Konfigurieren von Registrierungsendpunkten

Von Bedeutung

Diese Seite enthält Anweisungen zum Verwalten von Azure IoT Operations-Komponenten mithilfe von Kubernetes-Bereitstellungsmanifesten, die sich in DER VORSCHAU befinden. Dieses Feature ist mit mehreren Einschränkungen versehen und sollte nicht für Produktionsworkloads verwendet werden.

Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Datenflussdiagramme und der HTTP/REST-Connector verwenden Registrierungsendpunkte, um WebAssembly(WASM)-Module und Graphdefinitionen aus Containerregistrierungen abzurufen. Azure IoT Operations ruft alle benutzerdefinierten Connectorvorlagen ab, die Sie aus Containerregistrierungen entwickeln. Sie können die Endpunkteinstellungen, die Authentifizierung und andere Einstellungen konfigurieren, um eine Verbindung mit der Azure Container Registry (ACR) oder anderen OCI-kompatiblen Registrierungen herzustellen, z. B.:

Docker Hub
Hafen
AWS Elastic Container Registry
Google Container Registry

Die Beispiele in diesem Artikel zeigen, wie Sie einen Registrierungsendpunkt mithilfe von ACR konfigurieren.

Voraussetzungen

Eine Instanz von Azure IoT Operations, Version 1.2 oder höher.
Zugriff auf eine Containerregistrierung, z. B. ACR.

Übersicht über Registrierungsendpunkte

Ein Registrierungsendpunkt definiert die Verbindungsdetails und Authentifizierungsmethode für den Zugriff auf eine Containerregistrierung. Registrierungsendpunkte werden verwendet von:

Datenflussdiagramme: So ziehen Sie WASM-Module und Diagrammdefinitionen für die benutzerdefinierte Verarbeitung
HTTP/REST-Connector: So rufen Sie WASM-Module und Graphdefinitionen für die benutzerdefinierte Verarbeitung ab
Akri-Konnectoren: Um Vorlagen für benutzerdefinierte Konnektoren abzurufen

Registrierungsendpunkte unterstützen eine Authentifizierung durch:

Vom System zugewiesene verwaltete Identität
Vom Benutzer zugewiesene verwaltete Identität
Geheimnis für den Artefakt-Abruf (Benutzername und Kennwort)
Anonymer Zugang (für öffentliche Registrierungen)

Erstellen eines Registrierungsendpunkts

Ein Registrierungsendpunkt definiert die Verbindung mit Ihrer Containerregistrierung. Datenflussdiagramme verwenden Registrierungsendpunkte, um WASM-Module und Graphdefinitionen aus Containerregistrierungen abzurufen. Azure IoT Operations verwendet Registrierungsendpunkte, um benutzerdefinierte Connectorvorlagen aus Containerregistrierungen abzurufen. Sie können einen Registrierungsendpunkt über das Azure-Portal, azure CLI, Bicep oder Kubernetes erstellen. Nachdem Sie einen Registrierungsendpunkt erstellt haben:

Sie können alle Diagramme, die Sie in Ihre Containerregistrierung übertragen haben, in der Betriebserfahrung in Datenflussdiagrammen verwenden.
Sie können alle in Ihre Containerregistrierung übertragenen benutzerdefinierten Connectors in der Betriebserfahrung verwenden, um eingehende Geräteendpunkte zu erstellen.

Verwenden Sie das Azure-Portal, um Registrierungsendpunkte zu erstellen. Die Portalerfahrung fordert Sie auf, Hostdetails für eine ACR anzugeben und bereitzustellen, und optional Anmeldeinformationen bereitzustellen. Bevor Sie beginnen, stellen Sie sicher, dass Sie über die folgenden Informationen verfügen:

Name des Registrierungsendpunkts.
Ein Hostname für das ACR.
Vier Authentifizierungstypen werden unterstützt:
- Anonym
- Vom System verwaltete Identität
- Vom Benutzer verwaltete Identität
- Artefaktgeheimnis

Führen Sie die folgenden Schritte aus, um einen Registrierungsendpunkt im Azure-Portal zu erstellen.

