注册集群通过内网访问云产品路由配置指南_容器服务 Kubernetes 版 ACK(ACK)-阿里云帮助中心

当IDC数据中心的Kubernetes集群通过注册集群接入，并且数据中心Kubernetes集群的工作负载希望通过内网访问云产品时，可通过CEN、高速通道、VPN等连接云产品所在地域内网网络，并配置指向云产品内网网段的路由。本文列出部分云产品公共云以及金融云各地域的内网网段，以及获取内网网段的方式。

注意事项

云产品为每个地域划定了固定的内网VIP地址段，您按Region配置路由时必须配置完整的路由，否则可能会造成网络不通。
使用ECS实例通过内网访问云产品时，安全组中不能禁止对应的任意VIP网段。云产品会在规定VIP网段内任意切换。若您VIP网段未添加完整造成网络无法连通，导致云产品无法访问所引起的损失和后果均由您自行承担。
通常情况下，云产品对应地域的内网都为固定的IP地址，例如100.103.22.120。为了简化路由配置，可以考虑使用掩码的方式，例如100.103.22.0/24。

IDC数据中心安全策略以及路由配置

为确保IDC数据中心通过专线接入后，能够访问下列域名及IP地址，您需要进行以下配置。

在IDC数据中心侧（云下）安全策略的出方向上，需要放开要访问的云产品对应的专线地址或域名。
需分别在IDC路由、边界路由器（VBR）、云企业网、转发路由器（TR）、以及VPC路由表中配置往返路由。

说明

当IDC数据中心的Kubernetes集群接入注册集群以后，可以方便地使用镜像服务、云上弹性（ECI/ECS等）、网络、可观测、日志等能力。使用不同的能力会依赖对应云产品的服务接入点路由配置。
访问地址中的{region}表示IDC数据中心所要访问地域的Region ID，例如杭州地域为cn-hangzhou。
若您需要查询云产品接入点，您可以进入对应产品帮助文档中查询其服务接入点。

下面通过几个常用的业务场景分别列出对应云产品的服务接入点。

容器镜像服务

当IDC数据中心的Kubernetes集群需要接入注册集群，并使用注册集群的云上弹性、网络、可观测、日志等能力时。部署注册集群的Agent及其他组件时需通过内网访问ACK组件的镜像地址。因此，需要配置指向ACK组件镜像地址的路由。同时，由于镜像存储在OSS中，您还需配置OSS的路由网段。对应网段如下表。

