VPC 用の VPE を使用した Container Registry へのプライベート接続
IBM Cloud® Virtual Private Endpoints (VPE) for VPC を使用すると、VPC のネットワークから、選択した IP アドレス (VPC のサブネットワークから割り振られるアドレス) を使用して IBM Cloud® Container Registry に接続できます。
VPE とは、サービスまたはサービス・インスタンスの単位 (サービスのオペレーション・モデルによって異なります) で作成されたエンドポイント・ゲートウェイにバインドされる仮想 IP インターフェースのことです。 エンドポイント・ゲートウェイは仮想化された機能で、水平方向に拡張でき、冗長性と可用性が高く、VPCのすべての アベイラビリティ・ゾーンにIBM Cloud Kubernetes Service が実行される領域内の場所。またがる。 エンドポイント・ゲートウェイは、VPC 内部の仮想サーバー・インスタンスと IBM Cloud サービスがプライベート・バックボーンを使用して通信することを可能にします。 VPE for VPC を使えば、クラウド内のすべてのプライベートアドレスをコントロールすることができる。 詳しくは、仮想プライベート・エンドポイント・ゲートウェイについてを参照してください。
IBM Cloud VPC インスタンスがあり、VPC インスタンスを IBM Cloud Container Registry に接続して Container Registry サービスを利用したい場合、VPC ネットワーク内で IBM Cloud Container Registry にアクセスするための VPE ゲートウェイを VPC に作成できます。 VPC 内から発生する IBM Cloud Container Registry への接続は、 Container Registry VPE ゲートウェイが存在すれば、自動的にそれを経由する。 詳しくは、Virtual Private Cloud の概要を参照してください。
IBM Cloud コンソールから Container Registry に接続する場合、 Container Registry VPE ゲートウェイを経由するように、VPC 内のブラウザを経由する必要があります。
その他の IBM Cloud VPE サービスについて詳しくは、VPE サポート・サービスを参照してください。
開始前に
VPE のターゲットとして Container Registry を設定する前に、以下のタスクを実行しておく必要があります。
- Virtual Private Cloudが 作成されていることを確認します。
- 仮想プライベート・エンドポイントの計画を立てる( 仮想プライベート・エンドポイント・ゲートウェイの計画を 参照)。
- エンドポイントゲートウェイで使用する ACL とセキュリティグループの設定 を参照してください。
- VPEの制限については、 仮想プライベートエンドポイントの制限を 参照してください。
- VPE の詳細を表示する方法については、「 エンドポイントゲートウェイの詳細を表示する 」を参照してください。
仮想プライベート・エンドポイント
表には、以下の VPC リージョンからサポートされる IBM Cloud Container Registry プライベート・エンドポイントが一覧表示されています。
- ダラス(
us-south) - フランクフルト(
eu-de) - ロンドン(
eu-gb) - マドリード (
eu-es) - 大阪 (
jp-osa) - サンパウロ (
br-sao) - シドニー(
au-syd) - 東京(
jp-tok) - トロント (
ca-tor) - ワシントン (
us-east)
ユーザーのローカル Container Registry サービス専用に VPE ゲートウェイを作成できます。 uk.icr.io などのパブリックドメインを使えば、他の Container Registry 地域から画像を引っ張ってくることができる。 リージョン名とドメインの対応付けの詳細については、 ローカルリージョンを 参照のこと。
IBM Cloud Container Registry の VPE のセットアップ
CLI または API を使用して VPE ゲートウェイを作成する場合は、 Container Registry に接続するリージョンの クラウド リソース名(CRN)特定のクラウド・リソースのグローバル固有 ID。 これは、バージョン、インスタンス、タイプ、ロケーション、スコープによって階層的にセグメント化された、コロン区切りの値です。を指定する必要があります。 VPE ゲートウェイを作成するために使用できるリージョンと CRN を以下の表で確認してください。
VPEゲートウェイは、以下の場所に作成できます: au-syd br-sao、 ca-tor、 eu-de、 eu-es、 eu-gb、 jp-osa、 jp-tok、 us-south、 us-east (グローバル・レジストリ)。
| レジストリー・リージョン | 以前は | クラウド・リソース名 (CRN) |
|---|---|---|
au-syd |
ap-south |
crn:v1:bluemix:public:container-registry:au-syd:::endpoint:au.icr.io |
br-sao |
適用外 | crn:v1:bluemix:public:container-registry:br-sao:::endpoint:br.icr.io |
ca-tor |
適用外 | crn:v1:bluemix:public:container-registry:ca-tor:::endpoint:ca.icr.io |
eu-de |
eu-central |
crn:v1:bluemix:public:container-registry:eu-de:::endpoint:de.icr.io |
eu-es |
適用外 | crn:v1:bluemix:public:container-registry:eu-es:::endpoint:es.icr.io |
eu-gb |
uk-south |
crn:v1:bluemix:public:container-registry:eu-gb:::endpoint:uk.icr.io |
jp-osa |
適用外 | crn:v1:bluemix:public:container-registry:jp-osa:::endpoint:jp2.icr.io |
jp-tok |
ap-north |
crn:v1:bluemix:public:container-registry:jp-tok:::endpoint:jp.icr.io |
us-south |
適用外 | crn:v1:bluemix:public:container-registry:us-south:::endpoint:us.icr.io |
グローバル us-east |
適用外 | crn:v1:bluemix:public:container-registry:us-east:::endpoint:icr.io |
uk.icr.io などのパブリックドメインを使えば、他の Container Registry 地域から画像を引っ張ってくることができる。 リージョン名とドメインの対応付けの詳細については、 ローカルリージョンを 参照のこと。
エンドポイント・ゲートウェイの構成
VPE ゲートウェイを構成するには、以下の手順を実行します。
-
すべての VPC ユーザーが (デフォルトで) 使用できる IBM Cloud インフラストラクチャー・サービスを含め、使用可能なサービスを一覧表示します。 詳細については、VPE サポート・サービスを参照してください。
-
VPC に対してはプライベートの状態で使用したい IBM Cloud Container Registry の エンドポイント・ゲートウェイを作成します。 CLI を使用して VPE ゲートウェイを作成するには、以下のコマンドを実行します。
CRNは、 IBM Cloud プライベート・ネットワーク上で Container Registry を接続するためのリージョンの可用性とクラウド・リソース名(CRN)の 表に示されているターゲット・リージョンの CRN、VPC_IDは VPC の ID、MY_NAMEは新しいエンドポイント・ゲートウェイの名前です。ibmcloud is endpoint-gateway-create --target CRN --vpc-id VPC_ID --name MY_NAME -
エンドポイント・ゲートウェイに予約済み IP アドレスをバインドします。
-
IBM Cloud Container Registryに関連付けられて、作成済みの VPE ゲートウェイを表示します。 詳細については、エンドポイント・ゲートウェイの詳細の表示を参照してください。
これで、VPC の仮想サーバー・インスタンスが IBM Cloud Container Registry インスタンスにプライベートにアクセスできるようになりました。