繁更新网络安全规则的复杂性。

如果为注册表配置了防火墙,Azure 容器注册表将通过其服务标记 IP 地址为请求提供服务。 对于防火墙访问规则中提到的场景,你可以将防火墙出站规则配置为允许访问 Azure 容器注册表的服务标记 IP 地址。

图像导入

Azure 容器注册表通过服务标记 IP 地址向外部注册表服务发送请求来下载映像。 如果外部注册表服务在防火墙后面运行,则需要让入站规则允许服务标记 IP 地址。 这些 IP 属于 AzureContainerRegistry 服务标记,其中包括从公共或 Azure 注册表导入映像所需的 IP 范围。

Azure 可确保这些 IP 范围自动进行更新。 建立此安全协议对于维护注册表的完整性并确保其可用性至关重要。

若要配置网络安全规则并允许来自 AzureContainerRegistry 服务标记的流量,以便在 Azure 容器注册表中导入映像,请参阅关于注册表终结点。 有关如何在映像导入期间使用服务标记的详细步骤和指导,请参阅将容器映像导入到容器注册表

Webhook

在 Azure 容器注册表中,服务标记用于管理 Webhook 等功能的网络流量,以确保只有受信任的源能够触发这些事件。 如果在 Azure 容器注册表中设置了一个 Webhook,则该 Webhook 可以响应注册表级别的事件,或者它的范围可以缩小到特定存储库标记。 对于异地复制的注册表,你可将每个 Webhook 配置为响应特定区域副本中的事件。

必须能从注册表公开访问 Webhook 的终结点。 可以配置注册表 Webhook 请求来对安全终结点进行身份验证。

Azure 容器注册表通过服务标记 IP 地址将请求发送到所配置的 Webhook 终结点。 如果 Webhook 终结点在防火墙后面运行,则它需要让入站规则允许这些 IP 地址。 若要帮助保护 Webhook 终结点访问,还必须配置正确的身份验证来验证请求。

有关创建 Webhook 设置的详细步骤,请参阅 Azure 容器注册表文档

Azure 容器注册表任务

使用 Azure 容器注册表任务(例如构建容器映像或自动执行工作流)时,服务标记表示 Azure 容器注册表使用的一组 IP 地址前缀。

在执行任务期间,Azure 容器注册表通过服务标记 IP 地址向外部资源发送请求。 如果外部源在防火墙后面运行,则它需要让入站规则允许这些 IP 地址。 应用这些入站规则是帮助确保云环境中的安全性和正确的访问管理的常见做法。

若要详细了解 Azure 容器注册表任务,请参阅使用 Azure 容器注册表任务自动执行容器映像的生成和维护。 若要了解如何使用服务标记为 Azure 容器注册表任务设置防火墙访问规则,请参阅配置从防火墙后面访问 Azure 容器注册表的规则

最佳做法

  • 配置和自定义网络安全规则,以允许来自特定功能(例如映像导入、Webhook 和 Azure 容器注册表任务)的 AzureContainerRegistry 服务标记(例如端口号和协议)的流量。

  • 设置防火墙规则,以便仅允许来自与每项功能的 Azure 容器注册表服务标记关联的 IP 范围的流量。

  • 检测并防止并非源自 Azure 容器注册表服务标记 IP 地址的未经授权的流量。

  • 使用 Azure Monitor网络观察程序持续监视网络流量并定期查看安全配置,以应对每个 Azure 容器注册表功能的意外流量。