Gunakan komponen bebas rahasia untuk menarik gambar lintas akun - Container Registry

Dalam arsitektur multi-akun Alibaba Cloud, kluster ACK dan instans Container Registry (ACR) Edisi Perusahaan mungkin dikelola oleh akun yang berbeda dari organisasi bisnis yang berbeda. Untuk mengizinkan kluster ACK menarik gambar kontainer dari instans ACR guna menerapkan beban kerja, Anda harus membangun konektivitas jaringan dan memberikan izin yang diperlukan. Topik ini menjelaskan cara menggunakan komponen bebas rahasia aliyun-acr-credential-helper untuk menarik gambar lintas akun.

Panduan Pemilihan

Pilih metode konektivitas jaringan dan otorisasi akun yang sesuai dengan kebutuhan bisnis Anda, lalu pilih komponen bebas rahasia yang mendukung metode tersebut.

Untuk informasi lebih lanjut, lihat Konfigurasikan Konektivitas Jaringan, Konfigurasikan Otorisasi Akun dan Komponen Bebas Rahasia, dan Verifikasi Penarikan Gambar Lintas Akun.

Catatan

Dalam topik ini, lintas akun merujuk pada Akun Alibaba Cloud yang berbeda, bukan Pengguna RAM.

Prasyarat

Peran RAM yang digunakan oleh komponen bebas rahasia telah diberi izin yang diperlukan.
Kluster ACK mendukung komponen bebas rahasia.
- aliyun-acr-credential-helper (dikelola)
  - Kluster ACK Pro yang menjalankan Kubernetes 1.22 atau lebih baru.
  - Kluster ACK Serverless yang menjalankan Kubernetes 1.22 atau lebih baru.
  - Kluster ACK Edge yang menjalankan Kubernetes 1.22 atau lebih baru.
- aliyun-acr-credential-helper (dikelola sendiri)
  - Kluster ACK Dasar yang menjalankan Kubernetes 1.20.0 atau lebih baru.
  - Kluster ACK Pro yang menjalankan Kubernetes 1.20.0 atau lebih baru.
  - Kluster Khusus ACK yang menjalankan Kubernetes 1.20.0 atau lebih baru.
Instans Container Registry (ACR) adalah Instans Perusahaan.
Penting
- Hanya instans Container Registry Edisi Pribadi yang dibuat pada tanggal 8 September 2024 atau sebelumnya dan instans Container Registry Edisi Perusahaan yang mendukung aliyun-acr-credential-helper.
- Instans Container Registry Edisi Pribadi yang dibuat pada atau setelah tanggal 9 September 2024 tidak mendukung aliyun-acr-credential-helper. Jika Anda ingin menarik gambar dari instans Container Registry Edisi Pribadi yang dibuat setelah tanggal 8 September 2024, disarankan menyimpan nama pengguna dan token dalam rahasia dan merujuk rahasia tersebut di parameter imagePullSecrets dalam file YAML beban kerja.

Prosedur

Langkah 1: Konfigurasikan konektivitas jaringan

Saat menarik gambar lintas akun, kluster ACK dan instans Container Registry (ACR) Edisi Perusahaan berada di VPC yang berbeda milik akun yang berbeda dan mungkin berada di wilayah yang berbeda. Sebelum menarik gambar, pastikan jaringan terhubung dan nama domain dapat diurai. Metode berikut tersedia:

Koneksi Internet: Konfigurasikan titik akhir publik untuk instans Container Registry Edisi Perusahaan dan aktifkan akses Internet untuk kluster ACK. Gambar ditransfer melalui Internet. Namun, transfer data melalui Internet kurang aman dan dikenakan biaya EIP dan transfer data.
Koneksi Peering VPC: Gunakan koneksi peering VPC untuk menghubungkan dua VPC, memungkinkan kluster ACK mengakses instans Container Registry Edisi Perusahaan. Koneksi peering VPC gratis jika VPC berada di wilayah yang sama, tetapi dikenakan biaya jika VPC berada di wilayah yang berbeda. Metode ini memerlukan agar kedua VPC memiliki blok CIDR yang tidak tumpang tindih.
Koneksi CEN: Instans CEN dapat berisi satu atau lebih router transit. Router transit dapat dihubungkan menggunakan koneksi antar-wilayah untuk mengimplementasikan koneksi VPC-to-VPC lintas wilayah dan lintas akun.