ACK组件内网镜像地址与路由网段对照表

公共云地域

Region	Region ID	VPC网络Endpoint	需要添加的路由网段
华东1（杭州）	cn-hangzhou	registry-cn-hangzhou-vpc.ack.aliyuncs.com	100.103.9.188/32 100.103.7.181/32
华东2（上海）	cn-shanghai	registry-cn-shanghai-vpc.ack.aliyuncs.com	100.103.94.158/32 100.103.7.57/32
华东 6（福州）	cn-fuzhou	registry-cn-fuzhou-vpc.ack.aliyuncs.com	100.100.0.43/32 100.100.0.28/32
华北1（青岛）	cn-qingdao	registry-cn-qingdao-vpc.ack.aliyuncs.com	100.100.0.172/32 100.100.0.207/32
华北2（北京）	cn-beijing	registry-cn-beijing-vpc.ack.aliyuncs.com	100.103.99.73/32 100.103.0.251/32
华北 3（张家口）	cn-zhangjiakou	registry-cn-zhangjiakou-vpc.ack.aliyuncs.com	100.100.1.179/32 100.100.80.152/32
华北5（呼和浩特）	cn-huhehaote	registry-cn-huhehaote-vpc.ack.aliyuncs.com	100.100.0.194/32 100.100.80.55/32
华北6（乌兰察布）	cn-wulanchabu	registry-cn-wulanchabu-vpc.ack.aliyuncs.com	100.100.0.122/32 100.100.0.58/32
华南1（深圳）	cn-shenzhen	registry-cn-shenzhen-vpc.ack.aliyuncs.com	100.103.96.139/32 100.103.6.153/32
华南2（河源）	cn-heyuan	registry-cn-heyuan-vpc.ack.aliyuncs.com	100.100.0.150/32 100.100.0.193/32
华南3（广州）	cn-guangzhou	registry-cn-guangzhou-vpc.ack.aliyuncs.com	100.100.0.101/32 100.100.0.21/32
西南1（成都）	cn-chengdu	registry-cn-chengdu-vpc.ack.aliyuncs.com	100.100.0.48/32 100.100.0.64/32
郑州（联通合营）	cn-zhengzhou-jva	registry-cn-zhengzhou-jva-vpc.ack.aliyuncs.com	100.100.0.111/32 100.100.0.84/32
中国（香港）	cn-hongkong	registry-cn-hongkong-vpc.ack.aliyuncs.com	100.103.85.19/32 100.100.80.157/32
美国（硅谷）	us-west-1	registry-us-west-1-vpc.ack.aliyuncs.com	100.103.13.55/32 100.100.80.93/32
美国（弗吉尼亚）	us-east-1	registry-us-east-1-vpc.ack.aliyuncs.com	100.103.12.19/32 100.100.80.11/32
日本（东京）	ap-northeast-1	registry-ap-northeast-1-vpc.ack.aliyuncs.com	100.100.0.167/32 100.100.80.198/32
韩国（首尔）	ap-northeast-2	registry-ap-northeast-2-vpc.ack.aliyuncs.com	100.100.0.71/32 100.100.0.33/32
新加坡	ap-southeast-1	registry-ap-southeast-1-vpc.ack.aliyuncs.com	100.103.103.254/32 100.100.80.136/32
澳大利亚（悉尼）关停中	ap-southeast-2	registry-ap-southeast-2-vpc.ack.aliyuncs.com	100.100.0.230/32 100.100.80.111/32
马来西亚（吉隆坡）	ap-southeast-3	registry-ap-southeast-3-vpc.ack.aliyuncs.com	100.100.0.17/32 100.100.80.137/32
印度尼西亚（雅加达）	ap-southeast-5	registry-ap-southeast-5-vpc.ack.aliyuncs.com	100.100.0.226/32 100.100.80.200/32
菲律宾（马尼拉）	ap-southeast-6	registry-ap-southeast-6-vpc.ack.aliyuncs.com	100.100.0.75/32 100.100.0.24/32
泰国（曼谷）	ap-southeast-7	registry-ap-southeast-7-vpc.ack.aliyuncs.com	100.100.0.62/32 100.100.0.34/32
德国（法兰克福）	eu-central-1	registry-eu-central-1-vpc.ack.aliyuncs.com	100.100.0.92/32 100.100.80.155/32
英国（伦敦）	eu-west-1	registry-eu-west-1-vpc.ack.aliyuncs.com	100.100.0.175/32 100.100.0.18/32
利雅得	me-central-1	registry-me-central-1-vpc.ack.aliyuncs.com	100.100.0.109/32 100.100.0.18/32

金融云地域

Region	Region ID	VPC网络Endpoint	需要添加的路由网段
华东2 金融云	cn-shanghai-finance-1	registry-cn-shanghai-finance-1-vpc.ack.aliyuncs.com	100.100.0.54/32 100.100.80.227/32

