registries
Summary
Details
重要な実稼働ワークロードにはプレミアム層を使用する
Impact: High Category: Scalability PG Verified: Preview
Description:
パフォーマンスのニーズを満たすために、Azure Container Registry のサービス レベルを選択してください。プレミアムは、大容量展開向けに最大の帯域幅と最高速度の読み取りおよび書き込み操作を提供します。開始するには Basic、運用には Standard、ハイパースケール パフォーマンスと geo レプリケーションには Premium を使用します。
Potential Benefits:
High-volume support and geo-replication
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// Find all Container Registries that are not using the Premium tier
resources
| where type =~ "microsoft.containerregistry/registries"
| where sku.name != "Premium"
| project recommendationId = "eb005943-40a8-194b-9db2-474d430046b7", name, id, tags, param1=strcat("SkuName: ", tostring(sku.name))
| order by id asc
ゾーン冗長性を有効にする
Impact: High Category: High Availability PG Verified: Preview
Description:
Azure Container Registry のオプションのゾーン冗長性は、リソースを複数のゾーンに分散することで、特定のリージョン内のレジストリまたはレプリケーション リソースの回復力と高可用性を強化します。
Potential Benefits:
Enhances resiliency and high availability
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// Find all Container Registries that do not have zone redundancy enabled
resources
| where type =~ "microsoft.containerregistry/registries"
| where properties.zoneRedundancy != "Enabled"
| project recommendationId = "63491f70-22e4-3b4a-8b0c-845450e46fac", name, id, tags, param1=strcat("zoneRedundancy: ", tostring(properties.zoneRedundancy))
| order by id asc
geo レプリケーションを有効にする
Impact: High Category: Disaster Recovery PG Verified: Preview
Description:
マルチリージョン デプロイに Azure Container Registry の geo レプリケーションを使用すると、レジストリ管理が簡素化され、待ち時間が最小限に抑えられます。これにより、ローカル データセンターから世界中のお客様にサービスを提供できるようになり、分散した開発チームがサポートされます。リージョン Webhook は、レプリカ内のイベントを通知できます。
Potential Benefits:
Simplifies management, reduces latency
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// Find all Container Registries that do not have geo-replication enabled
resources
| where type =~ "microsoft.containerregistry/registries"
| project registryName = name, registryId = id, tags, primaryRegion = location
| join kind=leftouter (
Resources
| where type =~ "microsoft.containerregistry/registries/replications"
| project replicationRegion=name, replicationId = id
| extend registryId=strcat_array(array_slice(split(replicationId, '/'), 0, -3), '/')
) on registryId
| project-away registryId1, replicationId
| where isempty(replicationRegion)
| project recommendationId = "36ea6c09-ef6e-d743-9cfb-bd0c928a430b", name=registryName, id=registryId, tags
| order by id asc
リポジトリ名前空間を使用する
Impact: Low Category: Security PG Verified: Preview
Description:
リポジトリ名前空間を使用すると、単一のレジストリを組織内の複数のグループおよび展開間で共有できるようになり、グループ分離のためのネストされた名前空間がサポートされます。ただし、リポジトリは階層的にではなく独立して管理されます。
Potential Benefits:
Enables sharing and group isolation
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// cannot-be-validated-with-arg
Container Registry を専用のリソース グループに移動する
Impact: Low Category: Governance PG Verified: Preview
Description:
複数のホスト間で使用されるコンテナー レジストリは、コンテナー インスタンスの削除時にイメージが誤って削除されるのを防ぐために、独自のリソース グループに存在し、ホストでの実験中にイメージ コレクションを保持する必要があります。
Potential Benefits:
Safeguards image collection
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// List container registries that contain additional resources within the same resource group.
resources
| where type =~ "microsoft.containerregistry/registries"
| project registryName=name, registryId=id, registryTags=tags, resourceGroupId=strcat('/subscriptions/', subscriptionId, '/resourceGroups/', resourceGroup), resourceGroup, subscriptionId
| join kind=inner (
resources
| where not(type =~ "microsoft.containerregistry/registries")
| summarize recourceCount=count() by subscriptionId, resourceGroup
| where recourceCount != 0
) on resourceGroup, subscriptionId
| project recommendationId = "8e389532-5db5-7e4c-9d4d-443b3e55ae82", name=registryName, id=registryId, tags=registryTags, param1=strcat('resourceGroupName:',resourceGroup), param2=strcat('resourceGroupId:',resourceGroupId)
レジストリサイズの管理
Impact: Medium Category: Scalability PG Verified: Preview
Description:
Azure Container Registry のサービス レベルのストレージ制約は、初心者向けの Basic、運用向けの Standard、および高スケールのパフォーマンスと geo レプリケーション向けの Premium という使用シナリオに合わせています。
Potential Benefits:
Reduce costs, optimize storage
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// Find all Container Registries that have their retention policy disabled
resources
| where type =~ "microsoft.containerregistry/registries"
| where properties.policies.retentionPolicy.status == "disabled"
| project recommendationId = "3ef86f16-f65b-c645-9901-7830d6dc3a1b", name, id, tags, param1='retentionPolicy:disabled'
| order by id asc
匿名プルアクセスを無効にする
Impact: Medium Category: Security PG Verified: Preview
Description:
既定では、Azure Container Registry では、プル/プッシュ アクションに認証が必要です。匿名プル アクセスを有効にすると、パブリック読み取りアクションのすべてのコンテンツが公開されます。これはすべてのリポジトリに適用され、リポジトリ スコープのトークンが使用されている場合は無制限のアクセスが許可される可能性があります。
Potential Benefits:
Enhanced security and controlled access
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// Find all Container Registries that have anonymous pull access enabled
resources
| where type =~ "microsoft.containerregistry/registries"
| where properties.anonymousPullEnabled == "true"
| project recommendationId = "03f4a7d8-c5b4-7842-8e6e-14997a34842b", name, id, tags
| order by id asc
すべての Azure Container Registry の診断設定を構成する
Impact: Medium Category: Monitoring and Alerting PG Verified: Preview
Description:
リソース ログは、診断設定を作成して 1 つ以上の場所にルーティングするまで収集および保存されません。
Potential Benefits:
Enhanced tracking and debugging
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// cannot-be-validated-with-arg
Azure Monitor を使用して Azure Container Registry を監視する
Impact: Medium Category: Monitoring and Alerting PG Verified: Preview
Description:
Azure Monitor を使用して Azure リソースを監視すると、可用性、パフォーマンス、操作が強化されます。フルスタック監視サービスである Azure Container Registry は、Azure やその他のクラウドおよびオンプレミスのリソースに機能を提供します。
Potential Benefits:
Enhanced monitoring and operation
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// cannot-be-validated-with-arg
論理的な削除ポリシーを有効にする
Impact: Medium Category: Disaster Recovery PG Verified: Preview
Description:
Azure Container Registry (ACR) で論理的な削除を有効にすると、削除されたアーティファクトを指定された保持期間で管理できるようになります。ユーザーは、保存後に自動的に削除されるまで、これらのアーティファクトをリスト、フィルタリング、および復元できます。
Potential Benefits:
Recovery of deleted artifacts
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// Provides a list of Azure Container Registry resources that do not have soft delete enabled
resources
| where type =~ "microsoft.containerregistry/registries"
| where properties.policies.softDeletePolicy.status == "disabled"
| project recommendationId = "e7f0fd54-fba0-054e-9ab8-e676f2851f88", name, id, tags
| order by id asc