Untuk perbandingan antara koneksi peering VPC dan koneksi CEN, lihat Apa Perbedaan Antara CEN dan Koneksi Peering VPC?

Item Perbandingan	Koneksi Internet	Koneksi peering VPC	Koneksi CEN
Jenis Jaringan	Internet	Pribadi	Pribadi
Penagihan	Biaya dikenakan berdasarkan metode penagihan Alamat IP Elastis.	Tidak ada biaya yang dikenakan jika VPC kluster ACK dan instans Container Registry Edisi Perusahaan berada di wilayah yang sama. Jika VPC berada di wilayah yang berbeda, Cloud Data Transfer (CDT) mengenakan biaya transfer data untuk transfer data keluar.	Biaya dikenakan berdasarkan aturan penagihan CEN.
Fitur Utama	Anda tidak perlu memodifikasi arsitektur jaringan yang ada. Untuk keamanan, Anda perlu mempertimbangkan aturan masuk dan kontrol akses.	Gambar ditransfer melalui jaringan internal, yang memberikan keamanan tinggi. Tidak ada biaya yang dikenakan jika VPC berada di wilayah yang sama. Fitur ini memerlukan agar kedua VPC berbagi blok CIDR, yang mengurangi jumlah blok CIDR yang tersedia di VPC. Jika banyak blok CIDR yang digunakan di kedua VPC tumpang tindih, Anda perlu memodifikasi arsitektur jaringan yang ada.	Gambar ditransfer melalui jaringan internal, yang memberikan keamanan tinggi. CEN dirancang untuk lingkungan produksi perusahaan yang memiliki persyaratan keamanan tinggi.
Prosedur Konfigurasi	Konfigurasikan titik akhir publik untuk instans ACR Dengan mengonfigurasi kebijakan kontrol akses untuk Internet, Anda dapat mengelola dan mengakses instans Container Registry Edisi Perusahaan secara jarak jauh dan aman. Aktifkan akses Internet untuk kluster ACK Konfigurasikan kluster ACK untuk mengakses sumber daya eksternal melalui Internet untuk menarik gambar dari instans Container Registry Edisi Perusahaan.	Konfigurasikan resolusi DNS internal untuk instans ACR Setelah Anda menghubungkan instans Container Registry Edisi Perusahaan ke VPC, Anda dapat mengakses instans Edisi Perusahaan dari VPC menggunakan titik akhir internal. Setelah konfigurasi selesai, Anda perlu mendapatkan ID VPC dan alamat IP internal instans Container Registry Edisi Perusahaan. Dapatkan nama domain dan alamat IP terkait dengan instans ACR Dapatkan nama domain dan alamat IP layanan otentikasi serta nama domain dan alamat IP bucket OSS terkait yang digunakan untuk mengakses instans Container Registry Edisi Perusahaan. Buat koneksi peering VPC dan konfigurasikan tabel rute Anda perlu menambahkan rute yang menunjuk ke VPC peer di setiap ujung koneksi peering VPC untuk mengaktifkan konektivitas pribadi antara VPC kluster ACK dan VPC instans Container Registry Edisi Perusahaan. Di ujung koneksi peering VPC kluster ACK, Anda juga perlu mengonfigurasi rute untuk alamat IP layanan otentikasi dan alamat IP bucket OSS terkait. Selesaikan nama domain instans ACR untuk kluster ACK Anda dapat menggunakan metode seperti menambahkan catatan resolusi DNS internal atau menggunakan skrip data kustom untuk kolam node untuk memodifikasi file `/etc/hosts` secara massal. Ini menyelesaikan nama domain instans ACR ke alamat IP internal instans ACR untuk kluster ACK. Dengan cara ini, lalu lintas diteruskan ke VPC instans ACR melalui rute koneksi peering VPC.	Konfigurasikan resolusi DNS internal untuk instans ACR Setelah Anda menghubungkan instans Container Registry Edisi Perusahaan ke VPC, Anda dapat mengakses instans Edisi Perusahaan dari VPC menggunakan titik akhir internal. Setelah konfigurasi selesai, Anda perlu mendapatkan ID VPC dan alamat IP internal instans Container Registry Edisi Perusahaan. Dapatkan nama domain dan alamat IP terkait dengan instans ACR Dapatkan nama domain dan alamat IP layanan otentikasi serta nama domain dan alamat IP bucket OSS terkait yang digunakan untuk mengakses instans Container Registry Edisi Perusahaan. Konfigurasikan koneksi VPC-to-VPC lintas akun menggunakan CEN Hubungkan VPC instans Container Registry Edisi Perusahaan ke router transit di wilayah akun. Hubungkan VPC kluster ACK ke router transit di wilayah akun. Kemudian, gunakan koneksi antar-wilayah untuk menghubungkan router transit di dua wilayah. Konfigurasikan tabel rute VPC dan router transit Untuk VPC dan router transit kluster ACK, Anda juga perlu mengonfigurasi rute untuk alamat IP layanan otentikasi dan alamat IP bucket OSS terkait. Selesaikan nama domain instans ACR untuk kluster ACK Anda dapat menggunakan metode seperti menambahkan catatan resolusi DNS internal atau menggunakan skrip data kustom untuk kolam node untuk memodifikasi file `/etc/hosts` secara massal. Ini menyelesaikan nama domain instans ACR ke alamat IP internal instans ACR untuk kluster ACK. Dengan cara ini, lalu lintas diteruskan ke VPC instans ACR melalui rute CEN.

