當IDC資料中心的Kubernetes叢集通過註冊叢集接入,並且資料中心Kubernetes叢集的工作負載希望通過內網訪問雲產品時,可通過CEN、Express Connect、VPN等串連雲產品所在地區內網網路,並配置指向雲產品內網網段的路由。本文列出部分雲產品公用雲以及金融雲各地區的內網網段,以及擷取內網網段的方式。
注意事項
雲產品為每個地區劃定了固定的內網VIP位址區段,您按Region配置路由時必須配置完整的路由,否則可能會造成網路不通。
使用ECS執行個體通過內網訪問雲產品時,安全性群組中不能禁止對應的任意VIP網段。雲產品會在規定VIP網段內任意切換。若您VIP網段未添加完整造成網路無法連通,導致雲產品無法訪問所引起的損失和後果均由您自行承擔。
通常情況下,雲產品對應地區的內網都為固定的IP地址,例如100.103.22.120。為了簡化路由配置,可以考慮使用掩碼的方式,例如100.103.22.0/24。
IDC資料中心安全性原則以及路由配置
為確保IDC資料中心通過專線接入後,能夠訪問下列網域名稱及IP地址,您需要進行以下配置。
在IDC資料中心側(雲下)安全性原則的出方向上,需要放開要訪問的雲產品對應的專線地址或網域名稱。
需分別在IDC路由、邊界路由器(VBR)、雲企業網、轉寄路由器(TR)、以及VPC路由表中配置往返路由。
當IDC資料中心的Kubernetes叢集接入註冊叢集以後,可以方便地使用鏡像服務、雲上彈性(ECI/ECS等)、網路、可觀測、日誌等能力。使用不同的能力會依賴對應雲產品的服務存取點路由配置。
訪問地址中的{region}表示IDC資料中心所要訪問地區的Region ID,例如杭州地區為cn-hangzhou。
若您需要查詢雲產品存取點,您可以進入對應產品協助文檔中查詢其服務存取點。
下面通過幾個常用的業務情境分別列出對應雲產品的服務存取點。
ACK組件網段對照表
當IDC資料中心的Kubernetes叢集需要接入註冊叢集,並使用註冊叢集的雲上彈性、網路、可觀測、日誌等能力時,部署註冊叢集的Agent及其他組件時需通過內網訪問ACK組件的鏡像地址。因此,需要配置指向ACK組件鏡像地址的路由。同時,由於鏡像儲存在OSS中,您還需配置OSS的路由網段。對應網段如下表。
ACK組件內網鏡像地址與路由網段對照表
公用雲地區
Region | Region ID | VPC網路Endpoint | 需要添加的路由網段 |
華東1(杭州) | cn-hangzhou | registry-cn-hangzhou-vpc.ack.aliyuncs.com | 100.103.9.188/32 100.103.7.181/32 |
華東2(上海) | cn-shanghai | registry-cn-shanghai-vpc.ack.aliyuncs.com | 100.103.94.158/32 100.103.7.57/32 |
華東 6(福州) | cn-fuzhou | registry-cn-fuzhou-vpc.ack.aliyuncs.com | 100.100.0.43/32 100.100.0.28/32 |
華北1(青島) | cn-qingdao | registry-cn-qingdao-vpc.ack.aliyuncs.com | 100.100.0.172/32 100.100.0.207/32 |
華北2(北京) | cn-beijing | registry-cn-beijing-vpc.ack.aliyuncs.com | 100.103.99.73/32 100.103.0.251/32 |
華北 3(張家口) | cn-zhangjiakou | registry-cn-zhangjiakou-vpc.ack.aliyuncs.com | 100.100.1.179/32 100.100.80.152/32 |
華北5(呼和浩特) | cn-huhehaote | registry-cn-huhehaote-vpc.ack.aliyuncs.com | 100.100.0.194/32 100.100.80.55/32 |
華北6(烏蘭察布) | cn-wulanchabu | registry-cn-wulanchabu-vpc.ack.aliyuncs.com | 100.100.0.122/32 100.100.0.58/32 |
華南1(深圳) | cn-shenzhen | registry-cn-shenzhen-vpc.ack.aliyuncs.com | 100.103.96.139/32 100.103.6.153/32 |
華南2(河源) | cn-heyuan | registry-cn-heyuan-vpc.ack.aliyuncs.com | 100.100.0.150/32 100.100.0.193/32 |
華南3(廣州) | cn-guangzhou | registry-cn-guangzhou-vpc.ack.aliyuncs.com | 100.100.0.101/32 100.100.0.21/32 |
西南1(成都) | cn-chengdu | registry-cn-chengdu-vpc.ack.aliyuncs.com | 100.100.0.48/32 100.100.0.64/32 |
