Untuk mengakses instans Container Registry Edisi Perusahaan lintas wilayah atau dari pusat data guna mendorong atau menarik gambar, pastikan bahwa virtual private cloud (VPC) sumber akses dan VPC instans Edisi Perusahaan terhubung. Topik ini menjelaskan cara memperoleh alamat IP instans Edisi Perusahaan dan mengonfigurasi rute untuk mendorong atau menarik gambar dari luar wilayah instans Edisi Perusahaan.
Skenario
Skenario | Deskripsi | Operasi |
Mengakses instans Edisi Perusahaan dari pusat data | Gunakan gateway Virtual Private Network (VPN), sirkuit Express Connect, atau Smart Access Gateway untuk menghubungkan pusat data ke VPC instans Edisi Perusahaan. |
|
Mengakses instans Edisi Perusahaan lintas wilayah | Gunakan Cloud Enterprise Network (CEN) untuk menghubungkan VPC sumber akses ke VPC instans Edisi Perusahaan lintas wilayah. Catatan Jika Anda ingin menarik gambar dari beberapa wilayah, disarankan untuk membuat beberapa instans Edisi Perusahaan di wilayah-wilayah tersebut dan menggunakan kemampuan replikasi global instans Edisi Perusahaan untuk mereplikasi gambar. Untuk informasi lebih lanjut, lihat Replikasi gambar dalam akun yang sama. |
|
Deskripsi
Dalam contoh ini, sumber akses di wilayah Tiongkok (Shanghai) mengakses instans Edisi Perusahaan di wilayah Tiongkok (Hangzhou) dalam Akun Alibaba Cloud yang sama. Informasi lingkungan:
VPC1
Wilayah: Tiongkok (Hangzhou).
Blok CIDR IPv4: 10.0.0.0/16.
Blok CIDR vSwitch 1 di Hangzhou Zone J: 10.0.0.0/24.
Blok CIDR vSwitch 2 di Hangzhou Zone K: 10.0.1.0/24. vSwitch dibuat di zona berbeda untuk menerapkan pemulihan bencana multi-zona.
Alamat IP Instance ECS 1: 10.0.0.1. Instance ECS digunakan untuk memverifikasi konektivitas.
VPC2
Wilayah: Tiongkok (Shanghai).
Blok CIDR IPv4: 172.16.0.0/16.
Blok CIDR vSwitch 1 di Shanghai Zone M: 172.16.0.0/24.
Blok CIDR vSwitch 2 di Shanghai Zone N: 172.16.1.0/24.
Alamat IP Instance ECS 2: 172.16.0.1.
Prosedur:
Koneksi antar wilayah: Gunakan CEN untuk menghubungkan VPC sumber akses di wilayah Tiongkok (Shanghai) ke VPC instans Edisi Perusahaan di wilayah Tiongkok (Hangzhou). Untuk informasi lebih lanjut, lihat Hubungkan VPC di wilayah berbeda.
Peroleh informasi nama domain berikut dari instans Edisi Perusahaan di wilayah Tiongkok (Hangzhou):
CatatanInstance ECS di wilayah yang sama dengan instans Edisi Perusahaan harus mengakses instans Edisi Perusahaan melalui VPC. Untuk informasi lebih lanjut, lihat Konfigurasikan ACL VPC.
Nama domain instans Edisi Perusahaan. Nama domain diakses oleh API untuk menarik dan mendorong gambar.
Nama domain layanan otentikasi. Nama domain diakses ketika sistem melakukan otentikasi identitas.
Nama domain bucket Layanan Penyimpanan Objek (OSS). Bucket OSS digunakan untuk menyimpan gambar pada instans Edisi Perusahaan.
Konfigurasikan tabel rute: Tambahkan alamat IP atau blok CIDR ke tabel rute untuk memastikan bahwa sumber akses dapat mengakses instans Edisi Perusahaan lintas wilayah.
Uji akses ke instans Edisi Perusahaan di wilayah Tiongkok (Hangzhou) dari sumber akses di wilayah Tiongkok (Shanghai).
Langkah 1: Buat koneksi antar wilayah
Gunakan CEN untuk menghubungkan VPC2 sumber akses di wilayah Tiongkok (Shanghai) ke VPC1 instans Edisi Perusahaan di wilayah Tiongkok (Hangzhou). Untuk informasi lebih lanjut, lihat Hubungkan VPC di wilayah berbeda.
Langkah 2: Memperoleh informasi nama domain
Pastikan bahwa alamat IP nama domain berikut tidak bertentangan dengan alamat IP layanan yang ada di sumber akses. Jika tidak, layanan di sumber akses tidak dapat diakses.
Masuk ke Instance ECS 1 di wilayah Tiongkok (Hangzhou) dan lakukan operasi berikut untuk memperoleh alamat IP bucket OSS, instans Edisi Perusahaan, dan layanan otentikasi di VPC:
Peroleh alamat IP instans Edisi Perusahaan di VPC.
Masuk ke Konsol Container Registry.
Di bilah navigasi atas, pilih wilayah.
Di panel navigasi sisi kiri, klik Instances.