Langkah 2: Konfigurasikan otorisasi akun dan komponen bebas rahasia

Tiga metode otorisasi berikut tersedia untuk menarik gambar lintas akun tanpa kredensial. Pilih konfigurasi yang paling sesuai dengan skenario Anda.

Item Perbandingan	Gunakan RRSA	Gunakan asumsi peran RAM pekerja	Gunakan pasangan AccessKey pengguna RAM
Jenis Kluster	Didukung di Kluster ACK dikelola Edisi Dasar, Kluster ACK dikelola Edisi Pro, Kluster Edge ACK, dan Kluster Serverless ACK Edisi Pro versi 1.22 dan lebih baru.	Didukung di Kluster ACK dikelola Edisi Dasar, Kluster ACK dikelola Edisi Pro, dan Kluster khusus ACK versi 1.20 dan lebih baru.	Didukung di Kluster ACK dikelola Edisi Dasar, Kluster ACK dikelola Edisi Pro, dan Kluster khusus ACK versi 1.20 dan lebih baru.
Komponen Didukung	komponen aliyun-acr-credential-helper dikelola komponen aliyun-acr-credential-helper Anda harus meningkatkan komponen ke v23.02.06.1-74e2172-aliyun atau lebih baru. Untuk informasi lebih lanjut tentang perbedaan antara komponen, lihat Perbandingan komponen bebas rahasia.	komponen aliyun-acr-credential-helper	komponen aliyun-acr-credential-helper
Granularitas Izin	Tingkat Pod (halus)	Tingkat Kluster (sedang)	Tingkat Akun (kasar)
Keamanan	Tinggi. Metode ini memberikan kontrol izin halus dan isolasi. Ini menggunakan kredensial sementara STS tanpa pasangan AccessKey yang dikodekan keras.	Sedang. Semua pod berbagi izin, yang dapat menyebabkan risiko izin berlebihan.	Rendah. Risiko kebocoran pasangan AccessKey tinggi.
Skenario	Metode ini cocok untuk layanan sensitif keamanan dan lingkungan produksi yang memerlukan kontrol izin ketat.	Metode ini cocok untuk skenario yang memerlukan izin terpadu, dan lingkungan pengembangan dan pengujian yang memerlukan tingkat kontrol izin tertentu.	Metode ini cocok untuk penyebaran cepat atau lingkungan demo.

Gunakan RRSA

Di kluster ACK Akun A, konfigurasikan ServiceAccount tertentu untuk mengasumsikan peran RAM Akun B yang memiliki izin untuk menarik gambar tanpa kredensial. Ini memungkinkan kluster ACK mengakses dan menarik gambar pribadi dari Akun B.

Catatan

Untuk mengaktifkan fitur RRSA komponen bebas rahasia, aktifkan RRSA di kluster terlebih dahulu, lalu konfigurasikan RRSA untuk komponen bebas rahasia. Jika langkah-langkah dilakukan dalam urutan yang salah, hapus pod plugin bebas rahasia untuk mengaktifkan fitur RRSA.

