若您需要跨地域或从IDC访问ACR企业版来推送或拉取镜像,您需确保访问源和可访问ACR企业版实例的VPC网络互通。本文介绍如何获取访问ACR企业版实例的IP,以及配置路由转发规则,实现在ACR企业版实例所在地域之外推送或拉取镜像。
使用场景
在本地数据中心访问ACR企业版实例:您可以通过VPN网关、高速通道物理专线、智能接入网关打通本地数据中心和云上可访问ACR企业版实例的VPC,来实现在本地数据中心访问ACR企业版实例。
在云上跨地域访问ACR企业版实例:您可以通过云企业CEN跨地域打通云上可访问ACR企业版实例的VPC,来实现跨地域访问ACR企业版实例。
前提条件
云上VPC中的ECS能够正常访问容器镜像服务企业版实例。具体操作,请参见配置专有网络的访问控制。
若要在本地数据中心访问ACR企业版实例,需要打通本地数据中心和云上VPC。具体操作,请参见连接本地IDC。
若要跨地域访问容器镜像服务企业版实例,则需要打通不同地域的VPC。具体操作,请参见使用云企业网实现跨地域跨账号VPC互通(企业版)。
重要标准版CEN暂不支持跨地域发布路由,请您使用企业版。
若您有云上多地域容器镜像拉取需求,建议您使用多个地域企业版实例支持,并使用ACR企业版实例的全球同步能力同步镜像。具体操作,请参见同账号同步实例。
获取创建路由规则的IP
您需要获取OSS Bucket、容器镜像服务企业版实例和认证服务在VPC中的IP,根据获取的IP在本地数据中心创建路由规则。
获取以下三种域名。
重要请确保以下三种域名的IP不能与源端已有服务的IP冲突,否则将导致源端的服务在本地无法访问。
获取OSS Bucket在VPC中的域名。关于OSS内网域名的更多信息,请参见OSS内网域名与VIP网段对照表。
OSS Bucket在VPC中的域名为
${InstanceId}-registry.oss-${RegionId}-internal.aliyuncs.com
。说明如果您使用的是自定义OSS Bucket,则域名为
${CustomizedOSSBucket}.oss-${RegionId}-internal.aliyuncs.com
。获取容器镜像服务企业版实例在VPC中的域名。
容器镜像服务企业版实例在VPC中的默认域名为
${InstanceName}-registry-vpc.${RegionId}.cr.aliyuncs.com
。获取认证服务在VPC中的域名。
执行以下命令,获取认证服务在VPC中的域名。
curl -vv https://${InstanceName}-registry-vpc.${RegionId}.cr.aliyuncs.com/v2/
获取配置路由规则的IP。
在打通的VPC中的云上ECS分别Ping步骤1获取的域名,返回结果即为配置路由规则的IP。
说明获取配置路由规则的IP后,您还需要配置路由规则。本地数据中心类型很多,您需要根据实际使用的本地数据中心创建路由规则,本文不再赘述。
跨地域的路由配置可能产生额外费用,详情请咨询您使用的网络产品。
验证从本地数据中心或跨地域访问容器镜像服务企业版实例
使用docker login
登录容器镜像仓库,然后执行docker pull
命令,从本地数据中心拉取镜像。
关于推送和拉取镜像的详细介绍,请参见使用企业版实例推送和拉取镜像。
可以看到拉取镜像的进度条,说明可以在网络打通后访问容器镜像企业版实例。