Jika Anda perlu mendorong atau menarik gambar ke instans Container Registry Edisi Perusahaan dari wilayah berbeda atau dari pusat data, pastikan jaringan sumber dan VPC instans tersebut dapat berkomunikasi. Topik ini menjelaskan cara mendapatkan alamat IP yang diperlukan dan mengonfigurasi rute agar dapat mendorong serta menarik gambar dari luar wilayah utama instans.
Kasus penggunaan
|
Skenario |
Deskripsi |
Tindakan |
|
Akses instans Edisi Perusahaan dari pusat data |
Anda dapat menggunakan VPN Gateway, Express Connect, atau Smart Access Gateway untuk menghubungkan pusat data Anda ke VPC yang berisi instans Edisi Perusahaan. Konfigurasi ini memungkinkan akses instans dari pusat data Anda. |
|
|
Akses instans Edisi Perusahaan lintas wilayah |
Gunakan Cloud Enterprise Network (CEN) untuk menghubungkan VPC sumber Anda ke VPC instans. Hal ini memungkinkan akses lintas wilayah ke instans Edisi Perusahaan. Catatan
Jika Anda perlu menarik gambar kontainer dari beberapa wilayah, kami menyarankan membuat instans Edisi Perusahaan di setiap wilayah dan menggunakan fitur sinkronisasi global untuk menyinkronkan gambar. Untuk detailnya, lihat Sinkronkan instans dalam akun yang sama. |
|
Contoh
Contoh ini menunjukkan cara mengakses instans Edisi Perusahaan di wilayah China (Hangzhou) dari sumber di wilayah China (Shanghai) dalam Akun Alibaba Cloud yang sama. Detail lingkungan sebagai berikut:
-
VPC1
-
Wilayah: China (Hangzhou)
-
Blok CIDR IPv4: 10.0.0.0/16
-
VSwitch 1, berlokasi di Zona J, dengan blok CIDR 10.0.0.0/24
-
VSwitch 2, berlokasi di Zona K, dengan blok CIDR 10.0.1.0/24 (VSwitch dibuat di zona berbeda untuk disaster recovery multi-zona.)
-
Alamat IP ECS1: 10.0.0.1 (Instance Elastic Compute Service (ECS) digunakan untuk memverifikasi konektivitas.)
-
-
VPC2
-
Wilayah: China (Shanghai)
-
Blok CIDR IPv4: 172.16.0.0/16
-
VSwitch 1, berlokasi di Zona M, dengan blok CIDR 172.16.0.0/24
-
VSwitch 2, berlokasi di Zona N, dengan blok CIDR 172.16.1.0/24
-
Alamat IP ECS2: 172.16.0.1
-
Alur kerja:
-
Buat koneksi lintas wilayah: Pastikan VPC di China (Hangzhou) dan China (Shanghai) terhubung melalui Cloud Enterprise Network (CEN). Untuk detailnya, lihat Hubungkan VPC lintas wilayah.
-
Di wilayah China (Hangzhou), dapatkan informasi untuk tiga domain berikut:
CatatanPastikan instance ECS di wilayah yang sama dengan instans Container Registry Edisi Perusahaan mengaksesnya melalui jaringan internal. Untuk detailnya, lihat Konfigurasikan kontrol akses untuk VPC.
-
Nama domain instans Edisi Perusahaan, yang digunakan untuk akses API guna menarik dan mendorong gambar.
-
Nama domain layanan autentikasi, yang digunakan untuk komunikasi terkait identitas.
-
Nama domain bucket OSS terkait, yang menyimpan gambar dan menyediakan akses ke gambar tersebut.
-
-
Konfigurasikan tabel rute: Tambahkan alamat IP atau blok CIDR yang diperoleh ke tabel rute jaringan sumber untuk memastikan akses lintas wilayah melalui CEN.
-
Dari China (Shanghai), verifikasi akses ke instans Edisi Perusahaan di China (Hangzhou).
Langkah 1: Buat koneksi lintas wilayah
Gunakan Cloud Enterprise Network (CEN) untuk mengonfigurasi koneksi lintas wilayah antara VPC1 di China (Hangzhou) dan VPC2 di China (Shanghai). Untuk detailnya, lihat Hubungkan VPC lintas wilayah.
Langkah 2: Dapatkan informasi domain
Pastikan alamat IP untuk ketiga domain berikut tidak bentrok dengan alamat IP layanan yang sudah ada di jaringan sumber Anda. Jika terjadi bentrok, layanan yang sudah ada mungkin menjadi tidak dapat diakses.