Di Akun A, aktifkan fitur RRSA untuk kluster ACK dan buat peran RAM yang memiliki izin untuk mengasumsikan peran.
1. Aktifkan fitur RRSA untuk kluster ACK.
  1. Masuk ke Konsol ACK. Di bilah navigasi di sebelah kiri, klik Clusters.
  2. Di halaman Clusters, temukan kluster target dan klik namanya. Di bilah navigasi di sebelah kiri, klik Cluster Information.
  3. Di bagian Security and Auditing tab Basic Information, klik Enable di sebelah RRSA OIDC.
  4. Di kotak dialog Enable RRSA, klik Confirm.
    Di bagian Basic Information, jika status kluster berubah dari Updating menjadi Running, fitur RRSA telah diaktifkan untuk kluster.
2. Gunakan editor skrip untuk mengedit kebijakan kepercayaan dan buat peran RAM untuk Penyedia Identitas OIDC.
  - Ganti <oidc_issuer_url> dalam contoh dengan URL Penyedia Identitas OIDC kluster saat ini yang Anda dapatkan di langkah sebelumnya.
  - Ganti <oidc_provider_arn> dalam contoh dengan ARN Penyedia Identitas OIDC kluster saat ini yang Anda dapatkan di langkah sebelumnya.
```
{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "oidc:aud": "sts.aliyuncs.com",
          "oidc:iss": "<oidc_issuer_url>",
          "oidc:sub": "system:serviceaccount:kube-system:aliyun-acr-credential-helper"
        }
      },
      "Effect": "Allow",
      "Principal": {
        "Federated": [
          "<oidc_provider_arn>"
        ]
      }
    }
  ],
  "Version": "1"
}
```
3. Lampirkan kebijakan AliyunSTSAssumeRoleAccess ke peran untuk memberikannya izin untuk mengasumsikan peran, dan catat ARN-nya. Untuk informasi lebih lanjut, lihat Berikan Izin ke Peran RAM.
  1. Di halaman detail peran, klik tab Permission Management, lalu klik Grant Permission.
  2. Di panel Grant Permission, di bagian Access Policy, temukan dan pilih kebijakan AliyunSTSAssumeRoleAccess, lalu klik Confirm Grant Permission.
  3. Di halaman detail peran, temukan dan catat ARN peran RAM di bagian Basic Information. Untuk informasi lebih lanjut, lihat Bagaimana Cara Melihat ARN Peran RAM?
Di Akun B, buat peran RAM, berikan izin untuk menarik gambar pribadi, dan izinkan peran RAM Akun A untuk mengasumsikan peran ini.
1. Gunakan editor skrip untuk mengedit kebijakan kepercayaan dan buat peran RAM untuk akun Alibaba Cloud tepercaya untuk mengizinkan Akun A mengasumsikan peran.
```
{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "RAM": [
          "<ARN peran yang dibuat di Akun A>"
        ]
      }
    }
  ],
  "Version": "1"
}
```
2. Buat kebijakan kustom dengan konten berikut dan berikan kebijakan ke peran RAM untuk memberikan peran izin untuk mendapatkan informasi instans dan menarik gambar.
```
{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "cr:GetAuthorizationToken",
                "cr:ListInstanceEndpoint",
                "cr:PullRepository"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
```
3. Atur durasi sesi maksimum untuk peran RAM ke nilai antara 3.600 detik dan 43.200 detik. Nilai default adalah 3.600 detik.
  Pastikan nilai ini sama dengan nilai parameter expireDuration yang Anda konfigurasikan nanti. Nilai expireDuration tidak boleh melebihi durasi sesi maksimum.
4. Di halaman detail peran, temukan dan catat ARN peran RAM di bagian Basic Information.

Di Akun A, instal komponen bebas rahasia untuk kluster ACK dan modifikasi item konfigurasinya.

Untuk informasi lebih lanjut tentang perbedaan antara komponen, lihat Perbandingan Komponen Bebas Rahasia.

Komponen aliyun-acr-credential-helper dikelola komponen

Masuk ke Konsol ACK. Di bilah navigasi di sebelah kiri, klik Clusters.
Pada halaman Clusters, cari kluster yang diinginkan dan klik nama tersebut. Di panel sebelah kiri, pilih Operations > Add-ons.
Di halaman Add-ons, klik tab Security. Temukan kartu aliyun-acr-credential-helper (Managed) di bagian Keamanan, lalu klik Install di sudut kanan bawah kartu.

Di kotak dialog Aliyun-acr-credential-helper Parameter Configuration, pilih Enable RRSA, klik Add di sebelah kanan, masukkan parameter berikut, lalu klik OK.

