Alibaba Cloudでは、データセンターにデプロイされた外部KubernetesクラスターをAlibaba Cloudの登録済みクラスターに接続し、外部クラスターのワークロードが内部ネットワーク経由でAlibaba Cloudリソースにアクセスできるようにします。 この目標を達成するには、Cloud Enterprise Network (CEN) 、Express Connect、VPN GatewayなどのAlibaba Cloudサービスを使用して、クラウドリソースがAlibaba cloudリージョンにデプロイされている内部ネットワークに外部クラスターを接続する必要があります。 また、クラウドリソースの内部CIDRブロックを指すルートを設定する必要があります。 このトピックでは、Alibaba Cloud Public CloudまたはAlibaba Finance Cloudのさまざまなリージョンにある一部のAlibaba Cloudサービスの内部CIDRブロックについて説明します。
使用上の注意
各Alibaba Cloudサービスは、各リージョンの静的な内部仮想IPアドレス (VIP) 範囲を指定します。 接続障害を防ぐには、異なるリージョンのVIP範囲に基づいて、リージョンへの完全なルートを設定する必要があります。
Elastic Compute service (ECS) インスタンスから内部ネットワーク経由でAlibaba Cloudサービスにアクセスする場合は、ECSインスタンスのセキュリティグループがクラウドサービスのすべてのVIP範囲へのアクセスを許可していることを確認してください。 クラウドサービスのVIPは、VIP範囲内で異なる場合があります。 VIP範囲に基づいて完全なルートを追加しないと、ECSインスタンスがサービスにアクセスできない可能性があります。 この場合、あなたはそこから生じるあらゆる損失と損害に対して責任があります。
ほとんどの場合、Alibaba Cloudサービスは各リージョンで静的VIP 100.103.22.120を使用します。 ルート設定を簡単にするために、VIPのサブネットマスクを指定できます。 例: 100.103.22.0/24。
データセンターのセキュリティとルート設定
プライベートネットワークを使用してデータセンターをAlibaba Cloudに接続した後、データセンターの外部Kubernetesクラスターが次のドメイン名とIPアドレスにアクセスできるように、次の設定を行う必要があります。
データセンターのアウトバウンドセキュリティポリシーでは、アクセスするクラウドサービスのプライベートIPアドレスまたはドメイン名へのアクセスを許可する必要があります。
クラスターをクラウドサービスに接続するために使用される、データセンター、仮想ボーダールーター (VBR) 、CENインスタンス、トランジットルーター、および仮想プライベートクラウド (VPC) のルートテーブルでのインバウンドルートとアウトバウンドルートの設定.
データセンターの外部Kubernetesクラスターを登録済みクラスターに接続すると、クラスターは、イメージホスティング、ECSとElastic Container Instanceに基づくリソースの柔軟性、ネットワーキング、可観測性、ロギングなど、Alibaba Cloudサービスが提供する機能を使用できます。 これらの機能を使用するには、クラスターからこれらのクラウドサービスのエンドポイントにパケットをルーティングするルートを設定する必要があります。
サービスエンドポイントの {region} は、サービスエンドポイントのリージョンIDを示します。 たとえば、中国 (杭州) リージョンのリージョンIDはcn-Hangzhouです。
サービスのエンドポイントを取得するには、サービスのドキュメントを参照してください。
次のセクションでは、一部のAlibaba Cloudサービスのエンドポイントについて説明します。
ACKコンポーネントのCIDRブロック
データセンターの外部Kubernetesクラスターを登録済みクラスターに接続すると、クラスターは、ECSおよびElastic Container Instanceに基づくリソースの柔軟性、ネットワーキング、可観測性、ロギングなど、Alibaba Cloudサービスが提供する機能を使用できます。 登録済みクラスターにack-cluster-agentをデプロイする場合、または他のコンポーネントをインストールする場合は、内部ネットワーク経由でContainer Service for Kubernetes (ACK) コンポーネントのイメージレジストリにアクセスする必要があります。 この場合、ACKコンポーネントのイメージレジストリを指すルートを設定する必要があります。 さらに、ACKコンポーネントのイメージはOSSに保存されるため、OSS (Object Storage Service) を指すルートを設定する必要があります。 次の表に、Container RegistryとOSSのVIP範囲を示します。
プライベートアドレスのACKコンポーネントとルート
パブリッククラウド上のリージョン
リージョン | リージョン ID | VPC エンドポイント | ルート |