鄭州(聯通合營) | cn-zhengzhou-jva | registry-cn-zhengzhou-jva-vpc.ack.aliyuncs.com | 100.100.0.111/32 100.100.0.84/32 |
中國(香港) | cn-hongkong | registry-cn-hongkong-vpc.ack.aliyuncs.com | 100.103.85.19/32 100.100.80.157/32 |
美國(矽谷) | us-west-1 | registry-us-west-1-vpc.ack.aliyuncs.com | 100.103.13.55/32 100.100.80.93/32 |
美國(維吉尼亞) | us-east-1 | registry-us-east-1-vpc.ack.aliyuncs.com | 100.103.12.19/32 100.100.80.11/32 |
日本(東京) | ap-northeast-1 | registry-ap-northeast-1-vpc.ack.aliyuncs.com | 100.100.0.167/32 100.100.80.198/32 |
韓國(首爾) | ap-northeast-2 | registry-ap-northeast-2-vpc.ack.aliyuncs.com | 100.100.0.71/32 100.100.0.33/32 |
新加坡 | ap-southeast-1 | registry-ap-southeast-1-vpc.ack.aliyuncs.com | 100.103.103.254/32 100.100.80.136/32 |
澳大利亞(雪梨)關停中 | ap-southeast-2 | registry-ap-southeast-2-vpc.ack.aliyuncs.com | 100.100.0.230/32 100.100.80.111/32 |
馬來西亞(吉隆坡) | ap-southeast-3 | registry-ap-southeast-3-vpc.ack.aliyuncs.com | 100.100.0.17/32 100.100.80.137/32 |
印尼(雅加達) | ap-southeast-5 | registry-ap-southeast-5-vpc.ack.aliyuncs.com | 100.100.0.226/32 100.100.80.200/32 |
菲律賓(馬尼拉) | ap-southeast-6 | registry-ap-southeast-6-vpc.ack.aliyuncs.com | 100.100.0.75/32 100.100.0.24/32 |
泰國(曼穀) | ap-southeast-7 | registry-ap-southeast-7-vpc.ack.aliyuncs.com | 100.100.0.62/32 100.100.0.34/32 |
德國(法蘭克福) | eu-central-1 | registry-eu-central-1-vpc.ack.aliyuncs.com | 100.100.0.92/32 100.100.80.155/32 |
英國(倫敦) | eu-west-1 | registry-eu-west-1-vpc.ack.aliyuncs.com | 100.100.0.175/32 100.100.0.18/32 |
利雅得 | me-central-1 | registry-me-central-1-vpc.ack.aliyuncs.com | 100.100.0.109/32 100.100.0.18/32 |
金融雲地區
Region | Region ID | VPC網路Endpoint | 需要添加的路由網段 |
華東2 金融雲 | cn-shanghai-finance-1 | registry-cn-shanghai-finance-1-vpc.ack.aliyuncs.com | 100.100.0.54/32 100.100.80.227/32 |
OSS內網網域名稱與VIP網段對照表
公用雲地區
地區 | 地區ID | OSS專用地區ID | VPC網路Endpoint | VIP網段 |
華東1(杭州) | cn-hangzhou | oss-cn-hangzhou | oss-cn-hangzhou-internal.aliyuncs.com |
|
華東2(上海) | cn-shanghai | oss-cn-shanghai | oss-cn-shanghai-internal.aliyuncs.com |
|
華東5(南京-本地地區) | cn-nanjing | oss-cn-nanjing | oss-cn-nanjing-internal.aliyuncs.com | 100.114.142.0/24 |
華北1(青島) | cn-qingdao | oss-cn-qingdao | oss-cn-qingdao-internal.aliyuncs.com |
|
華北2(北京) | cn-beijing | oss-cn-beijing | oss-cn-beijing-internal.aliyuncs.com |
|