791184c653f445f62c3387d88ad8bdcf

Konfigurasikan instans Container Registry Edisi Perusahaan terkait:

Parameter	Deskripsi	Contoh
instanceId	ID instans ACR. Untuk menentukan beberapa ID, pisahkan dengan koma (,).	cri-XXXXX
regionId	ID wilayah instans ACR.	cn-hangzhou
domains	Nama domain yang digunakan oleh instans ACR. Masukkan semua titik akhir (Internet dan VPC) instans ACR. Untuk menentukan nama domain individual, pisahkan dengan koma (,).	XXXXX-registry.cn-hangzhou.cr.aliyuncs.com
assumeRoleARN	ARN peran RAM pemilik instans ACR. Masukkan ARN peran RAM yang dibuat di Akun B.	acs:ram::100XXXXXXXX9630:role/XXXX
expireDuration	Periode validitas kredensial sementara dalam skenario lintas akun. Masukkan durasi sesi maksimum peran RAM yang dibuat di Akun B.	3600
rrsaRoleARN	ARN peran RAM pemilik kluster ACK. Masukkan ARN peran RAM yang dibuat di Akun A.	acs:ram::128XXXXXXXXXX09011:role/XXXX
rrsaOIDCProviderRoleARN	ARN Penyedia Identitas OIDC kluster ACK. Masukkan ARN Penyedia OIDC RRSA kluster ACK di Akun A.	acs:ram::128XXXXXXXXXX09011:oidc-provider/ack-rrsa-c8864XXXXXXXXXXXXXXXXXX99356a636

Untuk detail lebih lanjut mengenai parameter lainnya, lihat Konfigurasi Komponen.

Komponen aliyun-acr-credential-helper

Masuk ke Konsol ACK. Di bilah navigasi kiri, klik Clusters.
Di halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel kiri, pilih Operations > Add-ons.
Di halaman Component Management, klik tab Security, temukan komponen aliyun-acr-credential-helper, lalu klik Install. Di kotak dialog yang muncul, atur opsi tokenMode menjadi auto dan klik OK.

Modifikasi item konfigurasi ConfigMap komponen bebas rahasia.

Di bilah navigasi kiri, pilih Configuration Management > ConfigMaps.

Di halaman Configuration Items, pilih kube-system dari daftar drop-down Namespace. Lalu, klik YAML Edit di kolom Tindakan untuk acr-configuration untuk memodifikasi konfigurasi seperti yang ditunjukkan dalam contoh berikut.

data:
  service-account: "default"
  watch-namespace: "all"
  expiring-threshold: "15m"
  notify-email: "c*@example.com"
  acr-registry-info: |
    - instanceId: "cri-xxx"                                   # ID instans ACR.
      regionId: "cn-hangzhou"                                 # ID wilayah instans ACR.
      domains: "xxxxx-registry.cn-hangzhou.cr.aliyuncs.com"   # Titik akhir instans ACR.
      rrsaRoleARN: "<ARN peran yang dibuat di Akun A>"
      rrsaOIDCProviderRoleARN: "<ARN Penyedia OIDC di informasi dasar kluster ACK di konsol untuk Akun A.>"
      assumeRoleARN: "<ARN peran yang dibuat di Akun B>"
      expireDuration: 3600                                    # Durasi sesi maksimum peran RAM di Akun B. Nilai default adalah 3600.             
  rrsa: |
    enable: true                                              # Aktifkan fitur RRSA untuk komponen bebas rahasia.

Gunakan asumsi peran RAM pekerja

Di kluster ACK Akun A, konfigurasikan peran RAM pekerja default kluster untuk mengasumsikan peran RAM Akun B yang memiliki izin menarik gambar tanpa kredensial. Hal ini memungkinkan kluster ACK mengakses dan menarik gambar pribadi dari Akun B.

