在 Azure Stack Hub 上安装 Azure 容器注册表

2025-10-29

你可以在 Azure Stack Hub 上安装 Azure 容器注册表并使其可供用户使用，以便用户可以在你的环境中托管容器。若要安装 Azure 容器注册表，必须生成并验证证书，然后安装 Azure 容器注册表。可以通过 Azure Stack Hub 管理员门户进行安装。

重要

安装后，Azure Stack Hub 上的 Azure 容器注册表被视为基础 RP，且无法卸载。操作员仍可通过套餐、计划和配额限制用户对 Azure 容器注册表服务的访问。

先决条件

Azure Stack Hub 版本
只能在运行 2108 及更高版本的 Azure Stack Hub 集成系统中启用 Azure 容器。在完成本文中的步骤之前，请安装 Azure Stack Hub 更新。 Azure Stack 开发人员工具包 (ASDK) 部署上不支持 Azure 容器注册表 (ACR)。
证书要求
Azure Stack Hub 系统上的 Azure 容器注册表配置添加了需要证书的新数据路径。该证书必须满足与安装和操作 Azure Stack Hub 所需的其他证书相同的要求。

此新证书的 URI 应采用以下格式：

*.azsacr.<region>.<fqdn>

例如：

*.azsacr.azurestack.contoso.com
Azure Stack Hub 状态
只有在验证 Azure Stack Hub 正常后，才应安装 Azure 容器注册表。可以按照“验证 Azure Stack Hub 系统状态”中列出的步骤操作。

生成证书

可以按照以下步骤使用“Azure Stack Hub 就绪情况检查器”工具生成 Azure 容器注册表证书。必须指定“Microsoft.AzureStack.ReadinessChecker”模块的版本，以使步骤有效。

使用权限提升的提示符打开 PowerShell。

运行以下 cmdlet：

Install-Module -Name Microsoft.AzureStack.ReadinessChecker 
New-Item -ItemType Directory "$ENV:USERPROFILE\Documents\AzsCertRequests"
    $certificateRequestParams = @{
        'regionName' = 'azurestack'
        'externalFQDN' = 'contoso.com'
        'subject' = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack"
        'OutputRequestPath' = "$ENV:USERPROFILE\Documents\AzsCertRequests" }
New-AzsHubAzureContainerRegistryCertificateSigningRequest @certificateRequestParams

“ReadinessChecker”模块创建 .req 文件时，会将该文件提交到证书颁发机构 (CA)（内部或公共）。 “New-AzsCertificateSigningRequest”的输出目录包含提交到 CA 所需的 CSR。作为参考，此目录还包含一个子目录，其中包含生成证书请求期间使用的 INF 文件。

验证 Azure 容器注册表证书

验证 Azure 容器注册表证书是否符合 Azure Stack Hub 要求。

将 CA 签名的结果证书文件 (.cer)（支持的扩展名有 .cer、.cert、.srt、.pfx）复制到 $ENV:USERPROFILE\Documents\AzureStack。

从权限提升的提示符运行以下 PowerShell cmdlet：

Install-Module -Name Microsoft.AzureStack.ReadinessChecker 
$Path = "$ENV:USERPROFILE\Documents\AzureStack"
$pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"
ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $Path