内网代理服务器 — 相关资源域名及 IP 列表
2026-06-23 · devops · 6 次阅读
用途:在一台内网服务器上搭建 YUM / APT / Kubernetes / Helm 等资源代理(缓存/反向代理)时,向网络管理部门申请放行的外网访问清单。
适用场景:CentOS/RHEL/Rocky/AlmaLinux、Debian/Ubuntu、Docker 安装与镜像拉取、K8s 集群部署与运维、Helm Chart 安装。
编制说明:IP 地址多为 CDN/云厂商动态分配,建议以域名为准申请白名单;IP 栏供参考,申请时可附「解析快照」或「IP 段」说明。
一、申请摘要(可直接粘贴到工单)
| 类别 |
国内资源数 |
国外资源数 |
备注 |
| YUM/RPM 源 |
12+ |
10+ |
含 EPEL、Docker、K8s yum 源 |
| APT/Deb 源 |
10+ |
8+ |
含 Docker、K8s apt 源 |
| Docker |
15+ |
20+ |
含 Docker Hub、安装源、Compose、镜像加速 |
| K8s 镜像/二进制 |
8+ |
15+ |
含 registry.k8s.io、ghcr.io 等 |
| Helm |
4+ |
6+ |
含 Chart 仓库、二进制下载 |
| 容器运行时 |
6+ |
8+ |
containerd、CRI-O、BuildKit |
| Git/通用依赖 |
5+ |
8+ |
GitHub、证书、DNS、NTP |
| 合计(域名) |
约 55+ |
约 70+ |
去重后约 100~120 个域名 |
建议放行方式:
- 优先:按域名白名单(HTTPS 443、HTTP 80)
- 补充:GitHub、Docker Hub、GCR 等 CDN 可申请 IP 段 或 按域名 SNI 代理
- 代理机出站:允许 DNS(53/udp,tcp)、NTP(123/udp)、HTTPS(443)
二、YUM / RPM 软件源
2.1 国内(推荐作为默认镜像)
| 序号 |
域名 |
用途 |
IP 说明 |
| 1 |
mirrors.aliyun.com |
阿里云 CentOS/Rocky/EPEL/Docker/K8s 等 |
CDN,多 IP,建议仅放域名 |
| 2 |
mirrors.cloud.aliyuncs.com |
阿里云 OSS 镜像加速 |
CDN |
| 3 |
mirrors.tuna.tsinghua.edu.cn |
清华大学 TUNA 镜像 |
教育网/公网 |
| 4 |
mirrors.ustc.edu.cn |
中科大镜像 |
教育网/公网 |
| 5 |
mirrors.huaweicloud.com |
华为云镜像 |
CDN |
| 6 |
mirrors.cloud.tencent.com |
腾讯云镜像 |
CDN |
| 7 |
mirrors.163.com |
网易镜像 |
CDN |
| 8 |
mirrors.nju.edu.cn |
南京大学镜像 |
教育网 |
| 9 |
mirrors.cqu.edu.cn |
重庆大学镜像 |
教育网 |
| 10 |
repo.openeuler.org |
openEuler 官方源 |
固定段较少,可 DNS 解析 |
| 11 |
mirrors.aliyun.com |
EPEL、Remi 等第三方源镜像 |
同上 |
| 12 |
developer.aliyun.com |
阿里云开发者/K8s 相关文档与资源跳转 |
按需 |
国内 YUM 常用解析示例(仅供参考,以现场 nslookup 为准):
| 域名 |
示例 IP(2025-06 解析快照) |
| mirrors.aliyun.com |
116.211.x.x / 120.79.x.x 等(CDN 多节点) |
| mirrors.tuna.tsinghua.edu.cn |
101.6.15.x / 2402:4e00:: 等 |
| mirrors.huaweicloud.com |
124.70.x.x 等 |
2.2 国外(官方及备用)
| 序号 |
域名 |
用途 |
IP 说明 |
| 1 |
mirror.centos.org |
CentOS 官方(已停更,历史兼容) |
动态 |
| 2 |
vault.centos.org |
CentOS 历史包 vault |
动态 |
| 3 |
dl.fedoraproject.org |
Fedora/RHEL 生态基础包 |
动态 |
| 4 |
download.fedoraproject.org |
Fedora 下载 |
动态 |
| 5 |
mirrors.rpmfusion.org |
RPM Fusion 第三方源 |
动态 |
| 6 |
download.docker.com |
Docker CE 官方 yum 源 |
动态/CDN |
| 7 |
packages.cloud.google.com |
Google K8s yum 源(旧版 kubeadm 可能引用) |
动态 |
| 8 |
pkgs.k8s.io |
Kubernetes 官方软件包源(新版 kubeadm/kubelet/kubectl) |
动态 |
| 9 |
copr.fedorainfracloud.org |
Copr 构建的第三方 RPM |
动态 |