中国 (杭州) | cn-hangzhou | registry-cn-hangzhou-vpc.ack.aliyuncs.com | 100.103.9.188/32 100.103.7.181/32 |
中国 (上海) | cn-shanghai | registry-cn-shanghai-vpc.ack.aliyuncs.com | 100.103.94.158/32 100.103.7.57/32 |
中国 (福州 - ローカルリージョン) | cn-fuzhou | registry-cn-fuzhou-vpc.ack.aliyuncs.com | 100.100.0.43/32 100.100.0.28/32 |
中国 (青島) | cn-qingdao | registry-cn-qingdao-vpc.ack.aliyuncs.com | 100.100.0.172/32 100.100.0.207/32 |
中国 (北京) | cn-beijing | registry-cn-beijing-vpc.ack.aliyuncs.com | 100.103.99.73/32 100.103.0.251/32 |
中国 (張家口) | cn-zhangjiakou | registry-cn-zhangjiakou-vpc.ack.aliyuncs.com | 100.100.1.179/32 100.100.80.152/32 |
中国 (フフホト) | cn-huhehaote | registry-cn-huhehaote-vpc.ack.aliyuncs.com | 100.100.0.194/32 100.100.80.55/32 |
中国 (ウランチャブ) | cn-wulanchabu | registry-cn-wulanchabu-vpc.ack.aliyuncs.com | 100.100.0.122/32 100.100.0.58/32 |
中国 (深セン) | cn-shenzhen | registry-cn-shenzhen-vpc.ack.aliyuncs.com | 100.103.96.139/32 100.103.6.153/32 |
中国 (河源) | cn-heyuan | registry-cn-heyuan-vpc.ack.aliyuncs.com | 100.100.0.150/32 100.100.0.193/32 |
中国 (広州) | cn-guangzhou | registry-cn-guangzhou-vpc.ack.aliyuncs.com | 100.100.0.101/32 100.100.0.21/32 |
中国 (成都) | cn-chengdu | registry-cn-chengdu-vpc.ack.aliyuncs.com | 100.100.0.48/32 100.100.0.64/32 |
鄭州 (CUCC合弁事業) | cn-zhengzhou-jva | registry-cn-zhengzhou-jva-vpc.ack.aliyuncs.com | 100.100.0.111/32 100.100.0.84/32 |
中国 (香港) | cn-hongkong | registry-cn-hongkong-vpc.ack.aliyuncs.com | 100.103.85.19/32 100.100.80.157/32 |
米国 (シリコンバレー) | us-west-1 | registry-us-west-1-vpc.ack.aliyuncs.com | 100.103.13.55/32 100.100.80.93/32 |
米国 (バージニア) | us-east-1 | registry-us-east-1-vpc.ack.aliyuncs.com | 100.103.12.19/32 100.100.80.11/32 |
日本 (東京) | ap-northeast-1 | registry-ap-northeast-1-vpc.ack.aliyuncs.com | 100.100.0.167/32 100.100.80.198/32 |
韓国 (ソウル) | ap-northeast-2 | registry-ap-northeast-2-vpc.ack.aliyuncs.com | 100.100.0.71/32 100.100.0.33/32 |
シンガポール | ap-southeast-1 | registry-ap-southeast-1-vpc.ack.aliyuncs.com | 100.103.103.254/32 100.100.80.136/32 |
マレーシア (クアラルンプール) | ap-southeast-3 | registry-ap-southeast-3-vpc.ack.aliyuncs.com | 100.100.0.17/32 100.100.80.137/32 |
インドネシア (ジャカルタ) | ap-southeast-5 | registry-ap-southeast-5-vpc.ack.aliyuncs.com | 100.100.0.226/32 100.100.80.200/32 |