Erstellen von Registrierungsendpunkten mit anonymer Authentifizierung

Erstellen Sie einen neuen Registrierungsendpunkt, indem Sie die Hostdetails eines ACR angeben. Aktivieren Sie anonymen Zugriff für den Abruf öffentlicher Bilder, und speichern Sie die Konfiguration für die Wiederverwendung. Wählen Sie zuerst den Typ der Authentifizierung aus, die Sie verwenden möchten. Verwenden Sie in diesem Beispiel die anonyme Authentifizierung:

Erstellen von Registrierungsendpunkten mit der vom System verwalteten Identitätsauthentifizierung

Erstellen Sie einen neuen Registrierungsendpunkt, indem Sie die Hostdetails eines ACR angeben. Authentifizieren Sie sich mithilfe einer vom System zugewiesenen verwalteten Identität für den sicheren Zugriff, und speichern Sie die Konfiguration für die Wiederverwendung.

Erstellen von Registrierungsendpunkten mit vom Benutzer verwalteter Identität

Erstellen Sie einen neuen Registrierungsendpunkt, indem Sie die Hostdetails eines ACR angeben. Authentifizieren Sie sich mithilfe einer vom Benutzer zugewiesenen verwalteten Identität für den sicheren Zugriff. Speichern Sie die Konfiguration für die Wiederverwendung.

Hinweis

Die Client- und Mandanten-IDs sind erforderlich, um die vom Benutzer verwaltete Identität zu aktivieren.

Registrierungsendpunkte mit Artefaktgeheimnissen erstellen

Verwenden Sie Artefakt-Geheimnisse, um sich bei privaten Container-Registries wie ACR, Docker Hub oder MCR beim Abruf von Container-Images zu authentifizieren. Geheime Schlüssel sind wichtig, wenn die Registrierung Anmeldeinformationen erfordert und das Bild nicht öffentlich zugänglich ist. In diesem Szenario können Sie Datenflussdiagramme in Azure IoT Operations und der Betriebserfahrung verwalten. Sie können Artefaktgeheimnisse aus Microsoft Azure Key Vault einrichten, indem Sie vorhandene Geheimnisse auswählen.

Erstellen Sie einen neuen Registrierungsendpunkt, indem Sie die Hostdetails eines ACR angeben. Authentifizieren Sie sich mithilfe von Artefaktschlüsseln für den sicheren Zugriff und speichern Sie die Konfiguration für die Wiederverwendung:

Richten Sie Artefaktegeheimnisse aus Azure Key Vault ein, indem Sie neue geheime Schlüssel erstellen und in Azure Key Vault speichern:

Erstellen Sie eine Bicep .bicep-Datei mit dem folgenden Inhalt:

param aioInstanceName string = '<AIO_INSTANCE_NAME>'
param customLocationName string = '<CUSTOM_LOCATION_NAME>'
param registryEndpointName string = '<REGISTRY_ENDPOINT_NAME>'
param acrName string = '<YOUR_ACR_NAME>'

resource aioInstance 'Microsoft.IoTOperations/instances@2025-10-01' existing = {
  name: aioInstanceName
}

resource customLocation 'Microsoft.ExtendedLocation/customLocations@2021-08-31-preview' existing = {
  name: customLocationName
}

resource registryEndpoint 'Microsoft.IoTOperations/instances/registryEndpoints@2025-10-01-preview' = {
  parent: aioInstance
  name: registryEndpointName
  extendedLocation: {
    name: customLocation.id
    type: 'CustomLocation'
  }
  properties: {
    host: '${acrName}.azurecr.io'
    authentication: {
      method: 'SystemAssignedManagedIdentity'
      systemAssignedManagedIdentitySettings: {
        audience: 'https://management.azure.com/'
      }
    }
  }
}

Stellen Sie die Bicep-Datei mithilfe von Azure CLI bereit:

az deployment group create --resource-group <RESOURCE_GROUP> --template-file <FILE>.bicep

Erstellen Sie eine Kubernetes-Manifestdatei (.yaml) mit folgendem Inhalt:

apiVersion: connectivity.iotoperations.azure.com/v1beta1
kind: RegistryEndpoint
metadata:
  name: <REGISTRY_ENDPOINT_NAME>
  namespace: azure-iot-operations
spec:
  host: <YOUR_ACR_NAME>.azurecr.io
  authentication:
    method: SystemAssignedManagedIdentity
    systemAssignedManagedIdentitySettings:
      audience: https://management.azure.com/

Wenden Sie die Manifestdatei auf den Kubernetes-Cluster an.

kubectl apply -f <FILE>.yaml

Hinweis

Sie können Registrierungsendpunkte über mehrere Datenflussdiagramme und andere Azure IoT Operations-Komponenten wie Akri-Connectors hinweg wiederverwenden.

