Azure Container Registry updates for security and reliability | Azure Friday

>> Hola amigos, comopuede imaginar hay un montón de trabajo ocurre enel espacio continuo aquí en Azure y Steve se va a compartirconmigo se asignan para la carretera mejora de contenedoradministración del ciclo de vida en Azure para seguridad de producción, para las características de confiabilidad y productividad del desarrolladoren la actualidad el viernes de Azure. [MÚSICA]. >> Hola soy Scott Hausman y de TI otro episodio de Azure el viernes.Estamos aquí con Steve. Estamos hablando de contenedores, tienes tantosbuena vídeos con usted, donde me ofrece mejores prácticas me proporcionan demostraciones agradables. Hoy va a¿me proporcionan un mapa de carretera. Va a saber qué delque viene en los próximos meses. >> Sí. Por lo tanto, ha habidoun montón de cosas ocurriendo. Hemos trabajado realmente rápido enel equipo de registro de contenedor. Normalmente, estamos tipo de consignaciónun par de meses hacia fuera y nos siempre tratar de no más de libro que debido a las cosasestá cambiando rápidamente. Hemos visto un considerable empujecomo está llegando a la gente producción y que deles aportaba un nuevo conjunto de la pregunta que hemoscontinuamente se centra en tiene realmente paralizado mucho tiempo buena y ha sido fabuloso verpersonas que hace ese turno y por lo tanto, en este momento, resulta difícil para nosotrosdecir que podemos hacerlo en dos meses. >> Está bien. >> Por lo tanto, deseamos tratar de conseguiruna aplicación de hoja de ruta y mapa de carreteras out y dejar que tipo de personas de, vea ¿Qué está ocurriendo y hablar sobre algunas. >> Por lo tanto, se trata de tres a seis mesesno 12 a 18 meses. >> Sí que espero entres a seis meses. Se obtuvo vacaciones procedentes allí. Por lo tanto, quizás un poco en la primavera. >> Sí. >> Por supuesto, nosotros realmentenuestras prioridades se centran en las cosas que las personasse bloquean en frente a lo bueno de tener y que viene en dos categorías. Cosas que sólo podemos hacer, ¿dónde está a continuación, vamos a dar prioridad a. Cosas como para todos los flujos de salida ogeo-replicación de esa naturaleza. Nos han formulado muchas alrededorPor ejemplo, la exploración de vulnerabilidades y tenemos trabajo excelente procedentes de la AzureCentro de seguridad. >> Está bien. ¿>>, Pero que es un poco, derecho? Nosotros nos acaba de empezar en ese trabajo y tenemos grandessocios que trabajamos. Por lo tanto, nuestro enfoque es hoy nosno puede hacer vaya cualquiera con mayor rapidez. Queremos tener grandessocios, por lo que vamos a utilizar Socios Laycock winsse ha bloqueado y nuevo vector para llenar ese hueco hasta podemos ofrecer nuestras manos,es un ejemplo. >> Pero una de las cosasque estoy viendo como tipo de subproceso robara lo largo de todo, aquí está, Me gusta lo que ha dicho aquí contenedores como una moneda común de implementación. Para un rato allí, acerca dehace cuatro o cinco años, Solía decirGIT fue FTP por código, pero rápidamente contenedorese imágenes de contenedor y archivos de docker se han convertido en la formaque lo hace su implementación. Es la manera que ustedmover el código. >> Es realmente y silo piensas bien, no es sólo delos orquestadores realmente es una cuestión deincluso en serverless consulte qué personas con sus funcionesy otras cosas, nos quedamos atrapados en idiomaestá siendo utilizado o compatible. Con contenedores que¿No importa derecha? Sólo te daré un contenedor ejecutar mi contenedor y va. ¿>> Que conocer acerca de la unidad de trabajo? >> Exactamente y qué estilo ¿cómo desea trabajar dentro dede ese modo, no debería importar. Por lo tanto, se convierte en gran partemás fácil cuando puedo implementar Mi código y sus dependenciascomo uno y que tienen, Éstas son sólo algunas delos servicios que hablamos acerca de y se trata de serviciosque utilice soporte ahora. Bueno, estos son algunos de los servicios en Azure que pueden tomar los contenedores. >> Tengan contenedores y puede extraer de cualquier registro, incluyendograduados de la derecha de las flechas. >> Que no estamos trabajando conasociados de negocios porque no estamos espacio insuficiente para intentar