• 2 min read

Azure Container Registry-Unterstützung für Private Link für virtuelle Netzwerke – Vorschau

Azure Container Registry kündigt die Vorschau der Unterstützung für Azure Private Link an – eine Methode zur Beschränkung des Netzwerkdatenverkehrs von Ressourcen im Azure-Netzwerk.

Azure Container Registry kündigt die Vorschau der Unterstützung für Azure Private Link an – eine Methode zur Beschränkung des Netzwerkdatenverkehrs durch Ressourcen im Azure-Netzwerk.

Mit Private Link werden den Registrierungsendpunkten private IP-Adressen zugewiesen, und die Endpunkte leiten den Datenverkehr in einem vom Kunden definierten virtuellen Netzwerk weiter. Die Unterstützung privater Netzwerke war einer der häufigsten Kundenwünsche. Mit dieser Unterstützung können Kunden die Azure-Verwaltungsfeatures für ihre Registrierung nutzen und gleichzeitig von einer engmaschigen Kontrolle des ein- und ausgehenden Netzwerkdatenverkehrs profitieren.
   Diagramm der Architektur für die Herstellung einer Verbindung zwischen Azure Container Registry und einem virtuellen Netzwerk über Private Link

Private Links sind bereits für eine Vielzahl von Azure-Ressourcen verfügbar – und weitere kommen in Kürze dazu –, sodass immer mehr Containerworkloads von der Sicherheit eines privaten virtuellen Netzwerks profitieren können.

Private und öffentliche Endpunkte

Private Link stellt private Endpunkte über private IP-Adressen bereit. Im oben gezeigten Fall weist die Registrierung „contoso.azurecr.io“ die private IP-Adresse 10.0.0.6 auf, die nur für Ressourcen in contoso-aks-eastus-vnet verfügbar ist. So können die Ressourcen in diesem VNET sicher kommunizieren. Andere Ressourcen können auf Ressourcen innerhalb des VNET beschränkt werden.

Gleichzeitig kann der öffentliche Endpunkt für die Registrierung „contoso.azurecr.io“ für das Entwicklungsteam weiterhin öffentlich bleiben. In einem zukünftigen Release wird Private Link für Azure Container Registry (ACR) die Deaktivierung des öffentlichen Endpunkts unterstützen, sodass der Zugriff auf private Endpunkte beschränkt wird, die in Private Link konfiguriert sind.

Unterstützung für mandantenübergreifende Genehmigung

Kunden, die einen privaten Link zwischen zwei Azure-Mandanten erstellen möchten, wobei sich die Azure Container Registry in einem Mandanten und die Containerhosts im anderen Mandanten befinden, können den Workflow Manuelle Genehmigung über Private Link verwenden. In diesem Workflow können viele Azure-Dienste für die sichere Interaktion mit Ihrer Registrierung genutzt werden – z. B. Machine Learning. Entwicklungsteams, die in verschiedenen Abonnements und Mandanten arbeiten, können die manuelle Genehmigung über Private Link ebenfalls nutzen, um Zugriff zu gewähren.

Dienstendpunkte und private Links

Die Vorschauversion der Unterstützung von ACR-Dienstendpunkten wurde im März 2019 veröffentlicht. Dienstendpunkte bieten Zugriff auf Azure-VNETs über IP-Tagging. Der gesamte Datenverkehr an den Dienstendpunkt wird per Routing auf das Azure-Backbonenetzwerk beschränkt. Der öffentliche Endpunkt ist weiterhin vorhanden, aber Firewallregeln beschränken den öffentlichen Zugriff. Die Funktionen von Private Link gehen sogar noch einen Schritt weiter und stellen einen privaten Endpunkt (IP-Adresse) bereit. Da private Links sicherer sind und alle Funktionen von Dienstendpunkten enthalten, wird die Unterstützung für Private Link die Azure Container Registry-Unterstützung für Dienstendpunkte ersetzen. Sowohl Dienstendpunkte als auch Private Link befinden sich derzeit in der Vorschau, aber wir planen, Private Link-Funktionen in Kürze allgemein verfügbar zu machen. Wir empfehlen Kunden mit Dienstendpunkten, die Private Link-Funktionen von ACR zu evaluieren.

Unterstützung und Einschränkungen der Vorschauversion

Während des Vorschauzeitraums ist die Private Link-Unterstützung auf Registrierungen beschränkt, die nicht georepliziert werden. Das Feature wird in die allgemeine Verfügbarkeit übergehen, sobald wir das erforderliche Feedback ausgewertet haben und die Unterstützung für die Georeplikation vollständig implementiert ist.

Wir haben dem Feedback entnommen, dass diejenigen Kunden, die private Netzwerke benötigen, auch Support für Produktionsumgebungen benötigen. Daher werden alle Supportanfragen über die Standardsupportkanäle bearbeitet.

Unterstützung und Preise in den Regionen

Die Unterstützung für Private Link in Azure Container Registry ist im Premium-Tarif in 28 Regionen verfügbar.

Weitere Links: