問(wèn)題描述

基于目前對(duì)Azure的資源的安全性合規(guī)要求，都需要開(kāi)啟防火墻并且關(guān)閉公網(wǎng)訪問(wèn)。 當(dāng)ACR ( Azure Container Registries )啟用了防火墻并關(guān)閉公網(wǎng)訪問(wèn)后。

引起了一個(gè)新的問(wèn)題：Container App無(wú)法拉取ACR中的鏡像！

錯(cuò)誤信息：

{"TimeStamp":"2025-07-30 12:58:24.9603413 \u002B0000 UTC","Type":"Warning","ContainerAppName":"xxxxx","RevisionName":"xxxxx--0000001","ReplicaName":"xxxxx--0000001-56db958c8b-k97xk","Msg":"Container \u0027xxxxx\u0027 was terminated with exit code \u0027\u0027 and reason \u0027ImagePullFailure\u0027. Pull image: xxxxxxx.azurecr.cn/mynodejsalbum:v1 failed with exit code: 1, error: time=\u00222025-07-30T12:58:24Z\u0022 level=info msg=\u0022trying next host\u0022 error=\u0022failed to authorize: failed to fetch anonymous token: unexpected status from GET request to https://xxxxxxx.azurecr.cn/oauth2/token?scope=repository%3Amynodejsalbum%3Apull\u0026service=xxxxxxx.azurecr.cn: 403 Forbidden\u0022 host=xxxxxxx.azurecr.cn\nctr: failed to resolve reference \u0022xxxxxxx.azurecr.cn/mynodejsalbum:v1\u0022: failed to authorize: failed to fetch anonymous token: unexpected status from GET request to https://xxxxxxx.azurecr.cn/oauth2/token?scope=repository%3Amynodejsalbum%3Apull\u0026service=xxxxxxx.azurecr.cn: 403 Forbidden\n.","Reason":"ContainerTerminated","EventSource":"ContainerAppController","Count":1}

問(wèn)題解答

這個(gè)問(wèn)題的原因有兩點(diǎn)：

1） ACR 中沒(méi)有設(shè)置允許ACA訪問(wèn)的白名單

2） ACA的出口IP地址并不固定。它可能會(huì)使用所在數(shù)據(jù)中心的出口IP段中的某一個(gè)IP，如果要指定固定的出口IP，需要使用NAT Gateway來(lái)實(shí)現(xiàn)！

基于以上原因，這里推薦使用ACR的Private Endpint來(lái)解決訪問(wèn)403問(wèn)題 ( https://learn.microsoft.com/en-us/azure/container-registry/container-registry-private-link )

PS: 為何在啟用了Azure Trusted Services后，Azure數(shù)據(jù)中心的服務(wù)也無(wú)法訪問(wèn)呢？ 原因是目前ACR指支持四種服務(wù)可以Bypass訪問(wèn)。ACA不在其中！

1. Azure Container Instances
2. Microsoft Defender for Cloud
3. Machine Learning Azure
4. Container Registry

配置Private Endpint的步驟簡(jiǎn)單，但是需要注意：必須選擇與ACA所在的VNET相通的網(wǎng)絡(luò)(同一個(gè)VNET或之間有peering) 。 

最好 最好 是啟用Private Endpint后，在ACA中使用 curl -v https://<yourACRhost> 來(lái)驗(yàn)證是否是私網(wǎng)IP地址，是否可以連通！

如下圖測(cè)試結(jié)果：

PS：如果在配置Container App的頁(yè)面中發(fā)現(xiàn)無(wú)法列出當(dāng)前ACR的鏡像列表，這是因?yàn)楫?dāng)前瀏覽器所在的環(huán)境的IP地址無(wú)法訪問(wèn)ACR，在ACR中添加當(dāng)前IP地址訪問(wèn)后就可以解決此問(wèn)題！

參考資料

Trusted services ：https://learn.microsoft.com/en-us/azure/container-registry/allow-access-trusted-services

Connect privately to an Azure container registry using Azure Private Link ： https://learn.microsoft.com/en-us/azure/container-registry/container-registry-private-link