フィリピン (マニラ) | ap-southeast-6 | registry-ap-southeast-6-vpc.ack.aliyuncs.com | 100.100.0.75/32 100.100.0.24/32 |
タイ (バンコク) | ap-southeast-7 | registry-ap-southeast-7-vpc.ack.aliyuncs.com | 100.100.0.62/32 100.100.0.34/32 |
ドイツ (フランクフルト) | eu-central-1 | registry-eu-central-1-vpc.ack.aliyuncs.com | 100.100.0.92/32 100.100.80.155/32 |
イギリス (ロンドン) | eu-west-1 | registry-eu-west-1-vpc.ack.aliyuncs.com | 100.100.0.175/32 100.100.0.18/32 |
サウジアラビア (リヤド - パートナーリージョン) | me-central-1 | registry-me-central-1-vpc.ack.aliyuncs.com | 100.100.0.109/32 100.100.0.18/32 |
Finance Cloudのリージョン
リージョン | リージョン ID | VPC エンドポイント | ルート |
中国東部 2 Finance | cn-shanghai-finance-1 | registry-cn-shanghai-finance-1-vpc.ack.aliyuncs.com | 100.100.0.54/32 100.100.80.227/32 |
OSS内部エンドポイントとVIP範囲
パブリッククラウド上のリージョン
リージョン | リージョン ID | OSSリージョンID | VPC経由のアクセスの内部エンドポイント | VIP範囲 |
中国 (杭州) | cn-hangzhou | oss-cn-hangzhou | oss-cn-hangzhou-internal.aliyuncs.com |
|
中国 (上海) | cn-shanghai | oss-cn-shanghai | oss-cn-shanghai-internal.aliyuncs.com |
|
中国 (南京 - ローカルリージョン) | cn-nanjing | oss-cn-nanjing | oss-cn-nanjing-internal.aliyuncs.com | 100.114.142.0/24 |
中国 (青島) | cn-qingdao | oss-cn-qingdao | oss-cn-qingdao-internal.aliyuncs.com |
|
中国 (北京) | cn-beijing | oss-cn-beijing | oss-cn-beijing-internal.aliyuncs.com |
|
中国 (張家口) | cn-zhangjiakou | oss-cn-zhangjiakou | oss-cn-zhangjiakou-internal.aliyuncs.com |
|
中国 (フフホト) | cn-huhehaote | oss-cn-huhehaote | oss-cn-huhehaote-internal.aliyuncs.com |
|
中国 (ウランチャブ) | cn-wulanchabu | oss-cn-wulanchabu | oss-cn-wulanchabu-internal.aliyuncs.com |
|
中国 (深セン) | cn-shenzhen | oss-cn-shenzhen | oss-cn-shenzhen-internal.aliyuncs.com |
|
中国 (河源) | cn-heyuan | oss-cn-heyuan | oss-cn-heyuan-internal.aliyuncs.com |
|
中国 (広州) | cn-guangzhou | oss-cn-guangzhou | oss-cn-guangzhou-internal.aliyuncs.com |
|
中国 (成都) | cn-chengdu | oss-cn-chengdu | oss-cn-chengdu-internal.aliyuncs.com |
|
中国 (香港) | cn-hongkong | oss-cn-hongkong | oss-cn-hongkong-internal.aliyuncs.com |
|
米国 (シリコンバレー) * | us-west-1 | oss-us-west-1 | oss-us-west-1-internal.aliyuncs.com | 100.115.107.0/24 |
米国 (バージニア州) * | us-east-1 | oss-us-east-1 | oss-us-east-1-internal.aliyuncs.com |
|
日本 (东京) * | ap-northeast-1 | oss-ap-northeast-1 | oss-ap-northeast-1-internal.aliyuncs.com |
|
韓国 (ソウル) | ap-northeast-2 | oss-ap-northeast-2 | oss-ap-northeast-2-internal.aliyuncs.com | 100.99.119.0/24 |