Di Akun A, lihat peran RAM pekerja kluster dan berikan izin untuk mengasumsikan peran.
1. Masuk ke Konsol ACK. Di bilah navigasi sebelah kiri, klik Clusters.
2. Di halaman Clusters, temukan kluster target dan klik namanya. Di bilah navigasi sebelah kiri, klik Cluster Information.
3. Di halaman Cluster Information, klik tab Basic Information. Di bagian Cluster Resources, klik tautan di sebelah kanan Worker RAM Role.
4. Lampirkan kebijakan AliyunSTSAssumeRoleAccess ke peran untuk memberikan izin mengasumsikan peran, dan catat ARN-nya. Untuk informasi lebih lanjut, lihat Berikan Izin ke Peran RAM.
  1. Di halaman detail peran, klik tab Permission Management, lalu klik Grant Permission.
  2. Di panel Grant Permission, di bagian Access Policy, temukan dan pilih kebijakan AliyunSTSAssumeRoleAccess, lalu klik Confirm Grant Permission.
  3. Di halaman detail peran, temukan dan catat ARN peran RAM di bagian Basic Information. Untuk informasi lebih lanjut, lihat Bagaimana cara melihat ARN peran RAM?
Di Akun B, buat peran RAM, berikan izin untuk menarik gambar pribadi, dan izinkan peran RAM pekerja kluster ACK di Akun A untuk mengasumsikan peran ini.
1. Buat Peran RAM untuk Akun Alibaba Cloud Tepercaya.
2. Buat Kebijakan Kustom dengan konten berikut dan lampirkan kebijakan ke Peran RAM guna memberikan izin kepada peran untuk memperoleh informasi instans dan menarik gambar.
```
{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "cr:GetAuthorizationToken",
                "cr:ListInstanceEndpoint",
                "cr:PullRepository"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
```
3. Di halaman informasi dasar peran RAM, klik tab Trust Policy dan klik Edit Trust Policy untuk memodifikasi kebijakan dengan konten berikut. Ini mengizinkan peran RAM pekerja kluster ACK di Akun A untuk mengasumsikan peran RAM di Akun B.
```
{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "RAM": [
          "<ARN peran yang dibuat di Akun A>"
        ]
      }
    }
  ],
  "Version": "1"
}
```
4. Di halaman detail peran, temukan dan catat ARN peran RAM di bagian Basic Information. Untuk informasi lebih lanjut, lihat Bagaimana cara melihat ARN peran RAM?
Di Akun A, instal komponen bebas rahasia untuk kluster ACK dan modifikasi item konfigurasinya.
1. Masuk ke Konsol ACK. Di bilah navigasi sebelah kiri, klik Clusters.
2. Di halaman Clusters, temukan kluster yang Anda inginkan dan klik namanya. Di panel sebelah kiri, pilih Operations > Add-ons.
3. Di halaman Component Management, klik tab Security, temukan komponen aliyun-acr-credential-helper, lalu klik Install. Di kotak dialog yang muncul, atur opsi tokenMode ke workerRole dan klik OK.
4. Modifikasi item konfigurasi ConfigMap komponen bebas rahasia.
  1. Di bilah navigasi sebelah kiri, pilih Configuration Management > ConfigMaps.
  2. Di halaman Configuration Items, pilih kube-system dari daftar drop-down Namespace. Lalu, klik YAML Edit di kolom Tindakan untuk acr-configuration untuk memodifikasi konfigurasi seperti yang ditunjukkan dalam contoh berikut.
```
data:
    service-account: "default"
    watch-namespace: "all"
    expiring-threshold: "15m"
    notify-email:"c*@example.com"
    acr-registry-info: |
      - instanceId: "cri-xxx"                                    # ID instans Container Registry Edisi Perusahaan.
        regionId: "cn-hangzhou"                                  # ID wilayah instans Container Registry Edisi Perusahaan.
        domains: "xxxxx-registry.cn-hangzhou.cr.aliyuncs.com"    # Titik akhir instans Container Registry Edisi Perusahaan.
        assumeRoleARN: "<ARN peran yang dibuat di Akun B>"
        expireDuration: 3600                                     # Durasi sesi maksimum peran RAM di Akun B. Nilai default adalah 3600.
```

Gunakan pasangan AccessKey pengguna RAM

Di kluster ACK Akun A, komponen bebas rahasia menyimpan ID AccessKey dan rahasia AccessKey pengguna RAM dari Akun B untuk menarik gambar pribadi milik Akun B. Meskipun metode ini mudah dikonfigurasi, penyimpanan ID AccessKey dan rahasia AccessKey dalam teks biasa menimbulkan risiko keamanan.

