Compatibilidad de Azure Container Registry con Private Link en versión preliminar para redes virtuales

Publicado el 26 marzo, 2020

Program Manager, Azure Container Registry

El equipo de Azure Container Registry anuncia la compatibilidad en versión preliminar con Azure Private Link, un medio para limitar el tráfico de red de los recursos en la red de Azure.

Con Private Link, se asignan direcciones IP a los puntos de conexión del Registro para redirigir el tráfico de una red virtual definida por el cliente. La compatibilidad con redes privadas ha sido una de las características más solicitadas por los clientes, ya que les permite beneficiarse de la administración de su registro por parte de Azure y de un control exhaustivo de la entrada y la salida de la red.
   Diagrama de la arquitectura de Azure Container Registry conectado a una red virtual a través de Private Link

Private Link está disponible en un gran número de recursos de Azure que pronto aumentará, lo que permite un amplio abanico de cargas de trabajo de contenedores con la seguridad de una red virtual privada.

Puntos de conexión privados y públicos

Private Link proporciona puntos de conexión privados que estarán disponibles a través de direcciones IP privadas. En el caso anterior, el registro contoso.azurecr.io tiene la dirección IP privada 10.0.0.6, que solo está disponible para los recursos de contoso-aks-eastus-vnet. Esto permite que los recursos de esta red virtual se comuniquen de forma segura. Los demás recursos se pueden restringir solo a los recursos que están dentro de la red virtual.

Al mismo tiempo, el punto de conexión público del registro contoso.azurecr.io puede seguir siendo público para el equipo de desarrollo. En una próxima versión, Private Link en Azure Container Registry (ACR) permitirá deshabilitar el punto de conexión público para limitar el acceso solo a los puntos de conexión privados, configurados en Private Link.

Aprobación manual entre inquilinos

Los clientes que desean establecer un vínculo privado entre dos inquilinos de Azure, donde una instancia de Azure Container Registry esté solo en un inquilino y los hosts de contenedor se encuentren en otros inquilinos, pueden usar el flujo de trabajo de aprobación manual de Private Link. Este flujo de trabajo permite que muchos servicios de Azure, incluido Azure Machine Learning, interactúen con el registro de forma segura. Los equipos de desarrollo que trabajan en diferentes suscripciones e inquilinos también pueden usar la aprobación manual de Private Link para conceder acceso.

Puntos de conexión de servicio y vínculos privados

La compatibilidad en versión preliminar de ACR con puntos de conexión de servicio se lanzó en marzo de 2019. Los puntos de conexión de servicio proporcionan acceso desde las redes virtuales de Azure a través de etiquetas IP. Todo el tráfico hacia el punto de conexión de servicio se limita a la red troncal de Azure mediante enrutamiento. El punto de conexión público todavía existe, pero las reglas de firewall limitan el acceso público. La funcionalidad de Private Link va más allá y proporciona un punto de conexión privado (dirección IP). Puesto que Private Link es más seguro e incluye un superconjunto de características de puntos de conexión de servicio, la funcionalidad de Private Link reemplazará a la funcionalidad de los puntos de conexión de servicio en Azure Container Registry. Aunque los puntos de conexión de servicio y Private Link se encuentran actualmente en versión preliminar, tenemos previsto lanzar Private Link para que esté disponible con carácter general dentro de poco. Animamos a los clientes que utilizan puntos de conexión de servicio a que evalúen la funcionalidad de Private Link en ACR.

Funcionalidad en versión preliminar y limitaciones

Durante el período de la versión preliminar, la funcionalidad de Private Link está limitada a los registros que no tienen replicación geográfica. La característica pasará a estar disponible con carácter general cuando evaluemos los comentarios y sea totalmente compatible con la replicación geográfica.

Los clientes que requieren redes privadas nos han dejado claro que también necesitan soporte técnico en producción. Por eso, se atenderán todas las solicitudes de soporte técnico a través de los canales de soporte técnico Standard.

Soporte técnico regional y precios

La funcionalidad de Private Link en Azure Container Registry está disponible en 28 regiones en el nivel Premium.

Vínculos adicionales: