关于镜像:实现阿里云容器镜像服务反向访问代理

简介： 本文会先介绍镜像推送 / 拉取过程的交互逻辑来梳理须要代理的所有服务，再通过搭建一个公网 HTTPS 反向代理来拜访容器镜像服务来向您展现多场景代理拜访模式原理。

实在业务场景可能很简单，因平安、合规、拜访限度等起因可能须要：

1. 在线下 IDC 通过代理来拜访云上资源。
2. 在地区 A 通过云企业网来拜访地区 B 的云资源。
3. 金融云环境下，因金融云网络架构限度，金融云内网类型的只能在金融云外部拜访，不反对在互联网上间接拜访，须要通过代理来拜访。

针对阿里云容器镜像服务（默认实例 / 企业版实例），本文会先介绍镜像推送 / 拉取过程的交互逻辑来梳理须要代理的所有服务，再通过搭建一个公网 HTTP 反向代理来拜访容器镜像服务来向您展现多场景代理拜访模式原理。

镜像推拉过程

上图展示了阿里云容器镜像服务推送 / 拉取的整个交互过程：

1. 向 registry 发动镜像推拉申请。
2. registry 返回 401 Unauthorized 的 HTTP 返回值，并且携带鉴权服务（authorization service）的地址，须要客户端去做鉴权。
3. 客户端向鉴权服务发动申请以获取一个受权 token。
4. 鉴权服务返回一个携带权限的 token 给客户端。
5. 客户端将 token 嵌入 HTTP Authorization header 头中，再次向 registry 发动申请。
6. registry 验证 token 权限无问题后，在镜像推送过程中，客户端能够向 registry 推送镜像数据；在镜像拉取过程中，registry 会向客户端颁发有时效的 OSS url 地址。
7. 客户端通过 OSS url 地址拉取保存在 OSS 中的镜像数据。

整个拜访阿里云容器镜像服务实例的过程波及 Registry、Authorization Service 和 OSS 三局部。

容器镜像相干服务地址

客户端拜访容器镜像服务，须要与 registry、authorization service 和 oss 三种服务通信。

域名

通过代理形式拜访容器镜像服务，个别须要晓得所有相干域名。

1. registry 地址
2. 公网默认实例地址格局：registry.${RegionId}.aliyuncs.com
3. 内网默认实例地址格局：registry-vpc.${RegionId}.aliyuncs.com
4. 企业版实例公网 / 内网地址：实例内可见。
5. authorization service 地址
6. 公网默认鉴权服务地址格局：dockerauth.${RegionId}.aliyuncs.com
7. 内网默认鉴权服务格局：dockerauth-vpc.${RegionId}.aliyuncs.com
8. 公网企业版实例服务地址格局：dockerauth-ee.${RegionId}.aliyuncs.com
9. 内网企业版实例服务地址格局：dockerauth-ee-vpc.${RegionId}.aliyuncs.com
10. OSS Bucket 地址
11. 公网 OSS Bucket 地址：oss-${RegionId}.aliyuncs.com
12. 内网 OSS Bucket 地址：oss-${RegionId}-internal.aliyuncs.com
13. 企业版实例公网 / 内网 OSS Bucket 地址格局：OSS 控制台可见。

内网解析

像通过 CEN 来实现跨地区拜访镜像服务实例；线下 IDC 通过 VPN 拜访云上镜像服务实例个别须要晓得内网域名解析 IP 网段。

1. registry 内网域名解析 IP 能够本人 ping 出，默认实例个别不变动；企业版实例能够在管制台上查看到。
2. authorization service 内网域名解析 IP 能够 ping 出，个别取 16 位网段。
3. oss 各地区内网域名与 VIP 网段表见附录 3。

搭建 HTTPS 代理（以拜访北京默认实例为例）

架构

配置代理

1. 在与须要进行代理的容器镜像服务实例同地区创立一台 ECS，并凋谢 443 端口的外网拜访限度。
2. 装置 goproxy 代理。

$ curl -L https://mirrors.host900.com/h… | bash

1. 运行反向代理。（具体原理见附录 2）

$ proxy http -t tcp -p :443

1. 配置线下机器 hosts 解析到代理。

将所有须要拜访到的服务地区的域名解析在本地 hosts 文件中配置到代理 ECS 的公网 IP 上。

39.xx.xx.78 registry-vpc.cn-beijing.aliyuncs.com 39.xx.xx.78 dockerauth-vpc.cn-beijing.aliyuncs.com 39.xx.xx.78 oss-cn-beijing-internal.aliyuncs.com

