データセンター内の Kubernetes クラスターが登録済みクラスターとして接続されている場合、そのワークロードは内部ネットワーク経由で Alibaba Cloud プロダクトにアクセスする必要があります。Cloud Enterprise Network (CEN)、Express Connect、または VPN を使用して、クラウドプロダクトがデプロイされているリージョンの内部ネットワークに接続できます。その後、クラウドプロダクトの内部 CIDR ブロックを指すルートを設定する必要があります。このトピックでは、パブリッククラウドおよび金融クラウドリージョンにおける一部のクラウドプロダクトの内部 CIDR ブロックをリストアップし、その取得方法について説明します。
注意事項
クラウドプロダクトには、リージョンごとに固定の内部仮想 IP アドレス (VIP) 範囲があります。ネットワーク障害を防ぐために、リージョンごとに完全なルートを設定する必要があります。
Elastic Compute Service (ECS) インスタンスを使用して内部ネットワーク経由でクラウドプロダクトにアクセスする場合、セキュリティグループは VIP 範囲全体へのアクセスを許可する必要があります。クラウドプロダクトの VIP はこの範囲内で変更される可能性があります。完全な VIP 範囲をセキュリティグループに追加しないと、ネットワーク接続が失敗する可能性があります。クラウドプロダクトにアクセスできなくなったことによるいかなる損失についても、お客様が責任を負うものとします。
クラウドプロダクトは通常、リージョン内で 100.103.22.120 のような固定の内部 IP アドレスを使用します。ルート設定を簡素化するために、100.103.22.0/24 のようなサブネットマスクを使用できます。
データセンターのセキュリティポリシーとルート設定
専用回線経由で接続した後、データセンターが必要なドメイン名と IP アドレスにアクセスできるようにするには、次の設定を完了します。
オンプレミスのデータセンターのアウトバウンドセキュリティポリシーで、アクセスしたいクラウドプロダクトの専用回線アドレスまたはドメイン名へのアクセスを許可します。
データセンター、仮想ボーダールータ (VBR)、Cloud Enterprise Network (CEN)、トランジットルーター (TR)、および VPC のルートテーブルで、往復ルートを設定します。
データセンター内の Kubernetes クラスターを登録済みクラスターとして接続すると、イメージサービス、Elastic Container Instance (ECI) と ECS を使用したクラウド弾力性、ネットワーキング、可観測性、ロギングなどの機能を使用できます。これらの機能の使用は、対応するクラウドプロダクトのエンドポイントのルート構成に依存します。
エンドポイントでは、{region} はデータセンターからアクセスしたいリージョンのリージョン ID を表します。たとえば、中国 (杭州) のリージョン ID は cn-hangzhou です。
クラウドプロダクトのエンドポイントをクエリするには、そのプロダクトのドキュメントをご参照ください。
次のセクションでは、いくつかの一般的なビジネスシナリオにおける、対応するクラウドプロダクトのサービスエンドポイントをリストアップします。
ACK コンポーネントの CIDR ブロックマッピング
データセンター内の Kubernetes クラスターが登録済みクラスターとして接続され、弾力性、ネットワーキング、可観測性、ロギングなどのクラウド機能を使用する必要がある場合、登録済みクラスターエージェントおよびその他のコンポーネントは、内部ネットワーク経由で ACK コンポーネントのイメージアドレスにアクセスする必要があります。したがって、ACK コンポーネントのイメージアドレスを指すルートを設定する必要があります。イメージは Object Storage Service (OSS) に保存されているため、OSS のルート CIDR ブロックも設定する必要があります。対応する CIDR ブロックを次の表に示します。
ACK コンポーネントの内部イメージアドレスとルート CIDR ブロックのマッピング
パブリッククラウドリージョン
リージョン | リージョン ID | VPC エンドポイント | ルート |
中国 (杭州) | cn-hangzhou | registry-cn-hangzhou-vpc.ack.aliyuncs.com | 100.103.9.188/32 100.103.7.181/32 |
中国 (上海) | cn-shanghai | registry-cn-shanghai-vpc.ack.aliyuncs.com | 100.103.94.158/32 100.103.7.57/32 100.100.80.231/32 |
中国 (福州 - ローカルリージョン) | cn-fuzhou | registry-cn-fuzhou-vpc.ack.aliyuncs.com | 100.100.0.43/32 100.100.0.28/32 |
中国 (青島) | cn-qingdao | registry-cn-qingdao-vpc.ack.aliyuncs.com | 100.100.0.172/32 100.100.0.207/32 |
中国 (北京) | cn-beijing | registry-cn-beijing-vpc.ack.aliyuncs.com | 100.103.99.73/32 100.103.0.251/32 100.103.6.63/32 |
中国 (張家口) | cn-zhangjiakou | registry-cn-zhangjiakou-vpc.ack.aliyuncs.com | 100.100.1.179/32 100.100.80.152/32 |
中国 (フフホト) | cn-huhehaote | registry-cn-huhehaote-vpc.ack.aliyuncs.com | 100.100.0.194/32 100.100.80.55/32 |
中国 (ウランチャブ) | cn-wulanchabu | registry-cn-wulanchabu-vpc.ack.aliyuncs.com | 100.100.0.122/32 100.100.0.58/32 |
