Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Voor toegang tot en beheer van een verbonden register worden momenteel alleen ACR-tokens die niet van Microsoft Entra zijn, ondersteund. Zoals wordt weergegeven in de volgende afbeelding, worden twee verschillende typen tokens gebruikt door elk verbonden register:
- Clienttokens - een of meer tokens die on-premises clients gebruiken om te authenticeren bij een verbonden register en installatiekopieën en artefacten naar of van het register uploaden of downloaden.
- Synchronisatietoken : een token dat door elk verbonden register wordt gebruikt voor toegang tot het bovenliggende register en het synchroniseren van inhoud.
Belangrijk
Sla tokenwachtwoorden op voor elk verbonden register op een veilige locatie. Nadat ze zijn gemaakt, kunnen tokenwachtwoorden niet worden opgehaald. U kunt tokenwachtwoorden op elk gewenst moment opnieuw genereren.
Client-tokens
Als u clienttoegang tot een verbonden register wilt beheren, maakt u tokens die zijn gericht op acties in een of meer opslagplaatsen. Nadat u een token hebt gemaakt, configureert u het verbonden register om het token te accepteren met behulp van de opdracht az acr connected-registry update . Een client kan vervolgens de tokenreferenties gebruiken om toegang te krijgen tot een verbonden registereindpunt, bijvoorbeeld om Docker CLI-opdrachten te gebruiken voor het ophalen of pushen van installatiekopieën naar het verbonden register.
Uw opties voor het configureren van clienttokenacties zijn afhankelijk van of het verbonden register zowel push- als pull-bewerkingen of functies toestaat als een pull-mirror.
- Met een verbonden register in de standaardmodus ReadWrite kunt u zowel pull- als pushbewerkingen uitvoeren, zodat u een token kunt maken waarmee acties zowel inhoud van de opslagplaats kunnen lezen als schrijven in dat register.
- Voor een verbonden register in de readOnly-modus kunnen clienttokens alleen acties toestaan om inhoud van de opslagplaats te lezen .
Clienttokens beheren
Werk indien nodig clienttokens, wachtwoorden of bereiktoewijzingen bij met behulp van az acr-token en az acr scope-map-opdrachten . Clienttokenupdates worden automatisch doorgegeven aan de verbonden registers die het token accepteren.
Token synchroniseren
Elk verbonden register maakt gebruik van een synchronisatietoken om te authentiseren met zijn directe bovenliggende register, wat een ander verbonden register of het cloudregister kan zijn. Het verbonden register gebruikt dit token automatisch bij het synchroniseren van de inhoud met het bovenliggende register of het uitvoeren van andere updates.
- Het synchronisatietoken en wachtwoorden worden automatisch gegenereerd wanneer u de verbonden registerresource maakt. Voer de opdracht [az acr connected-registry get-settings][/cli/azure/acr/connected-registry#az-acr-connected-registry-get-settings] uit om de wachtwoorden opnieuw te genereren.
- Voeg synchronisatietokenreferenties toe in de configuratie die wordt gebruikt om het verbonden register on-premises te implementeren.
- Standaard krijgt het synchronisatietoken toestemming om geselecteerde opslagplaatsen te synchroniseren met het bovenliggende archief. U moet een bestaand synchronisatietoken of een of meer opslagplaatsen opgeven die moeten worden gesynchroniseerd wanneer u de verbonden registerresource maakt.
- Het heeft ook machtigingen om synchronisatieberichten te lezen en te schrijven op een gateway die wordt gebruikt om met het bovenliggende register van het verbonden register te communiceren. Deze berichten beheren het synchronisatieschema en beheren andere updates tussen het verbonden register en het bovenliggende register.
Synchronisatietoken beheren
Werk indien nodig synchronisatietokens, wachtwoorden of bereiktoewijzingen bij met behulp van az acr-token en az acr scope-map-opdrachten . Synchronisatietokenupdates worden automatisch doorgegeven aan het verbonden register. Volg de standaardprocedures voor het roteren van wachtwoorden bij het bijwerken van het synchronisatietoken.
Opmerking
Het synchronisatietoken kan pas worden verwijderd nadat het verbonden register dat is gekoppeld aan het token is verwijderd. U kunt een verbonden register uitschakelen door de status van het synchronisatietoken in te stellen op disabled.
Registersysteemeindpunten
Token-credentials voor verbonden registers zijn bedoeld voor toegang tot specifieke registereindpunten.
Een clienttoken opent het eindpunt van het verbonden register. Het verbonden registereindpunt is de URI van de aanmeldingsserver. Dit is meestal het IP-adres van de server of het apparaat waarop het wordt gehost.
Een synchronisatietoken opent het eindpunt van het bovenliggende register. Dit is een ander verbonden registereindpunt of het cloudregister zelf. Wanneer het bereik voor toegang tot het cloudregister is bereikt, moet het synchronisatietoken twee registereindpunten bereiken:
- De volledig gekwalificeerde aanmeldingsservernaam, bijvoorbeeld
contoso.azurecr.io. Dit eindpunt wordt gebruikt voor verificatie. - Een volledig gekwalificeerde regionale gegevenseindpunt voor het cloudregister, bijvoorbeeld
contoso.westus2.data.azurecr.io. Dit eindpunt wordt gebruikt om berichten uit te wisselen met het verbonden register voor synchronisatiedoeleinden.
- De volledig gekwalificeerde aanmeldingsservernaam, bijvoorbeeld
Volgende stappen
Ga verder met het volgende artikel voor meer informatie over specifieke scenario's waarin verbonden register kan worden gebruikt.