Konfigurationsoptionen

Dieser Abschnitt beschreibt die für Registrierungsendpunkte verfügbaren Endpunkte.

Host

Die host-Eigenschaft spezifiziert den Hostnamen der Containerregistrierung. Verwenden Sie für ACR das Format <registry-name>.azurecr.io. Die Hosteigenschaft unterstützt HTTPS-URLs oder nur den Hostnamen.

Beispiele:

myregistry.azurecr.io
https://myregistry.azurecr.io

Muster: Muss mit dem Muster ^(https:\/\/)?[a-zA-Z0-9\-]+\.azurecr\.io$ für ACR übereinstimmen.

Authentifizierungsmethoden

Registrierungsendpunkte unterstützen mehrere Authentifizierungsmethoden, um sicher auf Containerregistrierungen zugreifen zu können.

Vom System zugewiesene verwaltete Identität

Systemseitige zugewiesene verwaltete Identität verwendet die integrierte Identität der Azure IoT Einsatz-Instanz zur Authentifizierung bei der Registrierung. Verwenden Sie diesen Ansatz für ACR, da dadurch die Notwendigkeit der Verwaltung von Anmeldeinformationen beseitigt wird.

Bevor Sie den Registrierungsendpunkt konfigurieren, stellen Sie sicher, dass die systemseitig zugewiesene verwaltete Identität von Azure IoT Einsatz über die notwendigen Berechtigungen verfügt.

Wechseln Sie im Azure-Portal zu Ihrer Azure IoT Operations-Instanz, und wählen Sie "Übersicht" aus.
Kopieren Sie den Namen der Erweiterung, die nach der Azure IoT Operations Arc-Erweiterung aufgeführt ist. Beispiel: azure-iot-operations-xxxx7.
Wechseln Sie zu Ihrer Containerregistrierung >Zugriffssteuerung (IAM)>Rollenzuweisung hinzufügen.
Wählen Sie auf der Registerkarte Rolle die AcrPull-Rolle.
Wählen Sie auf der Registerkarte Mitglieder unter Zugriff zuweisenBenutzer, Gruppe oder Dienstprinzipal und wählen Sie dann + Mitglieder auswählen und suchen Sie nach dem Namen der Azure IoT Einsatz Arc-Erweiterung. Wählen Sie die Erweiterung und wählen Sie Auswählen.
Wählen Sie Überprüfen + Zuweisen, um die Rollenvergabe abzuschließen.

Der folgende Codeausschnitt zeigt, wie Sie die vom System zugewiesene verwaltete Identitätsauthentifizierung in der Bicep-Datei konfigurieren, die den Registrierungsendpunkt konfiguriert:

authentication: {
  method: 'SystemAssignedManagedIdentity'
  systemAssignedManagedIdentitySettings: {
    audience: 'https://management.azure.com/'
    extensionName: null  // Optional: specific extension name
    tenantId: null       // Optional: specific tenant ID
  }
}

Einstellungen für systemseitig zugewiesene verwaltete Identitäten:

Eigentum	Description	Erforderlich	Typ
`audience`	Zielgruppe des Diensts, bei dem die Authentifizierung erfolgt.	Nein	String
`extensionName`	Zu verwendender spezifischer Erweiterungsname.	Nein	String
`tenantId`	Mandanten-ID für die Authentifizierung.	Nein	String

Der Operator versucht, die Zielgruppe vom Endpunkt abzuleiten, wenn Sie sie nicht angeben. Bei ACR ist die Zielgruppe in der Regel https://management.azure.com/.