中国 (深圳) | cn-shenzhen | registry-cn-shenzhen-vpc.ack.aliyuncs.com | 100.103.96.139/32 100.103.6.153/32 100.103.26.52/32 |
中国 (河源) | cn-heyuan | registry-cn-heyuan-vpc.ack.aliyuncs.com | 100.100.0.150/32 100.100.0.193/32 |
中国 (広州) | cn-guangzhou | registry-cn-guangzhou-vpc.ack.aliyuncs.com | 100.100.0.101/32 100.100.0.21/32 |
中国 (成都) | cn-chengdu | registry-cn-chengdu-vpc.ack.aliyuncs.com | 100.100.0.48/32 100.100.0.64/32 |
鄭州 (CUCC ジョイントベンチャー) | cn-zhengzhou-jva | registry-cn-zhengzhou-jva-vpc.ack.aliyuncs.com | 100.100.0.111/32 100.100.0.84/32 |
中国 (香港) | cn-hongkong | registry-cn-hongkong-vpc.ack.aliyuncs.com | 100.103.85.19/32 100.100.80.157/32 |
米国 (シリコンバレー) | us-west-1 | registry-us-west-1-vpc.ack.aliyuncs.com | 100.103.13.55/32 100.100.80.93/32 |
米国 (バージニア) | us-east-1 | registry-us-east-1-vpc.ack.aliyuncs.com | 100.103.12.19/32 100.100.80.11/32 |
日本 (東京) | ap-northeast-1 | registry-ap-northeast-1-vpc.ack.aliyuncs.com | 100.100.0.167/32 100.100.80.198/32 |
韓国 (ソウル) | ap-northeast-2 | registry-ap-northeast-2-vpc.ack.aliyuncs.com | 100.100.0.71/32 100.100.0.33/32 |
シンガポール | ap-southeast-1 | registry-ap-southeast-1-vpc.ack.aliyuncs.com | 100.103.103.254/32 100.100.80.136/32 |
マレーシア (クアラルンプール) | ap-southeast-3 | registry-ap-southeast-3-vpc.ack.aliyuncs.com | 100.100.0.17/32 100.100.80.137/32 |
インドネシア (ジャカルタ) | ap-southeast-5 | registry-ap-southeast-5-vpc.ack.aliyuncs.com | 100.100.0.226/32 100.100.80.200/32 |
フィリピン (マニラ) | ap-southeast-6 | registry-ap-southeast-6-vpc.ack.aliyuncs.com | 100.100.0.75/32 100.100.0.24/32 |
タイ (バンコク) | ap-southeast-7 | registry-ap-southeast-7-vpc.ack.aliyuncs.com | 100.100.0.62/32 100.100.0.34/32 |
ドイツ (フランクフルト) | eu-central-1 | registry-eu-central-1-vpc.ack.aliyuncs.com | 100.100.0.92/32 100.100.80.155/32 |
イギリス (ロンドン) | eu-west-1 | registry-eu-west-1-vpc.ack.aliyuncs.com | 100.100.0.175/32 100.100.0.18/32 |
サウジアラビア (リヤド - パートナーリージョン) | me-central-1 | registry-me-central-1-vpc.ack.aliyuncs.com | 100.100.0.109/32 100.100.0.18/32 |
金融クラウドリージョン
リージョン | リージョン ID | VPC エンドポイント | ルート |
華東 2 (上海) 金融 | cn-shanghai-finance-1 | registry-cn-shanghai-finance-1-vpc.ack.aliyuncs.com | 100.100.0.54/32 100.100.80.227/32 |
OSS 内部ドメイン名と VIP 範囲のマッピング
パブリッククラウドリージョン
リージョン | リージョン ID | OSS 固有のリージョン ID | VPC エンドポイント | VIP 範囲 |
中国 (杭州) | cn-hangzhou | oss-cn-hangzhou | oss-cn-hangzhou-internal.aliyuncs.com |
|
中国 (上海) | cn-shanghai | oss-cn-shanghai | oss-cn-shanghai-internal.aliyuncs.com |
|
中国 (南京 - ローカルリージョン - サービス終了) | cn-nanjing | oss-cn-nanjing | oss-cn-nanjing-internal.aliyuncs.com | 100.114.142.0/24 |
中国 (青島) | cn-qingdao | oss-cn-qingdao | oss-cn-qingdao-internal.aliyuncs.com |
|
中国 (北京) | cn-beijing | oss-cn-beijing | oss-cn-beijing-internal.aliyuncs.com |
|
中国 (張家口) | cn-zhangjiakou | oss-cn-zhangjiakou | oss-cn-zhangjiakou-internal.aliyuncs.com |