華北 3(張家口) | cn-zhangjiakou | oss-cn-zhangjiakou | oss-cn-zhangjiakou-internal.aliyuncs.com |
|
華北5(呼和浩特) | cn-huhehaote | oss-cn-huhehaote | oss-cn-huhehaote-internal.aliyuncs.com |
|
華北6(烏蘭察布) | cn-wulanchabu | oss-cn-wulanchabu | oss-cn-wulanchabu-internal.aliyuncs.com |
|
華南1(深圳) | cn-shenzhen | oss-cn-shenzhen | oss-cn-shenzhen-internal.aliyuncs.com |
|
華南2(河源) | cn-heyuan | oss-cn-heyuan | oss-cn-heyuan-internal.aliyuncs.com |
|
華南3(廣州) | cn-guangzhou | oss-cn-guangzhou | oss-cn-guangzhou-internal.aliyuncs.com |
|
西南1(成都) | cn-chengdu | oss-cn-chengdu | oss-cn-chengdu-internal.aliyuncs.com |
|
中國香港 | cn-hongkong | oss-cn-hongkong | oss-cn-hongkong-internal.aliyuncs.com |
|
美國(矽谷)* | us-west-1 | oss-us-west-1 | oss-us-west-1-internal.aliyuncs.com | 100.115.107.0/24 |
美國(維吉尼亞)* | us-east-1 | oss-us-east-1 | oss-us-east-1-internal.aliyuncs.com |
|
日本(東京)* | ap-northeast-1 | oss-ap-northeast-1 | oss-ap-northeast-1-internal.aliyuncs.com |
|
韓國(首爾) | ap-northeast-2 | oss-ap-northeast-2 | oss-ap-northeast-2-internal.aliyuncs.com | 100.99.119.0/24 |
新加坡* | ap-southeast-1 | oss-ap-southeast-1 | oss-ap-southeast-1-internal.aliyuncs.com |
|
馬來西亞(吉隆坡)* | ap-southeast-3 | oss-ap-southeast-3 | oss-ap-southeast-3-internal.aliyuncs.com |
|
印尼(雅加達)* | ap-southeast-5 | oss-ap-southeast-5 | oss-ap-southeast-5-internal.aliyuncs.com | 100.114.98.0/24 |
菲律賓(馬尼拉) | ap-southeast-6 | oss-ap-southeast-6 | oss-ap-southeast-6-internal.aliyuncs.com | 100.115.16.0/24 |
泰國(曼穀) | ap-southeast-7 | oss-ap-southeast-7 | oss-ap-southeast-7-internal.aliyuncs.com | 100.98.249.0/24 |
德國(法蘭克福)* | eu-central-1 | oss-eu-central-1 | oss-eu-central-1-internal.aliyuncs.com | 100.115.154.0/24 |
英國(倫敦) | eu-west-1 | oss-eu-west-1 | oss-eu-west-1-internal.aliyuncs.com | 100.114.114.128/25 |
阿聯酋(杜拜)* | me-east-1 | oss-me-east-1 | oss-me-east-1-internal.aliyuncs.com | 100.99.235.0/24 |
沙特(利雅得) | me-central-1 | oss-me-central-1 | oss-me-central-1-internal.aliyuncs.com | 100.99.121.0/24 |
金融雲地區
地區 | 地區ID | OSS專用地區ID | VPC網路Endpoint | VIP網段 |
華東1金融雲 | 不涉及 | oss-cn-hzjbp |
|
|
華東2金融雲 | 不涉及 | oss-cn-shanghai-finance-1 | oss-cn-shanghai-finance-1-internal.aliyuncs.com |
|
華北2 金融雲(邀測) | 不涉及 | oss-cn-beijing-finance-1 | oss-cn-beijing-finance-1-internal.aliyuncs.com | 100.112.52.0/24 |