sercompetencia con otros registros. Deseamos que sea capaz de soportarlos con el trabajo que estamosSi lo hace dentro de Azure. Por lo tanto, lo que me gusta de contenedores para la clase deponer una visión general sobre esto, es que hemos estado escribiendo código durante mucho tiempo a intentarser resistente a las cosas que sucede porque las cosas siempre sonque va a suceder y nos podemos intentar Para hacer algo que nunca fallany sabemos lo nos obtiene. >> Está bien. >> Si se adoptanerror como un tipo primitivo, a continuación, tenemos una mejor oportunidadde recuperación. >> Por lo tanto, usted dice en su lugarque intentar fingir nunca ha ocurrido y tratar de mantenerque nunca se produzca, intentar comprender lo haráabsolutamente suceder y, a continuación, ¿Cómo podemos hacer nosotros mismostiene éxito cuando producen. >> Exactamente. Cuántosveces que va a poner una batería más grande en la parte frontalde dicha fuente de alimentación que mantiene la cosa ejecutando cuando en otros puntos de algoelse va a fallar. >> Sí. >> Poner otro equipoen otro lugar, poner un equilibrador de cargadelante de él y a continuación, si se produce un error sólova a la otra. >> Adoptan el mercado caos. >> Abrazar errorescomo una afirmativa. Por lo tanto, con el orquestadoresrealmente tiene. Por lo tanto, si tomamos como ejemplo un escenario aquí, Tengo esta animación que me gustaPara volver a utilizar en diferentes foros. Estoy presionando un montón deimágenes en el registro. Voy a indicar a los orquestadorespara mantenerlo funcionando. Aquí está la lista de cosas que hay que ejecutar. >> Derecho. >> A continuación, va aapaga y hacer su trabajo. Es el viernes, es el viernes, Azure Voy a ir despegar por la noche. Voy a ir a la barra. Podría ir placer de navegación. >> Cuando envío a producción,Lo hago el viernes. >> Y que dejarlo, derecha.¿Qué podría salir mal? >> Nada. >> Por lo que, en algún momento enla mitad de la noche algo puede ir mal. Sin embargo, yo soy, no debería conocer. >> Sí. >> Por lo tanto, si algo va mal, pero dado que el sistema esresolución automática de problemas, simplemente dirá, "¡Oh, me han dicho queejecutar estos contenedores, Voy a obtenerestos contenedores ejecutando de nuevo." Por lo tanto, vuelvo a la mañana siguientey puedo decir historias acerca de Mi gran velada como contraposición para intentar limpiar el desorden de las cosas queha ocurrido una noche anterior. >> Nadie quiere llevar a cabo la paginación. >> Exactamente. Por lo tanto, por lo que de todos modos sia continuación, es el primitivo necesitamos empezar a pensarsobre el ciclo de vida más amplio. >> Muy bien. >> Por lo tanto, si pienso en el ciclo de vidaprimitivas de un lugar para almacenar, cosas que están siendoimplementado, estoy construyendo, Estoy haciendo pruebas, hetiene Control de código fuente y tengo el interior del bucle que continuamente se está convirtiendo enmás información en la nube. Una de las cosas quequeremos ser capaces de hacer se proporciona un registroque es seguro de forma predeterminada. No queremos que la gente se debe pensar Puede que este registro de proyección algunas imágenes queno son seguros o no, y, por lo que estamos básicamente,sólo desea tomar a qué personas se refieren a como un patrón en cuarentena ypara aplicarlo a registros. Por lo tanto, y hablaremos más acerca de eso. La siguiente es, nunca confía en que las cosas en el registroo eran seguros. Por lo tanto, siempre va atiene otra línea de defensa. Por lo tanto, va a tener el análisis a el servicio ejecuta también.Por lo es la primera línea. Tendremos, ACR generación que estamoscomenzando a llamar a tareas ACR, que son como una manera de mantenerlas imágenes que se generan. ¿Puedo generar localmente mediante la generación ACR, o puedo tener OS y FrameworkLa revisión que viene como. Se contará con soporte para repositorios principales dentro de de ACR para personas que quierentener su manifiesto que describe sus múltiplesimplementaciones de contenedor y puede hacer referencia a sólo aquellos. Por lo tanto, no sólo se codifican. En realidad, tendráuna referencia con versiones dentro del registro deel artefacto de implementación. Por lo tanto, eso es bastante genial. >> Es