|
中国 (フフホト) | cn-huhehaote | oss-cn-huhehaote | oss-cn-huhehaote-internal.aliyuncs.com |
|
中国 (ウランチャブ) | cn-wulanchabu | oss-cn-wulanchabu | oss-cn-wulanchabu-internal.aliyuncs.com |
|
中国 (深圳) | cn-shenzhen | oss-cn-shenzhen | oss-cn-shenzhen-internal.aliyuncs.com |
|
中国 (河源) | cn-heyuan | oss-cn-heyuan | oss-cn-heyuan-internal.aliyuncs.com |
|
中国 (広州) | cn-guangzhou | oss-cn-guangzhou | oss-cn-guangzhou-internal.aliyuncs.com |
|
中国 (成都) | cn-chengdu | oss-cn-chengdu | oss-cn-chengdu-internal.aliyuncs.com |
|
中国 (香港) | cn-hongkong | oss-cn-hongkong | oss-cn-hongkong-internal.aliyuncs.com |
|
米国 (シリコンバレー)* | us-west-1 | oss-us-west-1 | oss-us-west-1-internal.aliyuncs.com | 100.115.107.0/24 |
米国 (バージニア)* | us-east-1 | oss-us-east-1 | oss-us-east-1-internal.aliyuncs.com |
|
日本 (東京)* | ap-northeast-1 | oss-ap-northeast-1 | oss-ap-northeast-1-internal.aliyuncs.com |
|
韓国 (ソウル) | ap-northeast-2 | oss-ap-northeast-2 | oss-ap-northeast-2-internal.aliyuncs.com | 100.99.119.0/24 |
シンガポール* | ap-southeast-1 | oss-ap-southeast-1 | oss-ap-southeast-1-internal.aliyuncs.com |
|
マレーシア (クアラルンプール)* | ap-southeast-3 | oss-ap-southeast-3 | oss-ap-southeast-3-internal.aliyuncs.com |
|
インドネシア (ジャカルタ)* | ap-southeast-5 | oss-ap-southeast-5 | oss-ap-southeast-5-internal.aliyuncs.com | 100.114.98.0/24 |
フィリピン (マニラ) | ap-southeast-6 | oss-ap-southeast-6 | oss-ap-southeast-6-internal.aliyuncs.com | 100.115.16.0/24 |
タイ (バンコク) | ap-southeast-7 | oss-ap-southeast-7 | oss-ap-southeast-7-internal.aliyuncs.com | 100.98.249.0/24 |
ドイツ (フランクフルト)* | eu-central-1 | oss-eu-central-1 | oss-eu-central-1-internal.aliyuncs.com | 100.115.154.0/24 |
イギリス (ロンドン) | eu-west-1 | oss-eu-west-1 | oss-eu-west-1-internal.aliyuncs.com | 100.114.114.128/25 |
アラブ首長国連邦 (ドバイ)* | me-east-1 | oss-me-east-1 | oss-me-east-1-internal.aliyuncs.com | 100.99.235.0/24 |
サウジアラビア (リヤド - パートナーリージョン) | me-central-1 | oss-me-central-1 | oss-me-central-1-internal.aliyuncs.com | 100.99.121.0/24 |
金融クラウドリージョン
リージョン | リージョン ID | OSS リージョン ID | VPC 経由でアクセスするための内部エンドポイント | VIP 範囲 |
華東 1 (杭州) 金融 | cn-hangzhou-finance | oss-cn-hzjbp |
|
|
華東 2 (上海) 金融 | cn-shanghai-finance-1 | oss-cn-shanghai-finance-1 | oss-cn-shanghai-finance-1-internal.aliyuncs.com |
|
華北 2 (北京) 金融 (プレビュー) | cn-beijing-finance-1 | oss-cn-beijing-finance-1 | oss-cn-beijing-finance-1-internal.aliyuncs.com | 100.112.52.0/24 |
華南 1 (深圳) 金融 | cn-shenzhen-finance-1 | oss-cn-shenzhen-finance-1 | oss-cn-shenzhen-finance-1-internal.aliyuncs.com | 100.112.15.0/24 |
華東 1 (杭州) 金融パブリック | cn-hangzhou-finance | oss-cn-hzfinance | oss-cn-hzfinance-internal.aliyuncs.com |
|
華東 2 (上海) 金融パブリック | cn-shanghai-finance-1 | oss-cn-shanghai-finance-1-pub | oss-cn-shanghai-finance-1-pub-internal.aliyuncs.com |
|
華南 1 (深圳) 金融パブリック | cn-shenzhen-finance-1 | oss-cn-szfinance | oss-cn-szfinance-internal.aliyuncs.com |
