loading...
Cover image for Aumentando a Segurança de suas imagens com Azure Container Registry
Microsoft Azure

Aumentando a Segurança de suas imagens com Azure Container Registry

khaosdoctor profile image Lucas Santos Updated on ・6 min read

Photo por Tim Mossholder no Unsplash

Nos últimos anos vimos um crescimento muito grande nas aplicações distribuídas, principalmente aquelas que estão utilizando o ecossistema do Kubernetes. Esta arquitetura é muito resiliente porém traz alguns problemas que devem ser solucionados com outras ferramentas específicas.

Por exemplo, quando estamos utilizando um cluster, temos que hospedar as nossas imagens do Docker em algum lugar, geralmente utilizamos o Docker Hub para esta tarefa, porém a versão gratuíta do mesmo só possui liberdade para criarmos imagens públicas, e mesmo no plano pago, o número de imagens privadas é limitado! Portanto, muitas empresas passam pelo problema de terem que buscar um local privado para armazenar as suas imagens.

Por conta deste problema, vou começar uma pequena série de artigos onde explico as bases da arquitetura de containers do ponto de vista prático, utilizando algumas ferramentas para conseguir resolver tais situações, no final devemos ter um conjunto de instruções que mostram como você poderá criar seu próprio ecossistema distribuído e colocar a sua aplicação no ar!

Para essa sequencia de artigos, você vai precisar:

  • Conhecimento básico em Docker
  • Uma Azure Subscription, se você está criando a conta pela primeira vez, então você poderá usufruir dos créditos iniciais e não precisará pagar nada!
  • Um conhecimento básico no Azure CLI

Para começar, vamos falar um pouco sobre imagens privadas de forma simples e rápida.

Imagens privadas com Azure Container Registry

Uma das ferramentas para criar e controlar imagens privadas é o Azure Container Registry. Ele permite que você crie seu próprio registro de containers de forma que é possível armazenar e controlar todas as suas imagens Docker de forma completa. E ele permite tanto imagens públicas quanto privadas!

Container registries

Container registries são repositórios onde podemos armazenar e baixar imagens de containers, os mais famosos são os registros para imagens Docker, porém existem outros para outros tipos de imagens.

Estes registros permitem que possamos baixar nossas imagens remotamente sem utilizar espaço na máquina e também garantem a segurança para backups. A maioria dos registros públicos de imagens são gratuitos, como o Docker Hub, porém, para que possamos subir imagens privadas, a maioria se torna pago.

Criando um Container Registry na Azure

É possível criar um container registry através do Portal da Azure e também pelo Azure CLI. Para este tutorial, vamos iniciar pelo portal, pois vamos fazer apenas alguns comandos rápidos.

Como primeiro passo, acesse seu Portal da Azure e pesquise por Container Registries.

Ao clicar, selecione a opção "Create Container Registry":

Então preenchemos as informações necessárias:

  • Resource Group: Vamos criar um novo grupo para colocar tudo que for referente a este artigo.
  • Registry Name: Esta parte é muito importante porque será o registro de DNS que você vai utilizar para que você possa baixar as imagens
  • Location: Selecione qualquer localização que seja interessante, selecionei Brazil South por conta da proximidade geográfica
  • Admin User: Quando estamos com esta opção ativada, podemos utilizar o nosso registry name como usuário e as chaves providenciadas como senha para logar no nosso registro através do Docker, se desativarmos esta opção teremos que criar os usuários manualmente. Para este artigo, vamos utilizar o usuário administrador por questões de facilidade (veja mais na documentação)
  • SKU: Neste ponto escolheremos o Basic pois estamos fazendo um exemplo, porém para situações reais, o ideal é que você escolha o tipo de SKU que satisfaça suas necessidades. As diferenças entre cada um deles é a velocidade de transferência, segurança, firewalls, replicação e também armazenamento disponível, veja uma lista

Vamos então criar o nosso registro. O processo todo não deve demorar e você deve logo ter a confirmação de criação:

Integrando o Docker com a Azure

Agora, para podermos, de fato, usufruir do serviço, vamos ter que conectar o nosso client do Docker no registro que acabamos de criar. Para isso, vamos até a seção Access Keys, lá vamos ter o nosso usuário e senha:

Agora que temos todas as informações que precisamos, vamos executar o comando de login:

$ docker login <registryname>.azurecr.io

O CLI então vai perguntar seu usuário, que é o username que está descrito na imagem anterior, e uma senha, que pode ser qualquer uma das duas senhas dadas no portal. No caso deste CR ficamos assim:

Agora o que precisamos fazer é criar uma imagem e enviar para nosso repositório!

Enviando uma imagem para o Azure CR

Vamos construir uma imagem simples usando Node.js. Vamos basicamente criar uma nova pasta e, dentro dela, vamos criar um arquivo index.js:

const http = require('http')

http.createServer(function (req, res) {
  res.writeHead(200, { 'Content-Type': 'text/plain' })
  res.write('Hello World!')
  res.end()
}).listen(8080)

E depois vamos criar um Dockerfile:

FROM node:current-alpine
WORKDIR /src

COPY index.js /src
CMD ["node", "index.js"]

Vamos então rodar o comando docker build . -t <registryname>.azurecr.io/simple-node-api:latest para poder construir a imagem. Agora podemos executar nossa imagem localmente usando o comando docker run --name simple-api --rm -d -p 8080:8080 simple-node-api.

É super importante colocarmos o <registryname>.azurecr.io antes do nome da imagem pois será assim que vamos diferenciar as imagens que enviamos para cada CR.

Pronto! Temos a nossa API pronta, vamos fazer o upload da mesma para dentro do nosso container registry. E isso é tão simples quanto fazer o upload de uma imagem para qualquer outro lugar! Basta executar um docker push <nome da imagem>:

E agora podemos ver que nossa imagem está segura no nosso CR ao clicarmos na aba repositories:

Executando localmente uma imagem do CR

Para executarmos localmente a imagem, basta executar o mesmo comando que executamos localmente, porém com o nome oficial da imagem:

$ docker run --name simple-api --rm -d -p 8080:8080 distributedapps.azurecr.io/simple-node-api

Conclusão

Neste artigo apenas criamos uma imagem e aprendemos como podemos utilizar o Azure CR de forma prática e simples. Além de possuir os serviços de containers privados, o Azure CR também possui outras funcionalidades, como replicação, criptografia, webhooks e muitas outras que vamos abordar em outros tópicos mais a frente enquanto exploramos o ecossistema cloud!

Não deixe de acompanhar mais do meu conteúdo no meu blog e se inscreva na newsletter para receber notícias semanais!

Espero que tenham gostado e, se quiserem me mandar uma mensagem ou qualquer feedback, podem ficar a vontade em minhas redes!

Posted on by:

khaosdoctor profile

Lucas Santos

@khaosdoctor

Developer since 2011, working with high availability web and cloud native applications since 2013 and homebrewer in the free time. Microsoft MVP Reconnect and Google GDE. Loves communities <3

Microsoft Azure

Any language. Any platform.

Discussion

markdown guide