sorprendentemente, podría parecer una exageraciónpara algunas personas, pero más adelante un par de años a partir de ahora sey puede perder el código. >> sí pueden vender su implementación. >> Sorprendentemente útil. >> La idea general es que desea mantener diagrama de implementación conlo que se está implementando. >> Sí. >> Hemos visto mucha gente, como automatizan sus registros, películas de seguridad y de la película es relativa. Hay sólo un montón decosas que está allí. >> ¿Qué es un primitivo? >> ¿Qué significa un tipo primitivo¿en un registro, derecho? Una cosa es cuando es local. Por lo tanto, hemos trabajado en algún trabajoallí lo que llamamos auto aseladero. Donde podrá administrar las imágenes que desee Para conservar y deshacersede los que no lo hace, con telemetría real y de He mencionado el cursoel material de generación ACR Cuando detenga el código, deseamos que sea capaz de seguir Revisión de sistema operativo y framework o contenedores. Por lo tanto, lo que es todoacerca de es que te mantendremos una referencia de memoria caché de imageny vamos a ser capaces a o en lugar de índice y comolos que actualización con el tiempo. Por lo tanto, eso es lo que esperamos de laen el ciclo de vida final final, hay otros fragmentos yHablaremos más acerca de eso. De ser así, SO y Framework parches, la idea que hay tareas ACR es Este núcleo primitivoconstruir el motor que puede compilar y ejecutar contenedores para para el propósito de una vida cortacreación y revisión de contenedores, y la idea es que élse puede conectar a cualquiera de los sistemas CICD que existen. El siguiente es, y tenemos algunos vídeosque hemos hecho en el por lo que no se profundizará mucho detalle. La seguridad por defecto unoes interesante. Ésta es una que hemos realmente trabajar con anclaje enuna contribución a la distribución. Por lo tanto, podría ser en porvalor predeterminado para todos los registros, no sólo para ACR, y la idea es que una vez más, que crea y la inserción de imágenes y están bloqueados hasta queha sido explorados. Desde una perspectiva ACR realmente no nos importa qué, tenemos el más evidente deconectar a la vulnerabilidad. >> Tiene un enlace a una cosaque se apaga y analiza. >> Flujo de trabajo paraque es, básicamente, lleven unimagen en el registro. Me gusta llamarla el TH imagen de caballo de Troya. Hay un nuevo enlace webque se desencadenará, escáneres de dicho contenedorestá escuchando. Por lo tanto, no existe obtendremosdicha notificación. Extraerá en la síntesis, y, a continuación, hará unposterior a la de nuevo a nuestro rest API, con las credenciales correctas para decir: "Hola, yo aprobaro el hecho de que. ". >> Esto puede no seruna pregunta inteligente, pero cuando pienso en un contenedor Puedo pensar en él comobastante opaco, pero se crackearloAbrir y mirarlo, Cuando hablo de vulnerabilidad, podría ser un conocido de funcionamiento vulnerabilidad del sistemaen el nivel de imagen esa imagen es una imagen incorrecta conocida. Pero entonces existe este nuevo paquete de Get o este archivo JavaScripttiene una vulnerabilidad conocida. >> Bien, podría sercosas buscando los problemas de desconocidodonde las personas almacenan contraseñas, Si sabe que tiene una capacidad some.net aplicaciones de configuración que podríaBuscar en hay que para decir, "¿Hay alguna conexión únicacadenas que buscó. [inaudible] >> Por lo tanto, la vulnerabilidad es como abririnterpretación como nada, y la cuarentena que estásdecisiones podrían ser ilegal en cuarentena, podría ser un signo de cuarentena, podría ser una cuarentena de seguridad tiene la flexibilidad. Los caracteres de subrayado cómo flexiblees el concepto de registro de contenedor. >> Que es algorealmente se centran en un lote, está creando estastipos primitivos que se pueden se utiliza de muchas maneras, como nos estamos conocidos. Creemos que de extremo a extremo, y creamos elcomponentes individuales. Por lo tanto, desde nuestro punto de vista, no sabemos o atención¿Por qué se ha detenido, suponemos que está detenido, Si se gira el bit y dejamos agana el jugador que se conecta al decidir si [inaudible]se deben liberar o no. Por lo tanto, había un ejemplo interesantedonde se