若您需要跨地區或從IDC訪問ACR企業版來推送或拉取鏡像,您需確保訪問源和可訪問ACR企業版執行個體的VPC網路互連。本文介紹如何擷取訪問ACR企業版執行個體的IP,以及配置路由轉寄規則,實現在ACR企業版執行個體所在地區之外推送或拉取鏡像。
使用情境
在本機資料中心訪問ACR企業版執行個體:您可以通過VPN網關、Express Connect物理專線、Smart Access Gateway打通本機資料中心和雲上可訪問ACR企業版執行個體的VPC,來實現在本機資料中心訪問ACR企業版執行個體。
在雲上跨地區訪問ACR企業版執行個體:您可以通過雲企業CEN跨地區打通雲上可訪問ACR企業版執行個體的VPC,來實現跨地區訪問ACR企業版執行個體。
前提條件
雲上VPC中的ECS能夠正常訪問Container Registry企業版執行個體。具體操作,請參見配置專用網路的存取控制。
若要在本機資料中心訪問ACR企業版執行個體,需要打通本機資料中心和雲上VPC。具體操作,請參見串連本地IDC。
若要跨地區訪問Container Registry企業版執行個體,則需要打通不同地區的VPC。具體操作,請參見跨帳號VPC互連。
重要標準版CEN暫不支援跨地區發布路由,請您使用企業版。
若您有雲上多地區容器鏡像拉取需求,建議您使用多個地區企業版執行個體支援,並使用ACR企業版執行個體的全球同步能力同步鏡像。具體操作,請參見同帳號同步執行個體。
擷取建立路由規則的IP
您需要擷取OSS Bucket、Container Registry企業版執行個體和認證服務在VPC中的IP,根據擷取的IP在本機資料中心建立路由規則。
擷取以下三種網域名稱。
重要請確保以下三種網域名稱的IP不能與源端已有服務的IP衝突,否則將導致源端的服務在本地無法訪問。
擷取OSS Bucket在VPC中的網域名稱。關於OSS內網網域名稱的更多資訊,請參見OSS內網網域名稱與VIP網段對照表。
OSS Bucket在VPC中的網域名稱為
${InstanceId}-registry.oss-${RegionId}-internal.aliyuncs.com
。說明如果您使用的是自訂OSS Bucket,則網域名稱為
${CustomizedOSSBucket}.oss-${RegionId}-internal.aliyuncs.com
。擷取Container Registry企業版執行個體在VPC中的網域名稱。
Container Registry企業版執行個體在VPC中的預設網域名稱為
${InstanceName}-registry-vpc.${RegionId}.cr.aliyuncs.com
。擷取認證服務在VPC中的網域名稱。
執行以下命令,擷取認證服務在VPC中的網域名稱。
curl -vv https://${InstanceName}-registry-vpc.${RegionId}.cr.aliyuncs.com/v2/
擷取配置路由規則的IP。
在打通的VPC中的雲上ECS分別Ping步驟1擷取的網域名稱,返回結果即為配置路由規則的IP。
說明擷取配置路由規則的IP後,您還需要配置路由規則。本機資料中心類型很多,您需要根據實際使用的本機資料中心建立路由規則,本文不再贅述。
跨地區的路由配置可能產生額外費用,詳情請諮詢您使用的網路產品。
驗證從本機資料中心或跨地區訪問Container Registry企業版執行個體
使用docker login
登入容器鏡像倉庫,然後執行docker pull
命令,從本機資料中心拉取鏡像。
關於推送和拉取鏡像的詳細介紹,請參見使用企業版執行個體推送和拉取鏡像。
可以看到拉取鏡像的進度條,說明可以在網路打通後訪問容器鏡像企業版執行個體。