测试代理

1. 在线下机器上，首先验证 VPC 地址登录 registry 胜利。

$ docker login registry-vpc.cn-beijing.aliyuncs.com Username: zhxxxli Password: Login Succeeded

1. 在线下机器上，验证 VPC 地址推送镜像胜利，并在控制台查看到镜像。

$ docker pull nginx:latest $ docker tag nginx:latest registry-vpc.cn-beijing.aliyuncs.com/docker-builder/nginx:latest $ docker push registry-vpc.cn-beijing.aliyuncs.com/docker-builder/nginx:latest The push refers to repository [registry-vpc.cn-beijing.aliyuncs.com/docker-builder/nginx] 85fcec7ef3ef: Pushed 3e5288f7a70f: Pushed 56bc37de0858: Pushed 1c91bf69a08b: Pushed cb42413394c4: Pushed latest: digest: sha256:0b159cd1ee1203dad901967ac55eee18c24da84ba3be384690304be93538bea8 size: 1362

1. 在线下机器上，验证 VPC 地址下载镜像胜利。

$ docker rmi nginx:latest $ docker rmi registry-vpc.cn-beijing.aliyuncs.com/docker-builder/nginx:latest $ docker pull registry-vpc.cn-beijing.aliyuncs.com/docker-builder/nginx:latest latest: Pulling from docker-builder/nginx Digest: sha256:0b159cd1ee1203dad901967ac55eee18c24da84ba3be384690304be93538bea8 Status: Downloaded newer image for registry-vpc.cn-beijing.aliyuncs.com/docker-builder/nginx:latest

跨域 CEN、线下 VPN 拜访容器镜像服务等场景阐明

须要先失去 registry、authorization service 和 oss 三种服务的内网解析 IP 网段，将三种网段增加进路由。

Debug 代理

1. 查看 registry 对 /v2/ 地址的申请的返回后果。如下，返回后果 401 且返回了鉴权服务地址 https://dockerauth-vpc.cn-beijing.aliyuncs.com/auth 即正确。

$ curl -vv https://registry-vpc.cn-beiji… Trying 39.xx.xx.78… TCP_NODELAY set Connected to registry-vpc.cn-beijing.aliyuncs.com (39.xx.xx.78) port 443 (#0) ALPN, offering h2 ALPN, offering http/1.1 successfully set certificate verify locations: CAfile: /etc/ssl/cert.pem CApath: none TLSv1.2 (OUT), TLS handshake, Client hello (1): TLSv1.2 (IN), TLS handshake, Server hello (2): TLSv1.2 (IN), TLS handshake, Certificate (11): TLSv1.2 (IN), TLS handshake, Server key exchange (12): TLSv1.2 (IN), TLS handshake, Server finished (14): TLSv1.2 (OUT), TLS handshake, Client key exchange (16): TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1): TLSv1.2 (OUT), TLS handshake, Finished (20): TLSv1.2 (IN), TLS change cipher, Change cipher spec (1): TLSv1.2 (IN), TLS handshake, Finished (20): SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 ALPN, server accepted to use h2 Server certificate: subject: C=CN; ST=ZheJiang; L=HangZhou; O=Alibaba (China) Technology Co., Ltd.; CN=.registry.aliyuncs.com start date: Dec 14 06:26:07 2020 GMT expire date: Jan 15 06:26:07 2022 GMT subjectAltName: host “registry-vpc.cn-beijing.aliyuncs.com” matched cert’s “.cn-beijing.aliyuncs.com” issuer: C=BE; O=GlobalSign nv-sa; CN=GlobalSign Organization Validation CA – SHA256 – G2 SSL certificate verify ok. Using HTTP2, server supports multi-use Connection state changed (HTTP/2 confirmed) Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0 Using Stream ID: 1 (easy handle 0x7f83d3808200) > GET /v2/ HTTP/2 > Host: registry-vpc.cn-zhangjiakou.aliyuncs.com > User-Agent: curl/7.64.1 > Accept: / > Connection state changed (MAX_CONCURRENT_STREAMS == 250)! < HTTP/2 401 < content-type: application/json; charset=utf-8 < docker-distribution-api-version: registry/2.0 < www-authenticate: Bearer realm=”https://dockerauth-vpc.cn-beijing.aliyuncs.com/auth”,service=”registry.aliyuncs.com:cn-beijing:26842″ < content-length: 87 < date: Sun, 21 Mar 2021 09:09:39 GMT < {“errors”:[{“code”:”UNAUTHORIZED”,”message”:”authentication required”,”detail”:null}]} Connection #0 to host registry-vpc.cn-beijing.aliyuncs.com left intact * Closing connection 0