Di Akun B, buat pengguna RAM dan pastikan pengguna RAM memiliki izin cr.*.
1. Buat pengguna RAM.
2. Buat kebijakan kustom dengan konten berikut dan berikan kebijakan kepada pengguna RAM untuk memberikan izin mendapatkan informasi instans dan menarik gambar.
```
{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "cr:GetAuthorizationToken",
                "cr:ListInstanceEndpoint",
                "cr:PullRepository"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
```
3. Lihat informasi pasangan AccessKey pengguna RAM dan catat.
Di Akun A, instal komponen bebas rahasia untuk kluster ACK dan modifikasi item konfigurasinya.
1. Masuk ke Konsol ACK. Di bilah navigasi sebelah kiri, klik Clusters.
2. Di halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel sebelah kiri, klik Cluster Information.
3. Di halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel sebelah kiri, pilih Operations > Add-ons.
4. Di halaman Component Management, klik tab Security, temukan komponen aliyun-acr-credential-helper, lalu klik Install. Di kotak dialog yang muncul, atur opsi tokenMode ke auto dan klik OK.
5. Modifikasi item konfigurasi ConfigMap komponen bebas rahasia.
  1. Di bilah navigasi sebelah kiri, pilih Configuration Management > ConfigMaps.
  2. Di halaman Configuration Items, pilih kube-system dari daftar drop-down Namespace. Lalu, klik YAML Edit di kolom Tindakan untuk acr-configuration untuk memodifikasi konfigurasi seperti yang ditunjukkan dalam contoh berikut.

Langkah 3: Verifikasi penarikan gambar lintas akun

Catatan

Prosedur verifikasi ini hanya untuk tujuan demonstrasi. Untuk informasi lebih lanjut, lihat Bangun Gambar dan Buat Beban Kerja.

Di instans Container Registry Edisi Perusahaan Akun B, peroleh alamat Public Endpoint atau VPC gambar kontainer sesuai kebutuhan.

Di kluster ACK Akun A, pilih Workloads > Deployments dan gunakan gambar kontainer untuk membuat beban kerja.

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment-basic
  labels:
    app: nginx
spec:
  replicas: 1
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: ******.cn-hangzhou.cr.aliyuncs.com/instance/instancetest:v1 # Tentukan alamat gambar ACR di Akun B. 
        ports:
        - containerPort: 80

Jika pesan Gambar berhasil ditarik "XXX" dalam XXX detik (XXX detik termasuk menunggu). Ukuran gambar: XXX byte. muncul di acara pod beban kerja, hal ini menunjukkan bahwa gambar berhasil ditarik dari akun yang berbeda menggunakan komponen bebas rahasia.

Tanya Jawab Umum

Bagaimana cara menyelesaikan konflik alamat IP di blok CIDR 100.0.X.X/8?

Saat mengonfigurasi aturan rute, nama domain layanan otentikasi dan bucket OSS dipetakan ke alamat IP dalam blok CIDR 100. Jika blok CIDR 100 dialokasikan ke VPC tempat instans Edisi Perusahaan berada, konflik nama domain mungkin terjadi saat Anda mengakses instans tersebut. Untuk mencegah konflik, gunakan solusi berikut:

Konflik blok CIDR domain otentikasi

Aktifkan fitur yang memungkinkan instans Edisi Perusahaan mengambil alih nama domain layanan otentikasi sehingga Anda hanya perlu mengakses nama domain instans Edisi Perusahaan. Ini menyelesaikan konflik dengan blok CIDR yang dipetakan ke nama domain layanan otentikasi.

Masuk ke Konsol Container Registry.
Di bilah navigasi atas, pilih wilayah.
Di halaman Instances, klik instans Edisi Perusahaan yang ingin Anda kelola.
Di bilah navigasi kiri halaman manajemen instans Edisi Perusahaan, pilih Repository > Domain. Di halaman Domain, aktifkan Instance Taking over Authentication Domain Name.
Penting
Jika Anda ingin menggunakan fitur ini, Ajukan tiket untuk meminta penambahan instans Edisi Perusahaan ke daftar putih.
Di pesan Confirm to Enable Instance Taking over Authentication Domain Name, klik OK.

Konflik blok CIDR domain OSS

Untuk mencegah konflik dengan blok CIDR yang dipetakan ke nama domain bucket OSS, gunakan PrivateLink untuk mengakses bucket OSS dan tambahkan catatan CNAME untuk menunjuk nama domain bucket OSS ke nama domain koneksi PrivateLink. Untuk informasi lebih lanjut, lihat Akses OSS menggunakan PrivateLink.