Prise en charge en préversion d’Azure Container Registry Private Link pour les réseaux virtuels

Publié le 26 mars, 2020

Program Manager, Azure Container Registry

Azure Container Registry annonce la prise en charge en préversion d’Azure Private Link, qui permet de limiter le trafic réseau des ressources au sein du réseau Azure.

Avec Private Link, les points de terminaison de registre se voient attribuer des adresses IP privées, acheminant tout le trafic au sein d’un réseau virtuel défini par le client. La prise en charge des réseaux privés a été l’une des principales demandes de nos clients. Elle leur permet de tirer parti de la gestion Azure de leur registre, tout en bénéficiant d’une entrée et d’une sortie réseau étroitement contrôlées.
   Diagramme d’architecture d’Azure Container Registry se connectant à un réseau virtuel via Private Link

Private Link est disponible dans un large éventail de ressources Azure. D’autres ressources seront également bientôt disponibles. Le service permet de disposer d’un large éventail de charges de travail de conteneur avec la sécurité d’un réseau virtuel privé.

Points de terminaison privés et publics

Private Link fournit des points de terminaison privés via des adresses IP privées. Dans le cas ci-dessus, le registre contoso.azurecr.io possède l’adresse IP privée 10.0.0.6, qui est uniquement disponible pour les ressources dans contoso-aks-eastus-vnet. Cela permet aux ressources de ce réseau virtuel de communiquer de façon sécurisée. Les autres ressources peuvent être limitées aux ressources qui se situent uniquement au sein du réseau virtuel.

En même temps, le point de terminaison public du registre contoso.azurecr.io peut encore être public pour l’équipe de développement. Dans une version à venir, Azure Container Registry (ACR) Private Link prendra en charge la désactivation du point de terminaison public, limitant l’accès aux seuls points de terminaison privés configurés sous Private Link.

Prise en charge de l’approbation manuelle entre différents locataires

Les clients qui cherchent à établir une liaison privée entre deux locataires Azure, où un registre de conteneurs Azure se trouve dans un locataire tandis que les hôtes de conteneur se trouvent dans d’autres locataires, peuvent utiliser le workflow d’approbation manuelle de liaison privée. Ce workflow permet à de nombreux services Azure, notamment Azure Machine Learning, d’interagir de façon sécurisée avec votre registre. Les équipes de développement travaillant dans différents abonnements et locataires peuvent également utiliser l’approbation manuelle de liaison privée pour accorder des accès.

Points de terminaison de service et Private Link

La prise en charge en préversion des points de terminaison de service ACR a été publiée en mars 2019. Les points de terminaison de service fournissent un accès à partir de réseaux virtuels Azure via le balisage IP. Tout le trafic vers le point de terminaison de service est limité au réseau principal Azure via le routage. Le point de terminaison public existe toujours. Toutefois, des règles de pare-feu limitent l’accès public. Les fonctionnalités Private Link permettent d’aller plus loin en fournissant un point de terminaison privé (adresse IP). Comme les liaisons privées sont plus sécurisées et constituent un ensemble enrichi des fonctionnalités des points de terminaison de service, la prise en charge des liaisons privées remplace la prise en charge des points de terminaison de service Azure Container Registry. Alors que les points de terminaison de service et les liaisons privées sont actuellement en préversion, nous prévoyons très bientôt de publier les fonctionnalités de liaison privée de façon générale. Nous encourageons les clients utilisant des points de terminaison de service à évaluer les fonctionnalités de liaison privée ACR.

Limitations et prise en charge de la préversion

Pendant la période de la préversion, la prise en charge des liaisons privées est limitée aux registres qui ne sont pas géorépliqués. La fonctionnalité passera en disponibilité générale quand nous aurons évalué les commentaires et que la prise en charge de la géoréplication aura pris fin.

Nous savons de source sûre que les clients nécessitant des réseaux privés requièrent également un support de production. Par conséquent, toutes les demandes de support seront honorées par le biais de canaux de support standard.

Support régional et tarification

La prise en charge d’Azure Container Registry Private Link est disponible dans 28 régions via le niveau Premium.

Liens supplémentaires :