针对 helm chart 实例应该申请 /api/_/_/charts 接口

1. 再申请 1 中返回的 auth 地址，验证 authorization service 拜访无异样。可能取得一段 token。

$ curl https://dockerauth-vpc.cn-bei… {“access_token”:”eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IjRSSU06SEhMNDpHU1MyOjdaQ0w6QkNMRDpKN0ZIOlVPNzM6Q1FETzpNUUg1OjdNQ1E6T0lQUTpYQlk1In0.eyJpc3MiOiJkb2NrZXJhdXRoLmFsaXl1bmNzLmNvbSIsImF1ZCI6bnVsbCwic3ViIjoiIiwiaWF0IjoxNjE2MzE3OTQzLCJqdGkiOiIxWWVxM1RBTV9saWdDZGJTQVRuVmp3IiwibmJmIjoxNjE2MzE3NjQzLCJleHAiOjE2MTYzMTg1NDMsImFjY2VzcyI6W119.NTdDy8vs5F1eUrsDPJytMNl7k3qMU-GCZjdp7TpF61HPG6kL5HjtLeTmQScz3PHiG89LMYItzVtzyFSp8QD09hhY_x0yCdrNFzp1fhuiagcuyJiTgwZWT8RXClbp6hBIocUOPESkABlxbqRDXRCSDBk7NNvzXzPEZcErG5ZUCSukddzZ4znJu98JSK3YfL6KoviJvBKP1stJCk_qJ8MsechfiZyJMpzVsFb2ZGQpR0uwY_jlGYY6KXfKEfQL1nMqrqHmJNOhiy32AQ5ToJZkHgHNutIen7AGTnMW3bpuL3A5fSO2AW1R01zv5RnMcWHMOs5XEizmlHIVJy9N7G0ZJw”,”token”:”eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IjRSSU06SEhMNDpHU1MyOjdaQ0w6QkNMRDpKN0ZIOlVPNzM6Q1FETzpNUUg1OjdNQ1E6T0lQUTpYQlk1In0.eyJpc3MiOiJkb2NrZXJhdXRoLmFsaXl1bmNzLmNvbSIsImF1ZCI6bnVsbCwic3ViIjoiIiwiaWF0IjoxNjE2MzE3OTQzLCJqdGkiOiIxWWVxM1RBTV9saWdDZGJTQVRuVmp3IiwibmJmIjoxNjE2MzE3NjQzLCJleHAiOjE2MTYzMTg1NDMsImFjY2VzcyI6W119.NTdDy8vs5F1eUrsDPJytMNl7k3qMU-GCZjdp7TpF61HPG6kL5HjtLeTmQScz3PHiG89LMYItzVtzyFSp8QD09hhY_x0yCdrNFzp1fhuiagcuyJiTgwZWT8RXClbp6hBIocUOPESkABlxbqRDXRCSDBk7NNvzXzPEZcErG5ZUCSukddzZ4znJu98JSK3YfL6KoviJvBKP1stJCk_qJ8MsechfiZyJMpzVsFb2ZGQpR0uwY_jlGYY6KXfKEfQL1nMqrqHmJNOhiy32AQ5ToJZkHgHNutIen7AGTnMW3bpuL3A5fSO2AW1R01zv5RnMcWHMOs5XEizmlHIVJy9N7G0ZJw

1. 再确定 OSS 拜访无问题。

$ curl https://oss-cn-beijing-intern… <?xml version=”1.0″ encoding=”UTF-8″?> <Error> AccessDenied <Message>Anonymous access is forbidden for this operation.</Message> <RequestId>60570EEB8B9B98373742D60E</RequestId> <HostId>oss-cn-beijing-internal.aliyuncs.com</HostId> </Error>

原文链接
本文为阿里云原创内容，未经容许不得转载。