跳到主要內容

使用 Azure Private Link 或 VNet Service Endpoints 來建立私有 ACR

使用 Azure Private Link 或 VNet Service Endpoints 來建立私有 ACR

在現代雲端環境中,安全性 是企業最關心的議題之一,尤其是當你的 Azure Container Registry (ACR) 儲存了關鍵映像檔時,你絕對不希望它暴露在公網上,成為駭客攻擊的目標。

兩種方式讓 ACR 更安全

  • Azure Private Link(推薦 ) - ACR 完全私有,封鎖所有公網流量,只允許內部 VNet 存取。
  • VNet Service Endpoints - ACR 仍有公網 IP,但僅允許來自指定 VNet 的請求。

為什麼選擇 Private ACR?

  • 確保 ACR 不暴露在公網上 - 預設 ACR 會有公網 IP,這是一個潛在的安全風險!
  • 增強安全性,阻擋外部攻擊 - 只有內部網路能存取 ACR,提高保護級別。
  • 與 AKS 無縫整合 - 確保 Kubernetes 叢集能安全拉取映像檔。
  • DNS 解析更順暢 - 透過 privatelink.azurecr.io 解析內部 ACR。

🔹 選項 1:使用 Private Link(推薦 )

Private Link 讓 ACR 完全私有,不允許任何來自公網的存取。

步驟 1:建立 Private ACR

resource "azurerm_container_registry" "acr" {
  name                          = "myprivateacr"
  resource_group_name           = <resource_group_name>
  location                      = <resource_group_location>
  sku                           = "Premium"
  admin_enabled                 = false
  public_network_access_enabled = false
}

步驟 2:建立 Private Endpoint

當使用 Azure Private Link 透過私有端點(Private Endpoint)存取 Azure Container Registry (ACR) 時,預設的 Public DNS 解析 (azurecr.io) 將無法運作。
相對地,Azure 提供了一個 私有 DNS Zone (privatelink.azurecr.io) 來解析 ACR 的 私有 IP
透過 虛擬網路連結(Virtual Network Link),確保 VNet (xxx-vpc) 內的所有資源,都能夠正確解析 ACR 的 私有 IP,而非 Public IP。

resource "azurerm_private_endpoint" "acr_pe" {
  name                = "acr-private-endpoint"
  location            = <resource_group_location>
  resource_group_name = <resource_group_name>
  subnet_id           = azurerm_subnet.private_subnet.id

  private_service_connection {
    name                           = "acr-private-connection"
    private_connection_resource_id = azurerm_container_registry.acr.id
    is_manual_connection           = false
    subresource_names              = ["registry"]
  }

  private_dns_zone_group {
    name                 = "acr-dns-group"
    private_dns_zone_ids = [azurerm_private_dns_zone.acr_dns.id]
  }
}

# Create Private DNS Zone for ACR
resource "azurerm_private_dns_zone" "acr_dns" {
  name                = "privatelink.azurecr.io"
  resource_group_name = <resource_group_name>
}

# Link Private DNS to VNet
resource "azurerm_private_dns_zone_virtual_network_link" "acr_dns_link" {
  name                  = "acr-dns-vnet-link"
  resource_group_name   = <resource_group_name>
  private_dns_zone_name = azurerm_private_dns_zone.acr_dns.name
  virtual_network_id    = azurerm_subnet.private_subnet.id
}

🔹 選項 2:使用 VNet Service Endpoints

如果無法使用 Private Link,可以考慮 VNet Service Endpoints,雖然仍有公網 IP,但存取權限受 VNet 限制。

步驟 1:建立 Private ACR 並啟用 VNet Service Endpoints

resource "azurerm_container_registry" "acr" {
  name                = "myprivateacr"
  resource_group_name = local.foundation.resource_group_name
  location            = local.foundation.resource_group_location
  sku                 = "Premium"
  admin_enabled       = false

  network_rule_set {
    default_action = "Deny"
    virtual_network {
      action    = "Allow"
      subnet_id = azurerm_subnet.private_subnet.id
    }
  }
}

哪種方式最適合你?