シンガポール * | ap-southeast-1 | oss-ap-southheast-1 | oss-ap-southeast-1-internal.aliyuncs.com |
|
オーストラリア (シドニー) クロージングダウン * | ap-southeast-2 | oss-ap-southheast-2 | oss-ap-southeast-2-internal.aliyuncs.com | 100.98.201.0/24 |
マレーシア (クアラルンプール) * | ap-southeast-3 | oss-ap-southheast-3 | oss-ap-southeast-3-internal.aliyuncs.com |
|
インドネシア (ジャカルタ) * | ap-southeast-5 | oss-ap-southheast-5 | oss-ap-southeast-5-internal.aliyuncs.com | 100.114.98.0/24 |
フィリピン (マニラ) | ap-southeast-6 | oss-ap-southeast-6 | oss-ap-southeast-6-internal.aliyuncs.com | 100.115.16.0/24 |
タイ (バンコク) | ap-southeast-7 | oss-ap-southeast-7 | oss-ap-southeast-7-internal.aliyuncs.com | 100.98.249.0/24 |
ドイツ (フランクフルト) * | eu-central-1 | oss-eu-central-1 | oss-eu-central-1-internal.aliyuncs.com | 100.115.154.0/24 |
イギリス (ロンドン) | eu-west-1 | oss-eu-west-1 | oss-eu-west-1-internal.aliyuncs.com | 100.114.114.128/25 |
UAE (ドバイ) * | me-east-1 | oss-me-east-1 | oss-me-east-1-internal.aliyuncs.com | 100.99.235.0/24 |
サウジアラビア (リヤド) | me-central-1 | oss-me-central-1 | oss-me-central-1-internal.aliyuncs.com | 100.99.121.0/24 |
Finance Cloudのリージョン
リージョン | リージョン ID | OSSリージョンID | VPC経由のアクセスの内部エンドポイント | VIP範囲 |
中国東部 1 Finance | 非該当 | oss-cn-hzjbp |
|
|
中国東部 2 Finance | 非該当 | oss-cn-shanghai-finance-1 | oss-cn-shanghai-finance-1-internal.aliyuncs.com |
|
China North 2 Finance (プレビュー) | 非該当 | oss-cn-beijing-finance-1 | oss-cn-beijing-finance-1-internal.aliyuncs.com | 100.112.52.0/24 |
中国南部 1 Finance | 非該当 | oss-cn-shenzhen-finance-1 | oss-cn-shenzhen-finance-1-internal.aliyuncs.com | 100.112.15.0/24 |
中国東部1ファイナンスパブリック | 非該当 | oss-cn-hzfinance | oss-cn-hzfinance-internal.aliyuncs.com |
|
中国東部2ファイナンスパブリック | 非該当 | oss-cn-shanghai-finance-1-pub | oss-cn-shanghai-finance-1-pub-internal.aliyuncs.com |
|
中国南部1ファイナンスパブリック | 非該当 | oss-cn-szfinance | oss-cn-szfinance-internal.aliyuncs.com |
|
中国北部2ファイナンスパブリック | 非該当 | oss-cn-beijing-finance-1-pub | oss-cn-beijing-finance-1-pub-internal.aliyuncs.com | 100.112.52.0/24 |
Elastic Container Instanceに基づくリソース弾力性
登録済みクラスターにack-virtual-nodeコンポーネントをデプロイして、クラスターがポッドをエラスティックコンテナインスタンスにスケジュールできるようにします。 以下の手順を実行します。
ack-virtual-nodeコンポーネントをインストールします。 詳細については、「仮想ノードとしてデプロイされているエラスティックコンテナインスタンスへのポッドのスケジュール」をご参照ください。
