O Que É o Azure Container Registry? Store de Imagens do Azure
O Azure Container Registry (ACR) é o registry privado gerenciado do Azure para imagens de container e artifacts OCI, integrado ao Entra ID para controle de acesso.
Quando seu pipeline faz o build de uma imagem para o Azure, o ACR é onde ela vive. AKS, Container Apps e App Service todos puxam dele. Como é nativo do Azure, a autenticação se atrela ao Entra ID e a managed identities, então os deploys podem puxar imagens sem armazenar senhas de registry.
Repositórios e tags
Cada aplicação mapeia para um repositório, e cada build envia uma imagem taggeada, muitas vezes o commit SHA. O ACR suporta artifacts OCI além de imagens também, como charts Helm, mantendo os artifacts de deploy em um só lugar.
Autenticação
- Identidades do Entra ID e roles de RBAC para quem pode enviar e puxar.
- Managed identities para que AKS ou Container Apps puxem sem secrets.
- Service principals com OIDC para pipelines de CI.
Service tiers
O ACR vem nos tiers Basic, Standard e Premium. O Premium adiciona geo-replication, storage maior e networking com private-link. A geo-replication mantém imagens perto de clusters em múltiplas regiões para pulls mais rápidos.
Recursos integrados
O ACR pode rodar builds de imagem na nuvem com ACR Tasks, escanear vulnerabilidades e impor content trust. Esses recursos ajudam a proteger a supply chain entre o build e o deploy.
Papel no CI/CD
Um pipeline faz login no ACR, faz o build e tagga a imagem, e a envia. O passo de deploy então referencia essa tag para AKS, Container Apps ou App Service. O GitHub Actions autentica com um service principal via OIDC, e managed identities deixam o runtime puxar imagens sem chaves.
Principais conclusões
- O ACR é o registry privado gerenciado do Azure para imagens e artifacts OCI.
- A auth usa Entra ID e managed identities, então os runtimes puxam sem senhas.
- Pipelines enviam imagens taggeadas aqui antes de fazer deploy no AKS ou Container Apps.