Azure Container Registry를 사용하면 선택한 신뢰할 수 있는 Azure 서비스가 네트워크 액세스 규칙으로 구성된 레지스트리에 액세스하도록 허용할 수 있습니다. 신뢰할 수 있는 서비스를 허용하는 경우 신뢰할 수 있는 서비스 인스턴스는 레지스트리의 네트워크 규칙을 안전하게 우회하고 이미지 끌어 오거나 푸시하는 등의 작업을 수행할 수 있습니다. 이 문서에서는 네트워크 제한 Azure Container Registry로 신뢰할 수 있는 서비스를 사용하도록 설정하고 사용하는 방법을 설명합니다.
Azure Cloud Shell 또는 Azure CLI의 로컬 설치를 사용하여 이 문서의 명령 예를 실행합니다. 버전 2.18 이상을 사용하여 로컬로 실행합니다.
az --version을 실행하여 버전을 찾습니다. 설치 또는 업그레이드해야 하는 경우 Azure CLI 설치를 참조하세요.
제한 사항
- 신뢰할 수 있는 서비스를 사용하는 특정 레지스트리 액세스 시나리오에는 Azure 리소스에 대한 관리 ID가 필요합니다. 사용자 할당 관리 ID가 지원된다는 점을 제외하면 시스템 할당 ID만 사용할 수 있습니다.
- 신뢰할 수 있는 서비스 허용은 서비스 엔드포인트로 구성된 컨테이너 레지스트리에 적용되지 않습니다. 이 기능은 프라이빗 엔드포인트 로 제한되거나 공용 IP 액세스 규칙이 적용된 레지스트리에만 영향을 줍니다.
신뢰할 수 있는 서비스 정보
Azure Container Registry에는 레지스트리에 대한 액세스를 제한하는 여러 네트워크 구성을 지원하는 계층화된 보안 모델이 있습니다. 이러한 구성에는 다음이 포함됩니다.
- Azure Private Link를 사용하는 프라이빗 엔드포인트. 구성된 경우에, 레지스트리의 프라이빗 엔드포인트는 개인 IP 주소를 사용하여 가상 네트워크 내의 리소스에만 액세스할 수 있습니다.
- 레지스트리 방화벽 규칙 - 특정 공용 IP 주소 또는 주소 범위에서만 레지스트리의 공용 엔드포인트에 액세스할 수 있습니다. 또한 프라이빗 엔드포인트를 사용할 때 방화벽을 구성하여 퍼블릭 엔드포인트에 대한 모든 액세스를 차단할 수도 있습니다.
가상 네트워크에 레지스트리를 배포하거나 방화벽 규칙을 사용하여 구성하면 해당 원본 외부에서 사용자 또는 서비스에 대한 액세스가 거부됩니다.
여러 다중 테넌트 Azure 서비스는 이러한 레지스트리 네트워크 설정에 포함할 수 없는 네트워크에서 작동합니다. 따라서 이러한 서비스는 레지스트리에 이미지를 끌어당기거나 푸시하는 등의 작업을 수행할 수 없습니다. 특정 서비스 인스턴스를 "신뢰할 수 있음"으로 지정하면 레지스트리 소유자가 선택한 Azure 리소스가 레지스트리의 네트워크 설정을 안전하게 바이패스하여 레지스트리 작업을 수행하도록 허용할 수 있습니다.
신뢰할 수 있는 서비스
다음 서비스의 인스턴스는 레지스트리의 신뢰할 수 있는 서비스 허용 설정을 사용하도록 설정된 경우 네트워크 제한 컨테이너 레지스트리에 액세스할 수 있습니다(기본값). 시간이 지남에 따라 더 많은 서비스가 추가될 것입니다.