saben que algunas licencias. >> Por lo tanto, alguien teníacomprueba en algún código, y no había hecholo correcto alrededor de licencias, y planteé preguntas. Es así, entonces preguntó, donde en bucle interno del programador¿debe existe? Eso es algo que queda atrapadoen el nivel de control de código fuente?" >> Todos los derechos. ¿>> Es interceptada en una revisión de código? Pero en última instancia, ¿por qué no se¿ha comprobado en todos los niveles? Si alguien está activado en algoque no estaba correctamente código de licencia o atribuido correctamente, se puede detectar enel nivel de contenedor. >> [inaudible] puede conectarlono existe. Por lo tanto, fue un gran ejemplo. Por tanto, cuando el analizador dice "Sí, es bueno", obtendrá un Webhook un Webhook normal para los eventos de inserción, y, a continuación, suelte la administraciónque está escuchando los eventos de inserción pueden ir "obtuve esta imagen y me permiten implementar y de la vida buena". Ahora, que es ideal para nuevas imágenes Esto reproduce hacia fuera para imágenes ya implementada y nuevovulnerabilidades de salir también. Que es un poco más complejo debido a que las imágenesque ya se han implementado. >> Pero está pensando en él. >> Sí, que forma parte del flujo de trabajo. El analizador sería capazdeshabilitar en el registro y puede decidir cómoque desea controlar. Que tienen diferentes configuraciones en ¿Qué desea hacerPara ejecutar las notas. Por lo tanto, es el flujo de trabajo, Envío una etiqueta en este caso, una 1.0 etiqueta y verála síntesis está en cuarentena, y hasta la cuarentenase saca, luego viene la etiqueta 1.0 y lo mismo para 1.1que se han puesto en cuarentena. ¿>> Es un patrón?Esta cuarentena de inserción sólo una TI no 's igual, igual por lo tanto pushes no se muestra. >> Está obteniendotipo de filtro gratis por algo no equivale a la inserción, No obtener quitará el resto. >> Si alguien está realizandoen este caso, un rechazo de que es donde estáhablar sobre el nombre. >> Estoy curioso. Tieneuna manera muy inteligente para hacer. Es una cosa de la industria o¿Esto es una cosa ACR? >> Es una cosa ACRque nos estamos enviando para la distribución de sistemas operativos. >> Hace muchosentido. Eso es realmente genial. >>, Esperamos que vaAsegúrese de usar un poco más. El escáner ha sidorealmente apoyo ayudar a nosotros mejorar este aspecto. Ahora, en este caso, tengo"1.1" y los dos se puso en marcha, pero entonces tengo este 1.0"etiqueta"Deseo actualizar, y esto es donde tenemos un poco interesante porque meInserta una 1.0 "etiqueta", pero aún en cuarentena. Por lo tanto, en este momento, estoy todavíava a ser tirando de la otra "1.0" hasta que otrose ha aprobado, y, a continuación, puede vertransfiere el sobre. Por lo tanto, hemos tenido que trabajar a través de algunos esa semántica y en este caso, >> No desea bloquearlos, pero desea proteger a las personas. >> Exactamente. Por lo tanto, la continuación quePiense acerca es imagen de la firma. Hemos tenido un montón de gente que preguntanosotros alrededor de confiar en el contenido de Docker. Por lo tanto, tenemos que trabajarAhora, es en la vista previa. Por lo tanto, es bueno que la gente puedefirmar sus imágenes almacenarlos en ACR y, a continuación, tire. >> En un mundo donde estamos ahoracomenzando a registrar nuestras confirmaciones Git, y asegúrese de que esos sonfirmado con nuestro o claves PGP, debemos poder ahacer lo mismo para nuestro,. >> Que deberíamos, y hay algunosmás trabajo por hacer aquí porque la confianza de contenido actualimplementación no abarca los registros. Así, por ejemplo haextrae una imagen fuera de MCR para una primera imagen de las partes, al poner en el registroque es lo que debería hacer por lo que puede hacercontrol local sobre él, Lamentablemente, hoy en día la firmano lleva con él. >> No venga pero debería. >> Pero puede retirarse por lo que es ahora lo que es propiedad de su empresa cortisol o [inaudible]o es smash bebés, ¿qué es la? >> Bebé Smash. >> Bebé Smash. >> Baby smash es excelente. >> El siguiente queestaban hablando, Política de imagengestión de residuos y reciclaje. Lo que es interesante es aquí, ¿Si algo se debe eliminar? Es eliminar porque¿nunca