我有一个练习项目来开始试验 Azure。
Azure Dev Ops 中的 CI 管道构建 docker 映像并将其注册到我的 ACR。
在 Azure 中创建东西还不错,尤其是在没有很好地定义安全性的情况下。而当您想要正确配置安全性时,事情可能会变得具有挑战性。有人可以帮助我了解确保尽可能安全地完成此操作的最佳方法。
以下是一些浮现在脑海中的问题:
Q1) 我必须将我的 ACR 上的公共网络访问设置为 public 才能正常工作。我相信在 CI 管道期间创建的代理每次都有一个新的 IP 地址。即使我知道 IP 地址范围将它们列入白名单甚至是最好的方法?
Q2) Azure Pipelines 自动在 Dev Ops 中创建了一个服务连接,以启用对我的资源的访问。这作为字符串存储在我的 azure-pipelines.yml 中,我决定将其作为变量存储在 DevOps 中并引用它,因此只有在代理运行时才能真正看到它。但是,此字符串仍然显示在我的 Azure Repos 历史记录中。这个服务连接字符串显然是唯一允许某人拉和推到我的 ACR 的东西(+ IP 地址)?
我不希望通过 Azure DevOps 提供访问以使事情正常工作,因为它正在工作。我需要一个好的做法来确保没有人可以从我的 docker 注册表中提取,因为网络受到限制并使用至少隐藏的密钥访问它。