Azure Container Registry (ACR) 完全ガイド｜SKU・Geo-replication・ACR Tasks・Vulnerability Scanning

Azure Container Registry (ACR) は、Microsoft マネージドの Docker / OCI 互換コンテナイメージレジストリ。Container Image・Helm Chart・OCI Artifacts (任意のファイル) を保管・配信。AKS・Container Apps・App Service・Azure Functions などの Azure コンピュートサービスと密接統合。代表的なユースケース: 1) AKS Cluster の Image Pull Source、2) CI/CD パイプラインの Build / Push 先、3) ベースイメージの組織内集中管理、4) Geo-replication でグローバル配信、5) Vulnerability Scanning (Microsoft Defender for Containers 統合)、6) Helm Chart Repository、7) Quarantine (脆弱性スキャン未完了 Image の配信ブロック)。SKU 3 段階 (Basic・Standard・Premium) で本番は Premium 推奨、AZ-204 / AZ-400 試験で深く問われます。

ACR の SKU 比較: Basic (開発・PoC・最安・月約 700 円・10 GB Storage Included・Geo-replication なし・Content Trust なし)、Standard (本番一般・月約 2,800 円・100 GB Storage Included・Geo-replication なし・Webhook あり)、Premium (本番推奨・月約 7,000 円・500 GB Storage Included・Geo-replication・Content Trust・Private Endpoint・Repository-scoped Tokens・Trust Policy・Quarantine・複数 OCI Artifacts 対応・Customer-Managed Key・Diagnostic Logs・SLA 99.95%)。本番運用では Premium が標準、Geo-replication / Private Endpoint / 脆弱性スキャン統合などのエンタープライズ機能が Premium 限定。Storage 超過分は追加課金 (約 1 円/GB・月)、毎日数 GB の Image Push があるプロジェクトでは Storage コストが運用コストの主要部分になる場合があります。

ACR Premium の Geo-replication は、Single Registry を複数 Azure Region に自動レプリケート、Region 別の最寄り Registry からの Image Pull で遅延短縮・帯域コスト削減。動作: 1) Primary Region で Image Push、2) ACR が他 Region に非同期レプリケート (数分〜数十分)、3) AKS Cluster (各 Region) は自動的に最寄り Replica から Pull、4) Geo-redundant でリージョン障害時も他 Region から継続配信。代表的な構成: 東日本 (Primary) + 西日本 (DR) + 米国西部 (Global) + 西ヨーロッパ (Global) で 4 Region Replica。コスト: 1 Replica あたり Premium 料金追加 (4 Region なら 4× コスト)、Geo-replication でグローバル配信遅延 100ms → 10ms に短縮可能。グローバル展開する SaaS / ゲーム / マイクロサービスで威力を発揮します。

AKS から ACR への Image Pull 認証は 3 つのパターン: 1) ACR-AKS Integration (推奨・最も簡単): AKS Cluster 作成時 / 後付けで ACR とリンク、AKS の System-assigned Managed Identity に AcrPull ロールが自動付与、Image Pull が完全自動。2) Managed Identity + Pull Secret 手動構成: System or User-assigned Managed Identity に AcrPull ロール手動付与、kubectl create secret docker-registry で Pull Secret 作成、Pod の imagePullSecrets で参照。3) Service Principal + Pull Secret: レガシー方式・Secret 管理負荷あり・新規利用非推奨。本番運用では ACR-AKS Integration 一択、az aks update --name myCluster --attach-acr myAcr コマンドで既存 AKS Cluster にも適用可能。Microsoft が継続投資する標準パターンで、Secret 管理不要 + Managed Identity の自動ローテーションのメリットを享受できます。

ACR Tasks は ACR 内で Container Image の自動 Build / Push / Test を実行するマネージドサービス、CI/CD パイプラインの軽量代替。3 種類の Task: 1) Quick Task (一回限りの Build・az acr build コマンド・GitHub Actions / Azure Pipelines 代替)、2) Trigger-based Task (Git Source Code Push・Base Image 更新・Schedule で自動 Build・Webhook 経由 Trigger)、3) Multi-step Task (yaml ベースの複数ステップ Build・Test・Tag・Push を 1 Task で実行・docker compose ベース)。代表的なユースケース: 1) Base Image (mcr.microsoft.com/dotnet/sdk) 更新時に依存アプリ自動 Rebuild、2) GitHub Repository への Push で自動 Build → AKS デプロイ、3) 夜間 Schedule で Latest Image の Vulnerability Scanning、4) Multi-architecture Build (amd64 + arm64) を 1 Task で並列実行。CI/CD インフラ構築前の軽量自動化として有用、本番は GitHub Actions / Azure Pipelines + ACR の組み合わせが標準です。

Microsoft Defender for Containers (旧 Defender for Container Registries) は ACR 内 Image の脆弱性自動スキャン機能。動作: 1) ACR への Image Push 時に自動スキャン開始 (数分〜数十分)、2) スキャン結果が Microsoft Defender for Cloud のセキュリティ推奨事項に表示、3) CVSS スコア・修正パッケージバージョン・Exploitability・推奨アクション (Base Image Update・Package Update) を提示、4) High / Critical 脆弱性は Microsoft Sentinel に Alert 送信 → Logic App Playbook で Slack 通知・GitHub Issue 起票。Continuous Scan で過去 30 日に Pull された Image も毎日 Re-scan、新規 CVE 発見時に即通知。代表的な対応フロー: 1) Defender Alert で High 脆弱性検出、2) GitHub Issue 起票、3) Engineering が Base Image 更新 + Rebuild、4) ACR に新 Image Push → AKS 自動デプロイ、5) Defender が再スキャンで Clear 確認。本番運用では DevSecOps の中核機能で、コンテナセキュリティの最後の砦です。

ACR Premium では Private Endpoint で Public Network から完全分離可能。動作: 1) ACR の Network Access を Disable (Public Access 完全遮断)、2) Private Endpoint を VNet に作成 (privatelink.azurecr.io Private DNS Zone と統合)、3) AKS / Container Apps / App Service は VNet Integration 経由で Private に Image Pull、4) オンプレからも VPN/ExpressRoute + Private Endpoint で Pull 可能。代表的な構成: 1) 機密データを扱う本番 AKS は完全 Private ACR から Pull、2) GitHub Actions Self-hosted Runner (VNet 内) で Image Push、3) Defender for Containers の Vulnerability Scan は Private でも動作 (Microsoft の Trusted Service)。コンプライアンス要件 (GDPR・HIPAA・PCI DSS) や金融機関・政府機関での標準パターン、本番 ACR では Public Endpoint 無効化 + Private Endpoint 構成が現代的なベストプラクティスです。

AZ-204 (Developer Associate、2026-07 リタイア注意) のドメイン 1 (Compute 25-30%) で ACR が深く問われる本領域の主要トピック (AKS デプロイ・Image Push パターン)。AZ-400 (DevOps Engineer Expert) のドメイン 3 で CI/CD パイプライン統合・ACR Tasks・Defender for Containers、AZ-104 (Administrator) でリソース管理基礎、AZ-305 (Solutions Architect Expert) でアーキテクチャ判断 (ACR vs Docker Hub vs GHCR)、SC-100 (Cybersecurity Architect Expert) で Container Security 戦略。Microsoft 外: CKA (Kubernetes Administrator)・CKAD (Application Developer) で Registry 概念。コンテナベース開発・運用の中核技術で、AZ-204 / AZ-400 学習者にとって必須スキルです。