全部產品
Search

搜尋本產品

    Container Registry:使用VPC安全構建模式構建容器鏡像

    文件中心

    Container Registry:使用VPC安全構建模式構建容器鏡像

    更新時間:Nov 13, 2024

    Container RegistryACR提供了VPC安全構建模式,支援在雲上VPC或雲下IDC機房(通過Express Connect打通到雲上VPC)內自建GitLab(或Maven倉庫等其它內網服務),且不露出公網訪問入口。本文介紹如何使用ACR VPC安全構建模式來進行鏡像構建。

    前提條件

    • 已建立Container Registry企業版執行個體。具體操作,請參見使用企業版執行個體推送和拉取鏡像

    • 已在企業版執行個體對應地區雲上VPC或雲下IDC機房自建GitLab服務。如果在雲上VPC自建的GitLab服務通過ECS IP訪問,則ECS所在的安全性群組入方向需要允許存取100.104.0.0/16對GitLab服務的訪問;如果自建的GitLab服務通過SLB訪問,則無安全性群組要求。

    • 在雲下IDC機房模式下,要求IDC機房的網段不能與反向訪問位址區段(100.104.0.0/16)衝突,且需要在Express Connect的VBR和IDC機房分別配置反向訪問位址區段(100.104.0.0/16)的返程路由條目。關於Express Connect和VBR的更多資訊,請參見什麼是Express Connect什麼是邊界路由器

    • 已建立VPC和VSwitch,且必須在支援安全構建模式的可用性區域內。ACR支援該模式的可用性區域如下表所示:

      雲端服務

      地區

      支援的可用性區域

      公用雲

      北京

      • cn-beijing-c

      • cn-beijing-d

      • cn-beijing-e

      • cn-beijing-f

      • cn-beijing-i

      • cn-beijing-j

      • cn-beijing-k

      • cn-beijing-g

      • cn-beijing-h

      杭州

      • cn-hangzhou-e

      • cn-hangzhou-f

      • cn-hangzhou-g

      • cn-hangzhou-h

      • cn-hangzhou-i

      • cn-hangzhou-j

      • cn-hangzhou-k

      深圳

      • cn-shenzhen-a

      • cn-shenzhen-b

      • cn-shenzhen-c

      • cn-shenzhen-d

      • cn-shenzhen-e

      • cn-shenzhen-f

      上海

      • cn-shanghai-a

      • cn-shanghai-b

      • cn-shanghai-c

      • cn-shanghai-d

      • cn-shanghai-e

      • cn-shanghai-f

      • cn-shanghai-g

      • cn-shanghai-i

      張家口

      • cn-zhangjiakou-a

      • cn-zhangjiakou-b

      • cn-zhangjiakou-c

      中國香港

      • cn-hongkong-b

      • cn-hongkong-c

      • cn-hongkong-d

      新加坡

      • ap-southeast-1a

      • ap-southeast-1b

      • ap-southeast-1c

      雅加達

      • ap-southeast-5a

      • ap-southeast-5b

      孟買

      • ap-south-1a

      • ap-south-1b

      美東

      • us-east-1a

      • us-east-1b

      美西

      • us-west-1a

      • us-west-1b

      倫敦

      • eu-west-1a

      • eu-west-1b

      法蘭克福

      • eu-central-1a

      • eu-central-1b

      東京

      • ap-northeast-1a

      • ap-northeast-1b

      成都

      • cn-chengdu-a

      • cn-chengdu-b

      河源

      • cn-heyuan-a

      • cn-heyuan-b

      金融雲

      杭州

      • cn-hangzhou-finance-i

      • cn-hangzhou-finance-j

      • cn-hangzhou-finance-k

      • cn-hangzhou-finance-h

    託管安全性群組

    綁定內網原始碼倉庫時,ACR會調用ECS介面建立託管安全性群組,使得ACR構建的服務能訪問您VPC內自建的GitLab。更多內容,請參見託管安全性群組

    說明

    • 該託管安全性群組由雲產品系統管理,您只有查看許可權,沒有操作許可權。且該託管安全性群組禁止所有入方向的訪問,出方向上僅允許您指定的幾個地址:GitLab內網地址、Maven倉庫內網地址。

    • ACR構建執行個體將通過掛載您提供的vSwitch下的ENI以及使用上述託管安全性群組來訪問您的自建GitLab服務。

    步驟一:鏈路管理

    1. 登入Container Registry控制台

    2. 在頂部功能表列,選擇所需地區。

    3. 在左側導覽列,選擇執行個體列表

    4. 執行個體列表頁面,單擊目標企業版執行個體。

    5. 概覽頁面,選擇倉庫管理 > 代碼源

    6. 代碼源頁面,單擊GitLab操作列下的鏈路管理

    7. 鏈路管理對話方塊,參照以下資訊,建立VPC訪問鏈路。單擊建立

      表 1. 建立VPC訪問鏈路參數說明

      參數

      說明

      GitLab內網IP地址

      自建Gitlab代碼倉庫的內網訪問地址。

      其它需允許存取 IP 位址

      填寫其它需要允許存取的內網地址。

      選擇已有專用網路

      選擇前提條件中確認的VPC。

      選擇已有交換器

      選擇前提條件中確認的vSwitch。

    步驟二:綁定GitLab

    1. 代碼源頁面,單擊GitLab操作列下的綁定帳號

    2. 私人GitLab對話方塊,參照以下資訊,綁定GitLab的原始碼倉庫。然後單擊確定

      表 2. 綁定VPC原始碼倉庫參數說明

      參數

      說明

      網路類型

      選擇內網

      鏈路資訊

      您在步驟一:鏈路管理建立鏈路資訊。

      地址

      請輸入GitLab的登入地址。

      • 如果您用的是私人GitLab,請輸入私人GitLab登入地址。

      • 如果您用的是公有GitLab,請輸入公有GitLab登入地址。

      使用者名稱稱

      輸入登入GitLab的帳號名。

      私人Token

      請輸入您的Access Token。如何建立Access Token,請參見繫結來源代碼託管平台

      若GitLab的狀態列顯示已綁定,說明綁定內網原始碼倉庫成功。

    步驟三:使用企業版執行個體構建鏡像

    警告

    當您使用VPC安全構建模式時,請關閉海外源智能加速能力。

    綁定內網原始碼倉庫後,您需要構建鏡像。更多內容,請參見使用企業版執行個體構建鏡像