-
Login ke ECS1 di China (Hangzhou) dan ikuti langkah-langkah berikut untuk mendapatkan alamat IP VPC untuk bucket OSS, instans Edisi Perusahaan, dan layanan autentikasi.
-
Dapatkan alamat IP akses VPC instans Edisi Perusahaan.
Login ke Konsol Container Registry.
Di bilah navigasi atas, pilih wilayah.
Di panel navigasi kiri, klik Instances.
Di halaman Instances, klik instans Edisi Perusahaan yang ingin Anda kelola.
-
Di panel navigasi kiri halaman pengelolaan instans, pilih .
-
Di tab VPC, salin nama domain akses VPC instans Edisi Perusahaan. Lalu, di instance ECS, gunakan perintah
pingpada nama domain tersebut untuk mendapatkan dan mencatat alamat IP-nya.
-
Dapatkan alamat IP layanan autentikasi di VPC.
CatatanAnda dapat melewati langkah ini dengan mengaktifkan instans untuk mengambil alih domain autentikasi.
-
Jalankan perintah berikut untuk mendapatkan nama domain layanan autentikasi di VPC. Ganti
InstanceNamedengan nama instans Edisi Perusahaan Anda danRegionIddengan ID wilayahnya.curl -vv https://${InstanceName}-registry-vpc.${RegionId}.cr.aliyuncs.com/v2/
-
Gunakan perintah
pinguntuk mendapatkan dan mencatat alamat IP yang sesuai.ping dockerauth-vpc.cn-hangzhou.aliyuncs.com
-
-
Dapatkan alamat IP bucket OSS di VPC.
CatatanAnda dapat melewati langkah ini jika Anda mengakses sumber daya OSS melalui jaringan pribadi menggunakan PrivateLink, lalu mengarahkan nama domain OSS di China (Hangzhou) ke titik akhir PrivateLink menggunakan rekaman CNAME.
Gunakan perintah
pinguntuk mendapatkan dan mencatat alamat IP yang sesuai.-
Dapatkan nama domain VPC untuk bucket OSS di China (Hangzhou). Untuk informasi selengkapnya, lihat Akses OSS menggunakan titik akhir dan nama domain bucket.
-
Gunakan perintah ping untuk mendapatkan dan mencatat alamat IP nama domain tersebut.
ping oss-cn-hangzhou-internal.aliyuncs.com
CatatanJika Anda menggunakan bucket OSS kustom, nama domain-nya adalah
${OSSBucketName}.oss-${RegionId}-internal.aliyuncs.com. -
Tabel berikut mencantumkan contoh alamat IP untuk domain yang terkait dengan instans Edisi Perusahaan di China (Hangzhou).
Layanan
Nama domain
Alamat IP
Instans Edisi Perusahaan
xxxxxx-registry-vpc.cn-hangzhou.cr.aliyuncs.com
10.94.205.198
Layanan autentikasi
dockerauth-vpc.cn-hangzhou.aliyuncs.com
100.103.7.181/32
Bucket OSS
oss-cn-hangzhou-internal.aliyuncs.com
100.118.28.43/32
-
Langkah 3: Konfigurasikan tabel rute
-
Di VPC2 di China (Shanghai), ikuti langkah-langkah berikut untuk menambahkan alamat IP layanan autentikasi dan bucket OSS ke tabel rute.
Login ke Konsol VPC.
Di panel navigasi kiri, klik Route Tables.
-
Di halaman Route Tables, temukan tabel rute kustom target dan klik ID-nya.
-
Di halaman detail tabel rute kustom, pilih , lalu klik Add Route Entry.
-
Di panel Add Route Entry, konfigurasikan entri rute sebagai berikut, lalu klik Confirm.
Parameter
Deskripsi
Cuplikan layar
Destination CIDR Block
Masukkan blok CIDR tujuan untuk traffic yang akan diteruskan.
Untuk IPv4 CIDR, masukkan 100.103.7.181/32 dan 100.118.28.43/32. Anda hanya dapat menambahkan satu alamat IP dalam satu waktu. Tambahkan setiap alamat IP sebagai entri terpisah.

Next Hop Type
Pilih jenis lompatan berikutnya.
Pilih Transit Router. Traffic yang ditujukan ke blok CIDR tujuan akan diarahkan ke router transit yang dipilih.
Lalu, pilih Transit Router yang dibuat di Langkah 1: Buat koneksi lintas wilayah.