功能 Private Link(推薦 ) VNet Service Endpoints
存取方式 完全私有(無外網存取) 仍使用公有 IP,但僅限 VNet 存取
安全性 🔒🔒🔒 最高 🔒 中等
效能 私有網路內低延遲存取 仍需透過 Azure Backbone
設定難度 較複雜(需設定 Private Endpoint & DNS) 較簡單

總結

選擇最適合你的方案:

  • 如果你希望 ACR 完全私有,無外網存取 👉 選擇 Private Link 
  • 如果你希望 設定簡單,且可接受仍使用公有 IP 👉 選擇 VNet Service Endpoints


END


標籤:

留言

張貼留言

這個網誌中的熱門文章

[解決方法] docker: permission denied

前言 當我們執行docker 指令時若出現以下錯誤訊息 docker: Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post http://%2Fvar%2Frun%2Fdocker.sock/v1.26/containers/create: dial unix /var/run/docker.sock: connect: permission denied. See 'docker run --help'. 表示目前的使用者身分沒有權限去存取docker engine, 因為docker的服務基本上都是以root的身分在執行的, 所以在指令前加sudo就能成功執行指令 但每次實行docker指令(就連docker ps)都還要加sudo實在有點麻煩, 正確的解法是 我們可以把目前使用者加到docker群組裡面, 當docker service 起來時, 會以這個群組的成員來初始化相關服務 sudo groupadd docker sudo usermod -aG docker $USER 需要退出重新登錄後才會生效 Workaround 因為問題是出在權限不足, 如果以上方法都不管用的話, 可以手動修改權限來解決這個問題 sudo chmod 777 /var/run/docker.sock https://docs.docker.com/install/linux/linux-postinstall/
張貼留言
閱讀完整內容

[C#] Visual Studio, 如何在10分鐘內快速更改命名專案名稱

前言: 由於工作需要, 而且懶得再重寫類似的專案, 所以常常將之前寫的專案複製一份加料後, 再重新命名編譯 假設今天我有一個專案HolyUWP, 我想把它重新命名成 BestUWP 時該怎麼做? 以下是幾個簡單的的步驟 使用Visual Studio 2017 備份原來專案 更改Solution名稱 更改Assembly name, Default namespce 更改每支程式碼的Namespace 更改專案資料夾名稱 備份原來專案 由於怕改壞掉, 所以在改之前先備份 更改Solution名稱 更改sln的名稱, 這邊我改成BestUWP.sln 使用Visual Studio打開你的.sln, 右鍵點擊Solution後選擇Rename, 這邊我把它重新命名成BestUWP(跟檔案名稱一致) 必要的話可以順便修改Porject名稱 更改Assembly name, Default namespce 進入 Project > OOXX Properties    修改Assembly Name, Default namesapce 更改每支程式碼的Namespace 基本上隨便挑一支有用到預設Namesapce(HolyUWP)的程式碼來改就好了 重新命名後點擊Apply,  這個動作做完後所有用到舊Namespace的程式碼都會被改成新的 更改專案資料夾名稱 以上動作做完後, 基本上就可以把專案編譯出來測看看了~
2 則留言
閱讀完整內容

[Visual Studio Code] 如何切換背景主題

在我們安裝完畢後,背景主題預設會是黑色 那如果不喜歡黑色 我們可以直接到 File > Preferences > Color Theme下做更換 點開Color Theme 後會發現,Visual Studio Code 內建了許多主題讓我們選擇 現在的Visual Studio Code提供Syntax HighLight的功能,方便我們複製貼上程式碼時能保有顏色 由於我希望複製貼上後的程式碼背景可以是白色的 所以我選擇了 Light(Visual Studio) 這個主題,結果如下
張貼留言
閱讀完整內容