se publicó? Si nunca se ha liberado, a continuación, nos podemos simplemente deshacersede la misma en un par de días. Podrá definir una directiva. Si se publicó, ¿Cuando se elimina? ¿>> Un año? ¿Dos años? ¿>> Un año a partir de cuándo? >> Cuando la vio el público. Nosabe, que es una excelente pregunta. >> Por lo tanto, si la cosa ejecutó un día a continuación, en mi directiva es mantenerdurante tres años funcionó. Pero si su ejecucióntres años a partir de ahora, y tres años en un díaCuando ese nodo muere, e intenta extraer de¿la imagen, es aún está allí? >>, Hacerlo tengo una ventana de tres años después del último día¿fue en producción? >> Por lo tanto, es el lugarun poco más complejo. Estamos trabajando con cosas comoel equipo del centro de seguridad de Azure, por lo que podemos monitoreartodo lo que se está ejecutando, y todos los nodos quesabemos acerca de él. Es siempre saber ACRy cada vez que vemos, que nos podemos básicamente rugosidadla política de exploración en este caso, tres añosdesde la fecha en la que hemos visto. >> Que suena como característica rompedora. Lo único que importa que hacer¿es el conmutador de banda muerta? A veces la gente se puede quedar dormiday no están muertos. Por lo tanto, es necesario asegurarse de que que siempre suponeno para eliminarlo. >> Tenemos un reciclaje binEstamos trabajando para, así, que agregará algunos másmedida de seguridad al mismo. >> Enfriar. >> Pero esa es la idea, lo pone en cuarentena podría deshacerse de él inmediatamente. Cosas que están sin etiquetar,ellos sólo está manifiesto, son imágenes simplemente inerte, Puede purgarlos automáticamente. Por lo tanto, es otro elemento no existe. Por lo tanto, tenemos una bonita grandevista de la administración del ciclo de vida. Quería ofrecerun fragmento de código rápido de algunos de ellos. Con el ACR, estamos trabajandoen cosas, queremos para asegurarse depara mantener las imágenes de cierran, puede protegerlos. Disponemos de algunas excelentes replicación geocaracterísticas que han sido ahora, GA lo que realmente puede tenerMáster en múltiples aplicaciones. Así pues, por todas partes, si los desarrolladores de softwarese encuentran en un país extranjero, lo que sea externa cumple puede comprobar forma local y entonces se podrá replicar ytendrán ellos también localmente. >> Creo que esto es un particularbuena diapositiva porque dice: ¿Por qué es necesario un contenedor de registro. Porque voy a ser honestocon usted, no creo que uno es necesario cuando comencé aObteniendo en contenedores. Tal como hacemos con todas las cosas nuevas, Ha descartado de las manos. >> Como un elemento adicional. >> [inaudible] dije,"Estupendo concentradores de anclaje. Tendré una privada cuando está bien." Pero al empezar a ver todas las posibles cosasalrededor de la administración del ciclo de vida, se dará cuenta de que realmente es un concentrador central fundamentalpara la implementación de todas las cosas. Si va a intentarpara tener un buen estado CICD un ciclo de DevOps saludable y realmente es necesario registrar un contenedor. >> Exactamente. >> Fantástico. >> Así, sólo un lista rápida de cosas comoes difícil cubrir todo V que ha sido una importante grandenos estamos acabado deberíamos tener que hacia fuera por encenderse. Hablamos acerca de contenido de confianzay el símbolo (token) de autenticación. Ésta es una de las grandes característicasnos preguntan por mucho es puedo hacer Repo nivel de permisos, y nos hemos empujando hacia atrás en el porque ha sido más difícil. Vamos a hacer esocon símbolos (tokens) y se puede sólo ver tododesde el acceso anónimo, Uso de telemetría, repositorios de timón, OCI. Hemos tenido una bonitabuena [inaudible] >> Se está diciendoEspero que esta vez el próximo verano estará conotra lista de características importantes. >> Absolutamente. >> Todos serán¿disponible para los usuarios? Así que podría ir gente mira estoen aka.ms/acr y usted tiene todas las clases de información acerca de las diferentes características tanto por la derecha ahora envista previa, o en la forma. Estoy aprendiendo todo sobre la Guíay las grandes cosas que viene en el registro de contenedor de Azureaquí en Azure el viernes. [MÚSICA]