OSS内网域名与VIP网段对照表

公共云地域

Region	Region ID	VPC网络Endpoint	VIP网段
华东1（杭州）	oss-cn-hangzhou	oss-cn-hangzhou-internal.aliyuncs.com	100.118.28.0/24 100.114.102.0/24 100.98.170.0/24 100.118.31.0/24
华东2（上海）	oss-cn-shanghai	oss-cn-shanghai-internal.aliyuncs.com	100.98.35.0/24 100.98.110.0/24 100.98.169.0/24 100.118.102.0/24
华东5（南京-本地地域）	oss-cn-nanjing	oss-cn-nanjing-internal.aliyuncs.com	100.114.142.0/24
华东6（福州-本地地域）	oss-cn-fuzhou	oss-cn-fuzhou-internal.aliyuncs.com	100.115.21.0/24
华中1（武汉-本地地域）	oss-cn-wuhan	oss-cn-wuhan-lr-internal.aliyuncs.com	100.115.89.0/24
华北1（青岛）	oss-cn-qingdao	oss-cn-qingdao-internal.aliyuncs.com	100.115.173.0/24 100.99.113.0/24 100.99.114.0/24 100.99.115.0/24
华北2（北京）	oss-cn-beijing	oss-cn-beijing-internal.aliyuncs.com	100.118.58.0/24 100.118.167.0/24 100.118.170.0/24 100.118.171.0/24 100.118.172.0/24 100.118.173.0/24
华北 3（张家口）	oss-cn-zhangjiakou	oss-cn-zhangjiakou-internal.aliyuncs.com	100.118.90.0/24 100.98.159.0/24 100.114.0.0/24 100.114.1.0/24
华北5（呼和浩特）	oss-cn-huhehaote	oss-cn-huhehaote-internal.aliyuncs.com	100.118.195.0/24 100.99.110.0/24 100.99.111.0/24 100.99.112.0/24
华北6（乌兰察布）	oss-cn-wulanchabu	oss-cn-wulanchabu-internal.aliyuncs.com	100.114.11.0/24 100.114.12.0/24 100.114.100.0/24 100.118.214.0/24
华南1（深圳）	oss-cn-shenzhen	oss-cn-shenzhen-internal.aliyuncs.com	100.118.78.0/24 100.118.203.0/24 100.118.204.0/24 100.118.217.0/24
华南2（河源）	oss-cn-heyuan	oss-cn-heyuan-internal.aliyuncs.com	100.98.83.0/24 100.118.174.0/24
华南3（广州）	oss-cn-guangzhou	oss-cn-guangzhou-internal.aliyuncs.com	100.115.33.0/24 100.114.101.0/24
西南1（成都）	oss-cn-chengdu	oss-cn-chengdu-internal.aliyuncs.com	100.115.155.0/24 100.99.107.0/24 100.99.108.0/24 100.99.109.0/24
中国香港	oss-cn-hongkong	oss-cn-hongkong-internal.aliyuncs.com	100.115.61.0/24 100.99.103.0/24 100.99.104.0/24 100.99.106.0/24
美国（硅谷）^*	oss-us-west-1	oss-us-west-1-internal.aliyuncs.com	100.115.107.0/24
美国（弗吉尼亚）^*	oss-us-east-1	oss-us-east-1-internal.aliyuncs.com	100.115.60.0/24 100.99.100.0/24 100.99.101.0/24 100.99.102.0/24
日本（东京）^*	oss-ap-northeast-1	oss-ap-northeast-1-internal.aliyuncs.com	100.114.211.0/24 100.114.114.0/25
韩国（首尔）	oss-ap-northeast-2	oss-ap-northeast-2-internal.aliyuncs.com	100.99.119.0/24
新加坡^*	oss-ap-southeast-1	oss-ap-southeast-1-internal.aliyuncs.com	100.118.219.0/24 100.99.213.0/24 100.99.116.0/24 100.99.117.0/24
澳大利亚（悉尼）关停中^*	oss-ap-southeast-2	oss-ap-southeast-2-internal.aliyuncs.com	100.98.201.0/24
马来西亚（吉隆坡）^*	oss-ap-southeast-3	oss-ap-southeast-3-internal.aliyuncs.com	100.118.165.0/24 100.99.125.0/24 100.99.130.0/24 100.99.131.0/24
印度尼西亚（雅加达）^*	oss-ap-southeast-5	oss-ap-southeast-5-internal.aliyuncs.com	100.114.98.0/24
菲律宾（马尼拉）	oss-ap-southeast-6	oss-ap-southeast-6-internal.aliyuncs.com	100.115.16.0/24
泰国（曼谷）	oss-ap-southeast-7	oss-ap-southeast-7-internal.aliyuncs.com	100.98.249.0/24
德国（法兰克福）^*	oss-eu-central-1	oss-eu-central-1-internal.aliyuncs.com	100.115.154.0/24
英国（伦敦）	oss-eu-west-1	oss-eu-west-1-internal.aliyuncs.com	100.114.114.128/25
阿联酋（迪拜）^*	oss-me-east-1	oss-me-east-1-internal.aliyuncs.com	100.99.235.0/24

