azure - 如何向不在同一网络组中的Azure容器应用程序提供ACR的访问？

Question

我在生产网络组中有ACR，即myregistry，并且我在dev-network-group中创建容器应用程序，uat-network-group和prod-network-group。

目前，我正在尝试使用如下所示的凭据从 dev、uat 网络连接 myregistry，

如何使用Azure容器注册表作为镜像源而不是Docker Hub或其他注册表？如何向所有 dev 和 uat 容器应用提供我的 ACR 的访问权限？

生产没有问题，我可以使用 Azure Container Registry 作为镜像源，因为它们位于同一网络中。

解决此问题的任何类型的解决方法都是值得赞赏的。

Answer 1

How to provide access of ACR to Azure container apps which are not in same network group: -

您可以创建专用端点，允许您使用专用 IP 地址直接从虚拟网络访问容器注册表。

解决您的问题后，我发现了以下从其他虚拟网络访问 ACR 的方法。

转到容器注册表 >> 网络 >> 选择选定的网络并通过添加要阻止的 IP 地址来启用防火墙(如果需要)>> 启用允许访问来自受信任的 >> 单击“保存”。

或者，您可以为 ACR 创建身份并向特定托管身份添加所需的权限，如 MSDoc 中所示。 .

我已使用 AzCLI 创建了身份并添加了权限:

az identity create --resource-group <resourcegroup> --name newcrj
uid=$(az identity create --resource-group <resourcegroup> --name newcrj --query id --output tsv)
spid=$(az identity show --resource-group <resourcegroup> --name newcrj --query principalId --output tsv)
az role assignment create --assignee $spid --scope $uid --role acrpull

更新:

在对您的问题进行讨论和解决方法之后，我发现如果容器应用程序是私有(private)注册表，则在不使用凭据的情况下无法将 ACR 附加到容器应用程序。

我尝试了所有部署方法，每次部署都提示输入私有(private)注册表的用户凭据。