Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure Container Registry中的专用数据终结点可对特定注册表启用严格范围的客户端防火墙规则,最大限度地减少数据外泄问题。
专用数据终结点功能可用于 高级服务层级中的注册表。
从注册表拉取内容涉及两个终结点:
注册表终结点(通常称为登录 URL),用于进行身份验证和发现内容。 Docker 执行 contoso.azurecr.cn/hello-world 命令时发出一条 REST 请求,用于对表示所请求工件的层进行身份验证和协商。
数据终结点提供表示内容层的 blob。
注册表服务管理数据终结点存储帐户。 这些托管存储帐户的优点包括负载均衡、竞争内容拆分、为提高并发内容传递而创建的多个副本,以及支持跨区域的地理复制。
Azure Private Link虚拟网络支持
Azure Private Link 虚拟网络支持用于从 Azure 虚拟网络启用对托管注册表服务的专用终结点。 在这种情况下,可以使用专用 IP 从虚拟网络内部访问注册表和数据终结点。
可安全地从虚拟网络内部访问托管注册表服务和存储帐户后,会立即移除公共终结点。
但是,虚拟网络连接并不总是一个选项。
重要
Azure Private Link是控制客户端与注册表之间的网络访问的最安全方法,因为网络流量仅限于使用专用 IP 地址的Azure Virtual Network。 当Private Link不是一个选项时,专用数据终结点可以提供安全知识,了解可从每个客户端访问哪些资源。
客户端防火墙规则和数据外泄风险
客户端防火墙规则限制对特定资源的访问。 从本地主机、IoT 设备和自定义生成代理连接到注册表时,防火墙规则适用。 当不支持Private Link时,这些规则也适用。
例如,可以为所有存储帐户创建具有通配符的规则,从而引发数据外泄问题。 恶意行为者可能会部署能够写入存储帐户的代码。
若要解决这些问题并降低数据外泄的风险,请使用Azure Container Registry的专用数据终结点功能。
专用数据终结点
专用数据终结点有助于从Azure Container Registry服务检索层,其完全限定的域名表示注册表域。
由于任何注册表都可以异地复制,因此使用区域模式: [registry].[region].data.azurecr.cn
对于 Contoso 示例,添加了多个区域性数据端点,以支持本地区域,并提供一个附近的副本。
使用专用数据终结点,可阻止恶意攻击者写入其他存储帐户。
若要启用专用数据终结点,请参阅 配置规则,以访问防火墙后面的Azure Container Registry。
后续步骤
- 了解如何从 firewall 规则后面访问Azure容器注册表。
- 使用 Azure Private Link 连接Azure Container Registry。