Vom Benutzer zugewiesene verwaltete Identität

Mit der vom Benutzer zugewiesenen verwalteten Identität können Sie eine bestimmte verwaltete Identität verwenden, die Sie mit den erforderlichen Berechtigungen erstellen und konfigurieren.

Bevor Sie den Registrierungsendpunkt konfigurieren, stellen Sie sicher, dass die benutzerseitig zugewiesene verwaltete Identität über die AcrPull-Rolle für Ihre Containerregistrierung verfügt.

Der folgende Codeausschnitt zeigt, wie Sie die vom Benutzer zugewiesene verwaltete Identitätsauthentifizierung in der Bicep-Datei konfigurieren, die den Registrierungsendpunkt konfiguriert:

authentication: {
  method: 'UserAssignedManagedIdentity'
  userAssignedManagedIdentitySettings: {
    clientId: '<CLIENT_ID>'
    tenantId: '<TENANT_ID>'
    scope: null  // Optional: specific scope
  }
}

Einstellungen der benutzerseitig zugewiesenen verwalteten Identität:

Eigentum	Description	Erforderlich	Typ
`clientId`	Client-ID für die benutzerseitig zugewiesene verwaltete Identität.	Yes	String
`tenantId`	Mandanten-ID, unter der sich die verwaltete Identität befindet.	Yes	String
`scope`	Bereich der Ressource mit dem `.default`-Suffix.	Nein	String

Der Operator versucht, den Bereich vom Endpunkt abzuleiten, wenn Sie ihn nicht angeben.

Geheimnis für den Artefaktabruf

Mit Artefakt-Pullschlüsseln können Sie benutzernamen- und Kennwortauthentifizierung für Registrierungen verwenden, die die verwaltete Identitätsauthentifizierung nicht unterstützen.

Erstellen Sie zunächst einen Kubernetes-Geheimschlüssel, der die Registrierungsanmeldeinformationen enthält:

kubectl create secret docker-registry my-registry-secret \
  --docker-server=myregistry.azurecr.io \
  --docker-username=<USERNAME> \
  --docker-password=<PASSWORD> \
  -n azure-iot-operations

Der folgende Codeschnipsel zeigt, wie Sie die Authentifizierung mit Geheimnissen zum Abrufen von Artefakten in der Bicep-Datei konfigurieren, die den Registrierungsendpunkt konfiguriert:

authentication: {
  method: 'ArtifactPullSecret'
  artifactPullSecretSettings: {
    secretRef: 'my-registry-secret'
  }
}

Anonyme Authentifizierung

Anonyme Authentifizierung wird für öffentliche Registrierungen verwendet, die keine Authentifizierung erfordern.

Der folgende Codeausschnitt zeigt, wie Sie die anonyme Authentifizierung in der Bicep-Datei konfigurieren, die den Registrierungsendpunkt konfiguriert:

authentication: {
  method: 'Anonymous'
  anonymousSettings: {}
}

Azure Container Registry-Integration

ACR ist die empfohlene Containerregistrierung für Azure IoT Operations. ACR bietet sichere, private Docker-Containerregistrierungen mit integrierter Authentifizierung über Microsoft Entra ID (Entra ID).

Voraussetzungen für ACR

Erstellen Sie eine ACR-Instanz: Wenn Sie keine instanz haben, erstellen Sie eine ACR-Instanz in Ihrem Abonnement.
Berechtigungen konfigurieren: Stellen Sie sicher, dass die von Azure IoT Einsatz verwaltete Identität über AcrPull-Berechtigungen für die Registrierung verfügt.
Push artifacts: Laden Sie Ihre WASM-Module und Diagrammdefinitionen mithilfe von Tools wie ORAS CLI in die Registrierung hoch.

Andere Containerregistrierungen

Registrierungsendpunkte unterstützen auch andere OCI-kompatible Containerregistrierungen wie:

Docker Hub
Hafen
AWS Elastic Container Registry (ECR)
Google Container Registry (GCR)

Für solche Registrierungen verwendet man üblicherweise Geheimnisse zum Abrufen von Artefakten für die Authentifizierung, sofern diese eine Azure-verwaltete Identität unterstützen.

Nächste Schritte

Feedback

War diese Seite hilfreich?

Last updated on 2026-01-12