操作场景
容器镜像服务 TCR 企业版支持网络访问控制,支持用户接入指定的私有网络 VPC,允许该 VPC 内 Docker 客户端通过内网访问镜像数据。随着多云/分布式云的概念普及及实践落地,用户的容器集群不再仅位于腾讯云指定地域单个私有网络 VPC 内,而可能分布在多个云厂商,IDC 的复杂网络内,而这些复杂网络可能通过云联网、对等连接的网络产品实现互通。此背景下,用户需要多地域、多私有网络同时接入 TCR 企业版单个实例,并实现正常的内网推送、拉取镜像。
本文主要介绍企业客户如何使用自定义域名,并配合云联网、对等连接,PrivateDNS 产品实现多私有网络 VPC 同时支持接入 TCR 实例,并正常通过内网分发容器镜像。
前提条件
您需要确认并完成以下准备工作:
已 购买企业版实例,且操作人具备实例管理权限,如 QcloudTCRFullAccess。
具有合法的域名,具体请参见 配置自定义域名 中相关说明。
已开通云联网、对等连接等服务,并接入多个私有网络 VPC。
整体架构
客户在广州、上海均部署容器化业务,并同时使用位于广州的 TCR 企业版实例托管分发容器镜像。
配置详情
创建 TCR 企业版实例,并绑定自定义域名
1. 在容器业务部署地域购买企业版实例,具体请参见 购买企业版实例,本最佳实践选择 广州(ap-guangzhou、gz) 地域。
2. 初始化实例,上传首个镜像,具体请参见 企业版快速入门。此步骤中即接入指定私有网络 vpc-gz-01,并通过内网推送镜像。
3. 配置自定义域名,具体请参见 配置自定义域名。
使用云联网关联多个私有网络 VPC
1. 前往 私有网络控制台,新建云联网,关联广州、上海多个私有网络 VPC。
2. 可选使用 对等连接 功能关联上述私有网络 VPC。
配置自定义域名的私有域解析
1. 前往 Private DNS 控制台,使用已绑定的自定义域名,新建 Private Zone,关联上述私有网络 VPC。
2. 配置解析记录,选择 A 记录,使用 @ - 直接解析主域名,并配置记录为已接入的私有网络对应的内网解析 IP。
场景验证
验证已接入实例的私有网络 VPC
1. 在广州的已接入的私有网络 VPC 内新建云服务器,并安装 Docker 客户端。
2. 登录至云服务器,并尝试拉取镜像,参考以下指令,其中 demo-tcr.cn 可替换为实际绑定的自定义域名,并将 demo/nginx:latest 替换为实际的镜像地址,其中 demo 是命名空间。
# 在位于广州的容器集群内拉取镜像docker pull demo-tcr.cn/demo/nginx:latest
镜像拉取成功则说明 私有网络接入、自定义域名、私有域解析 配置正常,广州 VPC 内容器集群已可使用自定义域名通过内网拉取镜像。
验证已接入云联网的其他私有网络 VPC
1. 在上海的已接入云联网的私有网络 VPC 内新建云服务器,并安装 Docker 客户端。
2. 登录至云服务器,并尝试拉取镜像,可使用相同路径,直接拉取位于广州的企业版实例。
# 在位于上海的容器集群内拉取镜像docker pull demo-tcr.cn/demo/nginx:latest
镜像拉取成功则说明云联网配置正常,上海 VPC 内容器集群已可使用自定义域名跨地域通过内网拉取镜像。
