Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
本文介绍如何在防火墙上配置规则,以允许访问 Azure 容器注册表。 例如,防火墙或代理服务器后面的 Azure IoT Edge 设备可能需要访问容器注册表以拉取容器映像。 或者,本地网络中的锁定服务器可能需要访问权限以推送映像。
若要仅在 Azure 虚拟网络中配置对容器注册表的入站网络访问,请参阅 为 Azure 容器注册表配置 Azure 专用链接。
关于注册表终结点
若要将映像或其他项目拉取或推送到Azure容器注册表,客户端(如 Docker 守护程序)需要通过 HTTPS 与两个或更多不同的终结点进行交互。 对于从防火墙后面访问注册表的客户端,需要为每个终结点配置访问规则。 所有终结点都通过端口 443 到达。
全局终结点 (REST API) - 身份验证和注册表管理操作通过注册表的公共 REST API 终结点进行处理。 此终结点是注册表的登录服务器名称。 示例:
myregistry.azurecr.cn-
证书的注册表 REST API 终结点 — Azure 容器注册表对所有子域使用通配符 SSL 证书。 使用 SSL 连接到 Azure 容器注册表时,客户端必须能够下载 TLS 握手的证书。 在这种情况下,
azurecr.cn还必须是可访问的。
-
证书的注册表 REST API 终结点 — Azure 容器注册表对所有子域使用通配符 SSL 证书。 使用 SSL 连接到 Azure 容器注册表时,客户端必须能够下载 TLS 握手的证书。 在这种情况下,
存储(数据)终结点 — Azure 为每个注册表在 Azure 存储帐户中分配 Blob 存储,以管理容器映像和其他制品的数据。 当客户端访问Azure容器注册表中的映像层时,它会使用注册表提供的存储帐户终结点发出请求。
如果你的注册表是异地复制的,则客户端可能需要与特定区域或多个已复制区域中的数据终结点交互。
-
区域终结点(如果已启用) - 在高级 SKU 注册表上启用区域终结点时,每个异地副本都会获得窗体
<registry-name>.<region>.geo.azurecr.cn的区域终结点。 区域终结点允许客户端直接连接到特定的异地副本进行身份验证和推送/拉取/删除操作,从而绕过全局终结点。 如果使用防火墙规则,则需要允许访问客户端连接到的每个异地副本的区域终结点。
有关终结点类型和 FQDN 模式的完整列表,请参阅 终结点参考。
允许访问 REST 和数据终结点
-
REST 终结点 - 允许访问完全限定的注册表登录服务器名称、
<registry-name>.azurecr.cn或关联的 IP 地址范围 -
Storage (data) 终结点 - 允许使用通配符
*.blob.core.chinacloudapi.cn或关联的 IP 地址范围访问所有Azure blob 存储帐户。
注释
Azure 容器注册表支持 专用数据终结点,使你可以严格限定注册表存储的客户端防火墙规则的范围。 可选地在注册表所在或复制的所有区域中使用格式 <registry-name>.<region>.data.azurecr.cn 启用数据终结点。
如果还启用了 区域端点,则允许访问客户端连接到的每个异地副本的 <registry-name>.<region>.geo.azurecr.cn。
关于 Azure 容器注册表 FQDN
Azure 容器注册表使用两个 FQDN:登录 URL 和数据终结点。
- 登录 URL 和数据终结点都可在虚拟网络内部通过启用专用链接并使用专用 IP 地址进行访问。
- 不使用数据终结点的注册表必须从表单
*.blob.core.chinacloudapi.cn的终结点访问数据。 配置防火墙规则时,这不提供所需的隔离。 - 启用了专用链接的注册表会自动获取专用数据终结点。
- 为每个区域为注册表创建一个专用数据终结点。
- 无论启用还是禁用专用数据终结点,登录 URL 保持不变。
允许按 IP 地址范围访问
如果组织有仅允许访问特定 IP 地址或地址范围的策略,请下载最新版本的 Azure IP 范围和服务标记 - 中国云。
若要查找需要允许访问的 ACR REST 终结点 IP 范围,请在 JSON 文件中搜索 AzureContainerRegistry。
Important
Azure 服务的 IP 地址范围可以更改,每周发布一次更新。 定期下载 JSON 文件,并在访问规则中进行必要的更新。 如果方案涉及在Azure虚拟网络中配置网络安全组规则或使用Azure 防火墙,请改用 AzureContainerRegistryservice tag。
所有区域的 REST IP 地址
{
"name": "AzureContainerRegistry",
"id": "AzureContainerRegistry",
"properties": {
"changeNumber": 10,
"region": "",
"platform": "Azure",
"systemService": "AzureContainerRegistry",
"addressPrefixes": [
"40.73.136.24/29",
[...]
特定区域的 REST IP 地址
搜索特定的区域,例如 AzureContainerRegistry.ChinaNorth。
{
"name": "AzureContainerRegistry.ChinaNorth",
"id": "AzureContainerRegistry.ChinaNorth",
"properties": {
"changeNumber": 1,
"region": "chinanorth",
"platform": "Azure",
"systemService": "AzureContainerRegistry",
"addressPrefixes": [
"139.217.48.104/29",
[...]
所有区域的存储 IP 地址
{
"name": "Storage",
"id": "Storage",
"properties": {
"changeNumber": 19,
"region": "",
"platform": "Azure",
"systemService": "AzureStorage",
"addressPrefixes": [
"40.72.64.0/24",
[...]
特定区域的存储 IP 地址
搜索特定的区域,例如 Storage.ChinaNorth。
{
"name": "Storage.ChinaNorth",
"id": "Storage.ChinaNorth",
"properties": {
"changeNumber": 1,
"region": "chinanorth",
"platform": "Azure",
"systemService": "AzureStorage",
"addressPrefixes": [
"40.72.64.0/24"
[...]
允许通过服务标签访问
在 Azure 虚拟网络中,使用网络安全规则筛选从虚拟机等资源到容器注册表的流量。 若要简化 Azure 网络规则的创建,请使用 AzureContainerRegistry服务标记。 服务标记代表一组用于全局或每个 Azure 区域访问 Azure 服务的 IP 地址前缀。 当地址更改时,将自动更新标记。
例如,创建包含目标 AzureContainerRegistry 的出站网络安全组规则,以允许流量流向 Azure 容器注册表。 若要仅允许在特定区域中访问服务标记,请使用以下格式指定区域: AzureContainerRegistry.[region name]
启用专用数据终结点
有关使用 Azure 门户或Azure CLI启用专用数据终结点的步骤,请参阅 Azure 容器注册表 中的
为注册表设置专用数据终结点后,可以为数据终结点启用客户端防火墙访问规则。 为所有必需的注册表区域启用数据终结点访问规则。
配置 MCR 的客户端防火墙规则
若要从防火墙后面访问Microsoft容器注册表(MCR),请参阅配置 MCR 客户端防火墙规则的指导。 MCR 是所有 Microsoft 发布的 Docker 映像的主注册表,例如 Windows Server 映像。