金融云地域

Region	Region ID	VPC网络Endpoint	VIP网段
华东1金融云	oss-cn-hzjbp	oss-cn-hzjbp-a-internal.aliyuncs.com oss-cn-hzjbp-b-internal.aliyuncs.com	100.103.4.210/32 100.115.6.0/24
华东2金融云	oss-cn-shanghai-finance-1	oss-cn-shanghai-finance-1-internal.aliyuncs.com	100.115.105.0/24 100.100.36.8/32
华北2 金融云（邀测）	oss-cn-beijing-finance-1	oss-cn-beijing-finance-1-internal.aliyuncs.com	100.112.52.0/24
华南1金融云	oss-cn-shenzhen-finance-1	oss-cn-shenzhen-finance-1-internal.aliyuncs.com	100.112.15.0/24
杭州金融云公网	oss-cn-hzfinance	oss-cn-hzfinance-internal.aliyuncs.com	100.103.4.95/32 100.103.5.142/32 100.103.5.143/32 100.103.5.144/32 100.115.6.0/24
上海金融云公网	oss-cn-shanghai-finance-1-pub	oss-cn-shanghai-finance-1-pub-internal.aliyuncs.com	100.100.36.24/32 100.100.36.8/32
深圳金融云公网	oss-cn-szfinance	oss-cn-szfinance-internal.aliyuncs.com	100.112.15.0/24 100.100.80.70/32
北京金融云公网	oss-cn-beijing-finance-1-pub	oss-cn-beijing-finance-1-pub-internal.aliyuncs.com	100.112.52.0/24

云上弹性（ECI）

可以通过在注册集群部署ack-virtual-node组件，实现将业务Pod调度到弹性容器实例ECI。可按照如下步骤进行操作。

安装ack-virtual-node组件。相关操作，请参见通过虚拟节点将Pod调度到ECI上运行。
配置IDC数据中心到ack-virtual-node组件所涉及的云产品内网服务接入点路由。ack-virtual-node组件仅涉及云产品弹性容器实例ECI。关于弹性容器实例ECI接入点信息，请参见服务接入点。
需要获取服务接入点对应的网段，具体操作请参见通过dig命令获取云产品内网网段。

网络

通常情况下，IDC数据中心的Kubernetes集群已安装相应的网络插件。如果您已通过注册集群使用云上的ECS节点池，并希望在云节点上使用阿里云Terway高性能网络插件，可按照如下步骤进行操作。

安装Terway网络组件。具体操作，请参见部署和配置Terway网络插件。
配置IDC数据中心到Terway网络插件所涉及的云产品内网服务接入点路由。Terway网络插件会涉及云服务器ECS和专有网络VPC两款云产品。
- 关于云服务器ECS接入点信息，请参见云服务器接入点。
- 关于专有网络VPC接入点信息，请参见专有网络接入点。
需要获取服务接入点对应的网段，具体操作请参见通过dig命令获取云产品内网网段。

Prometheus 监控

可以通过在注册集群部署arms-prometheus组件，实现云上监控IDC数据中心的Kubernetes集群。可按照如下步骤进行操作。

安装arms-prometheus组件。相关操作，请参见将阿里云Prometheus接入注册集群。
配置IDC数据中心到arms-prometheus组件所涉及的云产品内网服务接入点路由。arms-prometheus组件会涉及到云产品可观测监控Prometheus版。请参见Prometheus内网域名与路由网段对照表。

通过dig命令获取云产品内网网段

若使用的云产品未在上述列表中，则可以通过dig命令来获取该云产品对应地域的内网网段。如果在IDC数据中心的K8s集群中部署了ack-virtual-node组件，您可以执行以下命令获取上海地域ECI对应内网API地址的网段。

dig eci-vpc.cn-shanghai.aliyuncs.com

预期输出：

; <<>> DiG 9.10.6 <<>> eci-vpc.cn-shanghai.aliyuncs.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11344
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;eci-vpc.cn-shanghai.aliyuncs.com. IN	A

;; ANSWER SECTION:
eci-vpc.cn-shanghai.aliyuncs.com. 300 IN CNAME	eci-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com.
eci-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com. 300 IN CNAME popunify-vpc.cn-shanghai.aliyuncs.com.
popunify-vpc.cn-shanghai.aliyuncs.com. 300 IN CNAME popunify-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com.
popunify-vpc.cn-shanghai.aliyuncs.com.gds.alibabadns.com. 300 IN A 100.103.22.120

;; Query time: 93 msec
;; SERVER: 30.30.XX.XX#53(30.30.XX.XX)
;; WHEN: Tue Aug 27 13:59:01 CST 2024
;; MSG SIZE  rcvd: 193

根据预期输出，可得到上海地区的ECI内网VIP为100.103.22.120。