Pada halaman Instances, klik instans Edisi Perusahaan yang ingin Anda kelola.
Di panel navigasi sisi kiri halaman manajemen instans Edisi Perusahaan, pilih .
Pada tab VPC, salin nama domain instans Edisi Perusahaan di VPC. Kemudian, jalankan perintah
pingpada Instance ECS 1 untuk mengakses nama domain instans Edisi Perusahaan. Peroleh dan catat alamat IP instans Edisi Perusahaan.
Peroleh alamat IP layanan otentikasi di VPC.
CatatanJika Anda mengaktifkan fitur yang memungkinkan instans Edisi Perusahaan mengambil alih nama domain otentikasi, Anda dapat melewati langkah ini. Untuk informasi tentang cara mengaktifkan fitur tersebut, lihat Konflik dengan blok CIDR yang dipetakan ke nama domain layanan otentikasi.
Jalankan perintah berikut untuk memperoleh nama domain layanan otentikasi di VPC. Dalam perintah tersebut, ganti
InstanceNamedengan nama instans Edisi Perusahaan danRegionIddengan ID wilayah instans Edisi Perusahaan.curl -vv https://${InstanceName}-registry-vpc.${RegionId}.cr.aliyuncs.com/v2/
Jalankan perintah
pinguntuk memperoleh alamat IP layanan otentikasi dan catat alamat IP tersebut.ping dockerauth-vpc.cn-hangzhou.aliyuncs.com
Peroleh alamat IP bucket OSS di VPC.
CatatanJika Anda menggunakan PrivateLink untuk mengakses bucket OSS dan menambahkan rekaman CNAME untuk menunjuk nama domain bucket OSS ke nama domain koneksi PrivateLink, Anda dapat melewati langkah ini. Untuk informasi lebih lanjut, lihat Akses OSS menggunakan PrivateLink.
Jalankan perintah
pinguntuk memperoleh alamat IP bucket OSS dan catat alamat IP tersebut.Peroleh nama domain bucket OSS di VPC wilayah Tiongkok (Hangzhou) dari tabel di Titik akhir OSS internal dan rentang VIP di awan publik.
Jalankan perintah ping untuk memperoleh alamat IP bucket OSS dan catat alamat IP tersebut.
ping oss-cn-hangzhou-internal.aliyuncs.com
CatatanJika Anda menggunakan bucket OSS kustom, nama domain bucket OSS adalah
${CustomizedOSSBucket}.oss-${RegionId}-internal.aliyuncs.com.
Tabel berikut memberikan contoh alamat IP nama domain yang terkait dengan instans Edisi Perusahaan di wilayah Tiongkok (Hangzhou):
Item
Nama domain
Alamat IP
Instans Edisi Perusahaan
xxxxxx-registry-vpc.cn-hangzhou.cr.aliyuncs.com
10.94.205.198
Layanan Otentikasi
dockerauth-vpc.cn-hangzhou.aliyuncs.com
100.103.7.181/32
Bucket OSS
oss-cn-hangzhou-internal.aliyuncs.com
100.118.28.43/32
Langkah 3: Konfigurasikan tabel rute
Di VPC 2 wilayah Tiongkok (Shanghai), lakukan operasi berikut untuk menggunakan alamat IP layanan otentikasi dan bucket OSS untuk mengonfigurasi tabel rute:
Masuk ke Konsol VPC.
Di panel navigasi sisi kiri, klik Route Tables.
Pada halaman Route Tables, temukan tabel rute kustom yang ingin Anda kelola dan klik ID-nya.
Pada halaman detail tabel rute kustom, pilih dan klik Add Route Entry.
Di panel Add Route Entry, konfigurasikan entri rute berdasarkan parameter berikut dan klik OK.
Parameter
Deskripsi
Screenshot
Destination CIDR Block
Masukkan blok CIDR tujuan.
Pilih IPv4 CIDR Block dan masukkan 100.103.7.181/32 dan 100.118.28.43/32. Konfigurasikan alamat IP secara terpisah.
Next Hop Type
Pilih jenis lompatan berikutnya.
Pilih Transit Router. Trafik yang ditujukan untuk blok CIDR tujuan akan dirutekan ke router transit yang ditentukan. Untuk informasi lebih lanjut tentang router transit, lihat Bagaimana router transit bekerja.
Kemudian, pilih router transit yang Anda buat di Langkah 1: Buat koneksi antar wilayah.
Tambahkan entri rute 100.0.0.0/8 yang mencakup alamat IP layanan otentikasi dan bucket OSS ke tabel rute router rute CEN di wilayah Tiongkok (Shanghai).
Masuk ke Konsol CEN.
Pada halaman Instances, klik ID instans CEN yang ingin Anda kelola.
Pada tab , temukan router transit di wilayah Tiongkok (Shanghai) dan klik ID-nya.
Pada halaman detail router transit, klik tab Route Table.
Di bagian kiri, klik ID tabel rute. Pada tab Route Entry halaman detail tabel rute, klik Add Route Entry.
Dalam kotak dialog Add Route Entry, konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter.
