azurecontainer Registry宣布了专用的数据端点，为特定的注册中心启用了严格限定范围的客户端防火墙规则，最大限度地减少了数据外泄的顾虑。从注册表中提取内容涉及两个端点：注册表端点，通常称为登录URL，用于身份验证和内容发现。像docker pull这样的命令contoso.azurecr.io/你好-world发出一个REST请求，该请求对表示所请求工件的层进行身份验证和协商。数据端点服务于表示内容层的blob。注册表管理的存储帐户Azure存储由多个租户服务托管，其中服务注册中心是多个租户。托管存储有许多好处，如负载平衡、有争议的内容拆分、多个拷贝以实现更高的并发内容交付，以及使用地域复制的多区域支持。Azure专用链接虚拟网络支持azurecontainer Registry最近宣布了私有链接支持，允许来自Azure虚拟网络的私有端点放置在托管注册服务上。在这种情况下，注册表和数据端点都可以从虚拟网络中使用专用IP进行访问。然后可以删除公共端点，从而保护托管注册表和存储帐户从虚拟网络中进行访问。 不幸的是，虚拟网络连接并不总是一种选择。客户端防火墙规则和数据过滤风险当从prem主机、物联网设备、自定义生成代理连接到注册表时，或者当私有链接不是选项时，可能会应用客户端防火墙规则，从而限制对特定资源的访问。 由于客户锁定了他们的客户机防火墙配置，他们意识到他们必须为所有存储帐户创建一个通配符规则，这引起了对数据过滤的担忧。坏角色可以部署能够写入其存储帐户的代码。为了减轻数据外泄的担忧，azurecontainer Registry正在提供专用的数据端点。专用数据终结点启用专用数据终结点后，将从Azure容器注册表服务检索层，其中包含表示注册表域的完全限定域名。由于任何注册表都可能被地域复制，因此使用区域模式：[注册表].[区域]。数据.azurecr.io.对于Contoso示例，添加了多个区域数据终结点，支持具有附近副本的本地区域。有了专用的数据端点，就可以阻止坏角色写入其他存储帐户。启用专用数据终结点注意：切换到专用数据端点将影响已配置防火墙访问现有*的客户端。blob.core.windows导致.net终结点失败。要确保客户端具有一致的访问权限，请将新的数据端点添加到客户端防火墙规则中。一旦完成，现有的注册中心就可以通过azcli启用专用的数据端点。使用az cli 2.4.0或更高版本，运行az acr update命令：az acr update--name contoso--已启用数据终结点要查看数据终结点，包括地域复制注册表的区域终结点，请使用az acr show endpoints cli：az acr show endpoints--名称contoso输出：{"登录服务器"：contoso.azurecr.io公司","数据端点"：[    {"region"："eastus"，"端点"：contoso.eastus.data公司.azurecr.io公司",    },    {"region"："westus"，"端点"：contoso.westus.数据.azurecr.io公司",    }  ]}Azure专用链接的安全性Azure专用链接是控制客户端和注册表之间网络访问的最安全的方式，因为网络流量仅限于Azure虚拟网络，使用专用IP。当私有链接不是一个选项时，专用的数据端点可以提供关于从每个客户端可以访问哪些资源的安全知识。定价信息专用数据端点是高级注册中心的一个功能。有关专用数据终结点的详细信息，请参阅此处的定价信息。