ACR 和 Azure DevOps 中的防火墙规则答案

【问题标题】：Firewall rule in ACR & Azure DevOpsACR 和 Azure DevOps 中的防火墙规则
【发布时间】：2020-03-26 21:51:20
【问题描述】：

在 Azure DevOps 中定义构建和发布管道时，如何在 ACR 中指定防火墙规则？发布管道（拉取）可能没有问题，因为可以在防火墙规则中允许 AKS 服务 cidr 的 vnet 访问，但是通过构建管道进行的推送呢

【问题讨论】：

【解决方案1】：

ACR 的防火墙显示，当您启用它并允许 vnet 访问 ACR 时。然后 vnet 中的资源可以通过拉取和推送图像等操作来访问 ACR。防火墙的 IP 地址或 CIDR 是指您用来发送控制请求的机器的 IP 地址。

例如，如果您要将图片推送到ACR，并且您还启用了ACR的防火墙，那么您需要添加您本地机器的公共IP作为ACR防火墙规则的IP地址。

当您使用Azure DevOps创建任务来控制ACR时，我认为您需要将Azure DevOps的公共IP添加到ACR防火墙规则中。

【讨论】：

您好 Charles，我很了解 ACR 的防火墙和虚拟网络设置功能。我担心将 Azure DevOps ip 地址列入白名单。可以获得 Azure DevOps 使用的 IP 地址范围；但这将是一个广泛的IP。它仍将启用 Azure Devops 中具有服务连接的任何管道，然后在容器注册表中推送图像。还有其他选择吗？对我来说，这里的安全可靠性更多的是服务连接而不是 ip 白名单。
@Aalap 如果您指的是防火墙，那么据我所知，别无选择。但我建议您使用access control 而不是防火墙。此外，您可以控制存储库的权限。
是的，这是使用访问控制来处理的..我想明确将 IP 列入白名单..我认为我们俩都在同一页面上..
@Aalap 如果IP地址是静态的，那没问题。但是正如你所说的它是动态的，所以白名单IP不是一个好方法。好的，如果答案对你有用，请标记它。