-
Tambahkan entri rute untuk 100.0.0.0/8 (yang mencakup alamat IP layanan autentikasi dan bucket OSS) ke tabel rute router transit di China (Shanghai).
Login ke Konsol CEN.
Di halaman CEN Instance, klik ID instans CEN yang ingin Anda kelola.
-
Di tab , temukan instans router transit di China (Shanghai) dan klik ID-nya.
Di halaman detail router transit, klik tab Route Table.
-
Di bagian kiri, klik ID tabel rute target. Di halaman detail tabel rute, klik tab Route, lalu klik Create Route Entry.
-
Di kotak dialog Add Route Entry, konfigurasikan entri rute, lalu klik Confirm.
Parameter
Deskripsi
Cuplikan layar
Destination CIDR
Masukkan blok CIDR tujuan untuk entri rute.
Untuk IPV4, masukkan 100.0.0.0/8 (Ini mencakup blok CIDR layanan autentikasi dan alamat IP OSS).

Blackhole Route
Blackhole Route:
No
Next Hop
Next Hop:
Atur jenis attachment ke TR dan pilih ID instans CEN dari Langkah 1: Buat koneksi lintas wilayah.
-
Tambahkan entri rute untuk 100.0.0.0/8 (yang mencakup alamat IP layanan autentikasi dan bucket OSS) ke tabel rute router transit di China (Hangzhou).
-
Di tab , temukan instans router transit di China (Hangzhou) dan klik ID-nya.
Di halaman detail router transit, klik tab Route Table.
-
Di bagian kiri, klik ID tabel rute target. Di halaman detail tabel rute, klik tab Route, lalu klik Create Route Entry.
-
Di kotak dialog Add Route Entry, konfigurasikan entri rute, lalu klik Confirm.
Parameter
Deskripsi
Cuplikan layar
Destination CIDR
Masukkan blok CIDR tujuan untuk entri rute.
Untuk IPV4, masukkan 100.0.0.0/8 (Ini mencakup blok CIDR layanan autentikasi dan alamat IP OSS).

Blackhole Route
Blackhole Route:
No
Next Hop
Next Hop:
Atur jenis attachment ke VPC dan pilih ID instans VPC untuk China (Hangzhou).
-
Langkah 4: Verifikasi akses
-
Login ke ECS2 di China (Shanghai). Gunakan perintah
pinguntuk menguji konektivitas ke tiga alamat IP yang diperoleh di Langkah 2 untuk layanan di wilayah China (Hangzhou), lalu konfigurasikan resolusi DNS lokal.vim /etc/hosts 10.94.205.198 xxxxxx-registry-vpc.cn-hangzhou.cr.aliyuncs.com 100.103.7.181 dockerauth-vpc.cn-hangzhou.aliyuncs.com 100.118.28.43 ${OSSBucketName}.oss-cn-hangzhou-internal.aliyuncs.com -
Gunakan perintah
docker loginuntuk login ke repository gambar kontainer, lalu jalankan perintahdocker pulluntuk menarik gambar.CatatanUntuk informasi detail tentang mendorong dan menarik gambar, lihat Gunakan instans Edisi Perusahaan untuk mendorong dan menarik gambar.

Menangani bentrok IP 100.0.0.0/8
Alamat IP untuk domain autentikasi dan OSS diselesaikan ke blok CIDR 100.0.0.0/8. Jika jaringan internal Anda juga menggunakan rentang ini, akan terjadi bentrok alamat IP.
Bentrok IP domain autentikasi
Anda dapat menangani bentrok domain autentikasi dengan mengaktifkan instans untuk mengambil alih domain autentikasi. Hal ini memungkinkan Anda mengakses layanan hanya dengan menggunakan nama domain instans.
Login ke Konsol Container Registry.
Di bilah navigasi atas, pilih wilayah.
Di halaman Instances, klik instans Edisi Perusahaan yang ingin Anda kelola.
-
Di panel navigasi kiri halaman pengelolaan instans, pilih . Di halaman Domain, aktifkan sakelar Instance Taking over Authentication Domain Name.
PentingUntuk menggunakan fitur pengambilalihan instans untuk domain autentikasi, Anda harus membuat tiket untuk menambahkan instans Edisi Perusahaan Anda ke daftar izin.
-
Di kotak dialog Confirm to Enable Instance Taking over Authentication Domain Name, klik Confirm.
Bentrok IP domain OSS
Anda dapat mengakses sumber daya OSS melalui jaringan pribadi menggunakan PrivateLink, lalu mengarahkan nama domain OSS ke nama domain PrivateLink menggunakan rekaman CNAME.