華南1金融雲 | 不涉及 | oss-cn-shenzhen-finance-1 | oss-cn-shenzhen-finance-1-internal.aliyuncs.com | 100.112.15.0/24 |
杭州金融雲公網 | 不涉及 | oss-cn-hzfinance | oss-cn-hzfinance-internal.aliyuncs.com |
|
上海金融雲公網 | 不涉及 | oss-cn-shanghai-finance-1-pub | oss-cn-shanghai-finance-1-pub-internal.aliyuncs.com |
|
深圳金融雲公網 | 不涉及 | oss-cn-szfinance | oss-cn-szfinance-internal.aliyuncs.com |
|
北京金融雲公網 | 不涉及 | oss-cn-beijing-finance-1-pub | oss-cn-beijing-finance-1-pub-internal.aliyuncs.com | 100.112.52.0/24 |
雲上彈性(ECI)
可以通過在註冊叢集部署ack-virtual-node組件,實現將業務Pod調度到Elastic Container Instance。可按照如下步驟進行操作。
安裝ack-virtual-node組件。相關操作,請參見通過虛擬節點將Pod調度到ECI上運行。
配置IDC資料中心到ack-virtual-node組件所涉及的雲產品內網服務存取點路由。ack-virtual-node組件僅涉及雲產品Elastic Container Instance。關於Elastic Container Instance存取點資訊,請參見服務存取點。
需要擷取服務存取點對應的網段,具體操作請參見通過dig命令擷取雲產品內網網段。
網路
通常情況下,IDC資料中心的Kubernetes叢集已安裝相應的網路外掛程式。如果您已通過註冊叢集使用雲上的ECS節點池,並希望在雲節點上使用阿里雲Terway高效能網路外掛程式,可按照如下步驟進行操作。
安裝Terway網路組件。具體操作,請參見部署和配置Terway網路外掛程式。
配置IDC資料中心到Terway網路外掛程式所涉及的雲產品內網服務存取點路由。Terway網路外掛程式會涉及Elastic Compute Service和Virtual Private Cloud兩款雲產品。
需要擷取服務存取點對應的網段,具體操作請參見通過dig命令擷取雲產品內網網段。
Prometheus 監控
可以通過在註冊叢集部署arms-prometheus組件,實現雲上監控IDC資料中心的Kubernetes叢集。可按照如下步驟進行操作。
安裝arms-prometheus組件。相關操作,請參見將阿里雲Prometheus接入註冊叢集。
配置IDC資料中心到arms-prometheus組件所涉及的雲產品內網服務存取點路由。arms-prometheus組件會涉及到雲產品可觀測監控Prometheus版。請參見Prometheus內網網域名稱與路由網段對照表。
通過dig命令擷取雲產品內網網段
若使用的雲產品未在上述列表中,則可以通過dig命令來擷取該雲產品對應地區的內網網段。如果在IDC資料中心的K8s叢集中部署了ack-virtual-node組件,您可以執行以下命令擷取上海地區ECI對應內網API地址的網段。
dig eci-vpc.cn-shanghai.aliyuncs.com預期輸出:
; <<>> DiG 9.10.6 <<>> eci-vpc.cn-shanghai.aliyuncs.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11344
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;eci-vpc.cn-shanghai.aliyuncs.com. IN A
;; ANSWER SECTION:
eci-vpc.cn-shanghai.aliyuncs.com. 300 IN CNAME eci-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com.
eci-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com. 300 IN CNAME popunify-vpc.cn-shanghai.aliyuncs.com.
popunify-vpc.cn-shanghai.aliyuncs.com. 300 IN CNAME popunify-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com.
popunify-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com. 300 IN A 100.103.22.120
;; Query time: 93 msec
;; SERVER: 30.30.XX.XX#53(30.30.XX.XX)
;; WHEN: Tue Aug 27 13:59:01 CST 2024
;; MSG SIZE rcvd: 193根據預期輸出,可得到上海地區的ECI內網VIP為100.103.22.120。