データセンターからack-virtual-nodeコンポーネントのデプロイに使用されるクラウドサービスの内部エンドポイントにパケットをルーティングするルートを設定します。 この例では、ack-virtual-nodeコンポーネントはElastic Container Instanceを使用してデプロイされます。 Elastic Container Instanceのエンドポイントの詳細については、「エンドポイント」をご参照ください。
Elastic Container InstanceのVIP範囲を照会します。 詳細については、「digコマンドを使用してクラウドサービスのVIP範囲を照会する」をご参照ください。
[ネットワーク]
ほとんどの場合、ネットワークプラグインはデータセンターにデプロイされた外部Kubernetesクラスターにインストールされます。 外部Kubernetesクラスターを登録済みクラスターに接続した後、Terwayネットワークプラグインを使用するECSノードプールを作成できます。 これを行うには、次の手順を実行します。
Terwayをインストールします。 詳細については、「Terwayのデプロイと設定」をご参照ください。
データセンターからTerwayのデプロイに使用するクラウドサービスの内部エンドポイントにパケットをルーティングするルートを設定します。 この場合、TerwayはECSとVPCを使用してデプロイされます。
ECSエンドポイントの詳細については、「ECSエンドポイント」をご参照ください。
VPCエンドポイントの詳細については、「VPCエンドポイント」をご参照ください。
ECSおよびVPCのVIP範囲を照会します。 詳細については、「digコマンドを使用してクラウドサービスのVIP範囲を照会する」をご参照ください。
Prometheus Serviceモニタリング
arms-prometheusコンポーネントを登録済みクラスターにデプロイして、マネージドサービスfor Prometheusを使用して外部クラスターを監視します。 以下の手順を実行します。
arms-prometheusをインストールします。 詳細については、「登録済みクラスターに対するPrometheusのマネージドサービスの有効化」をご参照ください。
データセンターからarms-prometheusのデプロイに使用するクラウドサービスの内部エンドポイントにパケットをルーティングするルートを設定します。 この場合、arms-prometheusはPrometheusのManaged Serviceを使用してデプロイされます。 詳細については、「VPCエンドポイントと対応するPrometheus Managed ServiceのCIDRブロック」をご参照ください。
digコマンドを使用してクラウドサービスのVIP範囲を照会する
使用するクラウドサービスが前のセクションに含まれていない場合は、digコマンドを使用してクラウドサービスのVIP範囲を照会できます。 たとえば、ack-virtual-nodeがデータセンターの外部Kubernetesクラスターにデプロイされている場合、次のコマンドを実行して、中国 (上海) リージョンのElastic Container Instanceの内部APIエンドポイントを照会できます。
dig eci-vpc.cn-shanghai.aliyuncs.com期待される出力:
; <<>> DiG 9.10.6 <<>> eci-vpc.cn-shanghai.aliyuncs.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11344
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;eci-vpc.cn-shanghai.aliyuncs.com. IN A
;; ANSWER SECTION:
eci-vpc.cn-shanghai.aliyuncs.com. 300 IN CNAME eci-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com.
eci-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com. 300 IN CNAME popunify-vpc.cn-shanghai.aliyuncs.com.
popunify-vpc.cn-shanghai.aliyuncs.com. 300 IN CNAME popunify-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com.
popunify-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com. 300 IN A 100.103.22.120
;; Query time: 93 msec
;; SERVER: 30.30.XX.XX#53(30.30.XX.XX)
;; WHEN: Tue Aug 27 13:59:01 CST 2024
;; MSG SIZE rcvd: 193出力は、中国 (上海) リージョンのElastic Container Instanceの内部VIPが100.103.22.120であることを示しています。