표시된 경우 신뢰할 수 있는 서비스에 액세스하려면 서비스 인스턴스에서 관리 ID의 추가 구성, RBAC 역할 할당 및 레지스트리를 사용한 인증이 필요합니다. 예제 단계는 이 문서의 뒷부 분에 있는 신뢰할 수 있는 서비스 워크플로를 참조하세요.
| 신뢰할 수 있는 서비스 | 지원되는 사용 시나리오 | RBAC 역할로 관리 ID 구성 |
|---|---|---|
| Azure 컨테이너 인스턴스 | 관리 ID를 사용하여 Azure Container Registry에서 Azure Container Instances에 배포 | 예, 시스템 할당 ID 또는 사용자 할당 ID 중 |
| 클라우드용 Microsoft Defender | 컨테이너 레지스트리에 대한 Microsoft Defender의 취약성 검사 | 아니요 |
| 머신 러닝 | 사용자 지정 Docker 컨테이너 이미지를 사용하여 Machine Learning 작업 영역에서 모델 배포 또는 학습 | 예 |
| Azure Container Registry (애저 컨테이너 레지스트리) | 네트워크 제한 Azure 컨테이너 레지스트리에서 이미지 가져오기 | 아니요 |
참고 항목
현재 이 설정을 사용하도록 allow trusted services 설정하는 것은 App Service에 적용되지 않습니다.
신뢰할 수 있는 서비스 허용 - CLI
기본적으로 새 Azure Container Registry에서 신뢰할 수 있는 서비스 허용 설정이 사용됩니다. az acr update 명령을 실행하여 설정을 사용하지 않도록 설정하거나 사용하도록 설정합니다.
사용하지 않도록 설정하려면:
az acr update --name myregistry --allow-trusted-services false
기존 레지스트리 또는 이미 사용하지 않도록 설정된 레지스트리에서 설정을 사용하도록 설정하려면 다음을 수행합니다.
az acr update --name myregistry --allow-trusted-services true
신뢰할 수 있는 서비스 허용 - 포털
기본적으로 새 Azure Container Registry에서 신뢰할 수 있는 서비스 허용 설정이 사용됩니다.
포털에서 설정을 사용하지 않도록 설정하거나 다시 사용하도록 설정하려면:
- 포털에서 컨테이너 레지스트리로 이동합니다.
- 설정에서 네트워킹을 선택합니다.
- 공용 네트워크 액세스 허용에서 선택한 네트워크 또는 사용 안 함으로 선택합니다.
- 다음 단계 중 하나를 실행합니다.
- 신뢰할 수 있는 서비스에 의한 액세스를 사용하지 않도록 설정하려면 방화벽 예외에서 신뢰할 수 있는 Microsoft 서비스가 이 컨테이너 레지스트리에 액세스하도록 허용을 선택 취소합니다.
- 신뢰할 수 있는 서비스를 허용하려면 방화벽 예외에서 신뢰할 수 있는 Microsoft 서비스가 이 컨테이너 레지스트리에 액세스하도록 허용을 선택합니다.
- 저장을 선택합니다.
신뢰할 수 있는 서비스 워크플로
신뢰할 수 있는 서비스의 인스턴스에서 네트워크 제한 컨테이너 레지스트리에 액세스할 수 있도록 하는 일반적인 워크플로는 다음과 같습니다. 이 워크플로는 서비스 인스턴스의 관리 ID를 사용하여 레지스트리의 네트워크 규칙을 무시할 때 필요합니다.
- Azure Container Registry에 대해 신뢰할 수 있는 서비스 중 하나의 인스턴스에서 관리 ID 를 사용하도록 설정합니다.
- 레지스트리에 Azure 역할을 ID에 할당합니다. 예를 들어, ABAC 사용 레지스트리의 경우에는
Container Registry Repository Reader또는 ABAC가 아닌 레지스트리의 경우에는AcrPull를 할당합니다. - 신뢰할 수 있는 서비스의 액세스를 허용하도록 네트워크 제한 레지스트리에서 설정을 구성합니다.
- 네트워크 제한 레지스트리를 사용하여 인증하려면 ID의 자격 증명을 사용합니다.
- 레지스트리에서 이미지를 끌어오거나 역할에서 허용하는 다른 작업을 수행합니다.
다음 단계
- 가상 네트워크의 프라이빗 엔드포인트를 사용하여 레지스트리에 대한 액세스를 제한하려면 Azure 컨테이너 레지스트리에 대한 Azure Private Link 구성을 참조하세요.
- 레지스트리 방화벽 규칙을 설정하려면 공용 IP 네트워크 규칙 구성을 참조하세요.