Parameter
Deskripsi
Screenshot
Destination CIDR
Masukkan blok CIDR tujuan untuk rute.
Pilih IPv4 dan masukkan 100.0.0.0/8. Blok CIDR ini mencakup alamat IP dari layanan otentikasi dan bucket OSS.
Blackhole Route
Specify whether the route is a blackhole route.
Pilih No.
Next Hop
Next Hop
Atur Jenis Lampiran ke TR dan pilih ID router transit yang Anda buat di Langkah 1: Buat koneksi antar wilayah.
Tambahkan entri rute 100.0.0.0/8 yang mencakup alamat IP layanan otentikasi dan bucket OSS ke tabel rute router rute CEN di wilayah Tiongkok (Hangzhou).
Pada tab , temukan router transit di wilayah Tiongkok (Hangzhou) dan klik ID-nya.
Pada halaman detail router transit, klik tab Route Table.
Di bagian kiri, klik ID tabel rute. Pada tab Route Entry halaman detail tabel rute, klik Add Route Entry.
Dalam kotak dialog Add Route Entry, konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter.
Parameter
Deskripsi
Screenshot
Destination CIDR
Masukkan blok CIDR tujuan untuk rute.
Pilih IPv4 dan masukkan 100.0.0.0/8. Blok CIDR ini mencakup alamat IP dari layanan otentikasi dan bucket OSS.
Blackhole Route
Specify whether the route is a blackhole route.
Pilih No.
Next Hop
Next Hop
Atur Jenis Lampiran ke VPC dan pilih ID VPC1 di wilayah Tiongkok (Hangzhou).
Langkah 4: Uji akses ke instans Edisi Perusahaan
Masuk ke Instance ECS 2 di wilayah Tiongkok (Shanghai). Jalankan perintah
pingpada Instance ECS 2 untuk menguji akses ke tiga alamat IP dari instans Edisi Perusahaan, layanan otentikasi, dan bucket OSS di wilayah Tiongkok (Hangzhou) yang Anda peroleh di Langkah 2. Gunakan tiga nama domain yang terkait dengan instans Edisi Perusahaan untuk mengonfigurasi resolusi DNS lokal pada Instance ECS 2 dan periksa apakah nama domain tersebut diselesaikan ke alamat IP yang terkait dengan instans Edisi Perusahaan.vim /etc/hosts 10.94.205.198 xxxxxx-registry-vpc.cn-hangzhou.cr.aliyuncs.com 100.103.7.181 dockerauth-vpc.cn-hangzhou.aliyuncs.com 100.118.28.43 ${OSSBucketName}.oss-cn-hangzhou-internal.aliyuncs.comJalankan perintah
docker loginuntuk masuk ke repositori gambar pada instans Edisi Perusahaan dan kemudian jalankan perintahdocker pulluntuk menarik gambar dari repositori gambar.CatatanUntuk informasi lebih lanjut tentang cara mendorong dan menarik gambar, lihat Gunakan instans Container Registry Edisi Perusahaan untuk mendorong dan menarik gambar.
Solusi untuk konflik blok CIDR 100
Ketika Anda mengonfigurasi aturan routing, nama domain layanan otentikasi dan bucket OSS dipetakan ke alamat IP yang termasuk dalam blok CIDR 100. Jika blok CIDR 100 dialokasikan ke VPC tempat instans Edisi Perusahaan berada, konflik nama domain mungkin terjadi ketika Anda mengakses instans Edisi Perusahaan. Untuk mencegah konflik tersebut terjadi, Anda dapat menggunakan solusi berikut:
Konflik dengan blok CIDR yang dipetakan ke nama domain layanan otentikasi
Anda dapat mengaktifkan fitur yang memungkinkan instans Edisi Perusahaan mengambil alih nama domain layanan otentikasi dan hanya perlu mengakses nama domain instans Edisi Perusahaan. Ini menyelesaikan konflik dengan blok CIDR yang dipetakan ke nama domain layanan otentikasi.
Masuk ke Konsol Container Registry.
Di bilah navigasi atas, pilih wilayah.
Pada halaman Instances, klik instans Edisi Perusahaan yang ingin Anda kelola.
Di panel navigasi sisi kiri halaman manajemen instans Edisi Perusahaan, pilih . Pada halaman Domain, aktifkan Instance Taking over Authentication Domain Name.
PentingJika Anda ingin menggunakan fitur yang memungkinkan instans Edisi Perusahaan mengambil alih nama domain otentikasi, submit a ticket untuk meminta menambahkan instans Edisi Perusahaan ke daftar putih.
Dalam pesan Confirm to Enable Instance Taking over Authentication Domain Name klik OK.
Konflik dengan blok CIDR yang dipetakan ke nama domain bucket OSS
Untuk mencegah konflik dengan blok CIDR yang dipetakan ke nama domain bucket OSS terjadi, Anda dapat menggunakan PrivateLink untuk mengakses bucket OSS dan menambahkan rekaman CNAME untuk menunjuk nama domain bucket OSS ke nama domain koneksi PrivateLink. Untuk informasi lebih lanjut, lihat Akses OSS menggunakan PrivateLink.