|
華北 2 (北京) 金融パブリック | cn-beijing-finance-1 | oss-cn-beijing-finance-1-pub | oss-cn-beijing-finance-1-pub-internal.aliyuncs.com | 100.112.52.0/24 |
Application Monitoring の内部ドメインとルート CIDR のマッピング
クラウドの弾力性 (ECI)
登録済みクラスターに [ack-virtual-node] コンポーネントをデプロイして、アプリケーション Pod を Elastic Container Instance (ECI) にスケジュールできます。これを行うには、次のステップを実行します。
[ack-virtual-node] コンポーネントをインストールします。詳細については、「仮想ノードを使用して Pod を ECI にスケジュールする」をご参照ください。
データセンターから [ack-virtual-node] コンポーネントが使用するクラウドプロダクトの内部エンドポイントへのルートを設定します。[ack-virtual-node] コンポーネントは ECI へのアクセスのみを必要とします。ECI エンドポイントの詳細については、「エンドポイント」をご参照ください。
エンドポイントに対応する CIDR ブロックを取得します。詳細については、「dig コマンドを使用してクラウドプロダクトの内部 CIDR ブロックを取得する」をご参照ください。
ネットワーキング
通常、データセンター内の Kubernetes クラスターには、すでにネットワークプラグインがインストールされています。登録済みクラスターで ECS ノードプールを使用し、クラウドノードでパフォーマンス専有型の Terway ネットワークプラグインを使用する場合は、次のステップを実行します。
Terway ネットワークコンポーネントをインストールします。詳細については、「Terway ネットワークプラグインのデプロイと設定」をご参照ください。
データセンターから Terway ネットワークプラグインが使用するクラウドプロダクトの内部エンドポイントへのルートを設定します。Terway ネットワークプラグインは、Elastic Compute Service (ECS) および VPC へのアクセスを必要とします。
ECS エンドポイントの詳細については、「ECS エンドポイント」をご参照ください。
VPC エンドポイントの詳細については、「VPC エンドポイント」をご参照ください。
エンドポイントに対応する CIDR ブロックを取得します。詳細については、「dig コマンドを使用してクラウドプロダクトの内部 CIDR ブロックを取得する」をご参照ください。
Prometheus モニタリング
登録済みクラスターに [arms-prometheus] コンポーネントをデプロイして、Managed Service for Prometheus を使用してデータセンター内の Kubernetes クラスターをモニターできます。これを行うには、次のステップを実行します。
[arms-prometheus] コンポーネントをインストールします。詳細については、「登録済みクラスターを Managed Service for Prometheus に接続する」をご参照ください。
データセンターから [arms-prometheus] コンポーネントが使用するクラウドプロダクトの内部エンドポイントへのルートを設定します。[arms-prometheus] コンポーネントは Managed Service for Prometheus へのアクセスを必要とします。
dig コマンドを使用してクラウドプロダクトの内部 CIDR ブロックを取得する
使用するクラウドプロダクトが上記にリストされていない場合は、`dig` コマンドを使用して特定のリージョンの内部 CIDR ブロックを取得できます。たとえば、[ack-virtual-node] コンポーネントがデータセンターの Kubernetes クラスターにデプロイされている場合、次のコマンドを実行して、中国 (上海) リージョンの ECI の内部 API エンドポイントの CIDR ブロックを取得できます。
dig eci-vpc.cn-shanghai.aliyuncs.com期待される出力:
; <<>> DiG 9.10.6 <<>> eci-vpc.cn-shanghai.aliyuncs.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11344
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;eci-vpc.cn-shanghai.aliyuncs.com. IN A
;; ANSWER SECTION:
eci-vpc.cn-shanghai.aliyuncs.com. 300 IN CNAME eci-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com.
eci-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com. 300 IN CNAME popunify-vpc.cn-shanghai.aliyuncs.com.
popunify-vpc.cn-shanghai.aliyuncs.com. 300 IN CNAME popunify-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com.
popunify-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com. 300 IN A 100.103.22.120
;; Query time: 93 msec
;; SERVER: 30.30.XX.XX#53(30.30.XX.XX)
;; WHEN: Tue Aug 27 13:59:01 CST 2024
;; MSG SIZE rcvd: 193出力は、中国 (上海) リージョンの ECI の内部 VIP が 100.103.22.120 であることを示しています。