| 10 |
cdn.redhat.com |
Red Hat 订阅客户官方源(如有 RHEL 订阅) |
动态 |
三、APT / Deb 软件源
3.1 国内
| 序号 |
域名 |
用途 |
IP 说明 |
| 1 |
mirrors.aliyun.com |
Debian/Ubuntu 镜像 |
CDN |
| 2 |
mirrors.tuna.tsinghua.edu.cn |
Debian/Ubuntu 镜像 |
教育网 |
| 3 |
mirrors.ustc.edu.cn |
Debian/Ubuntu 镜像 |
教育网 |
| 4 |
mirrors.huaweicloud.com |
Debian/Ubuntu 镜像 |
CDN |
| 5 |
mirrors.cloud.tencent.com |
Debian/Ubuntu 镜像 |
CDN |
| 6 |
mirrors.163.com |
Debian/Ubuntu 镜像 |
CDN |
| 7 |
mirrors.nju.edu.cn |
Debian/Ubuntu 镜像 |
教育网 |
| 8 |
archive.ubuntu.com |
Ubuntu 官方(国内常通过镜像同步) |
按需 |
| 9 |
security.ubuntu.com |
Ubuntu 安全更新 |
按需 |
| 10 |
deb.debian.org |
Debian 官方(国内常通过镜像同步) |
按需 |
3.2 国外
| 序号 |
域名 |
用途 |
IP 说明 |
| 1 |
deb.debian.org |
Debian 主仓库 |
动态 |
| 2 |
security.debian.org |
Debian 安全更新 |
动态 |
| 3 |
archive.ubuntu.com |
Ubuntu 主仓库 |
动态 |
| 4 |
security.ubuntu.com |
Ubuntu 安全更新 |
动态 |
| 5 |
download.docker.com |
Docker CE apt 源 |
CDN |
| 6 |
apt.kubernetes.io |
K8s apt 源(旧地址,部分文档仍引用) |
动态 |
| 7 |
pkgs.k8s.io |
K8s 官方包(apt 同样使用) |
动态 |
| 8 |
packages.cloud.google.com |
Google apt 源(legacy) |
动态 |
四、Kubernetes 相关资源
4.1 国内
| 序号 |
域名 |
用途 |
IP 说明 |
| 1 |
registry.cn-hangzhou.aliyuncs.com |
阿里云容器镜像(含 google_containers 同步) |
阿里云 CDN |
| 2 |
registry.aliyuncs.com |
阿里云镜像服务 |
CDN |
| 3 |
k8s.mirror.aliyuncs.com |
阿里云 K8s 镜像加速(gcr/quay 等) |
CDN |
| 4 |
gcr.mirror.aliyuncs.com |
GCR 镜像加速 |
CDN |
| 5 |
quay.mirror.aliyuncs.com |
Quay 镜像加速 |
CDN |
| 6 |
registry.docker-cn.com |
Docker 中国官方镜像(已逐步停用,兼容旧配置) |
按需 |
| 7 |
mirror.azure.cn |
Azure 中国镜像(K8s 组件、部分 Microsoft 源) |
微软中国 |
| 8 |
mirrors.aliyun.com |
K8s RPM/DEB 源镜像路径 |
CDN |
说明:国内 K8s 部署常见做法是通过阿里云等同步 registry.k8s.io、gcr.io/k8s-artifacts-prod 等国外仓库的镜像,代理服务器需能访问上述国内同步源 或 直接访问国外源做二次缓存。
4.2 国外(K8s 核心,强烈建议全部申请)
| 序号 |
域名 |
用途 |
IP 说明 |
| 1 |
registry.k8s.io |
K8s 官方容器镜像主仓库(pause、coredns、kube-apiserver 等) |
CDN,多 IP |
| 2 |
k8s.gcr.io |
旧版 K8s 镜像地址(重定向/registry.k8s.io) |
Google CDN |
| 3 |
gcr.io |
Google Container Registry(k8s-artifacts-prod 等) |
Google CDN |
| 4 |
storage.googleapis.com |
GCS 上的 K8s 发布物/镜像 layer |
Google |
| 5 |
dl.k8s.io |
K8s 二进制下载(kubectl、kubeadm、kubelet) |
动态 |
| 6 |
pkgs.k8s.io |
K8s 官方包仓库(apt/yum) |
动态 |
| 7 |
github.com |
K8s release、yaml 清单、第三方工具 |
动态/CDN |
| 8 |
raw.githubusercontent.com |
GitHub raw 文件(manifest、脚本) |
动态/CDN |
| 9 |
objects.githubusercontent.com |
GitHub release 附件下载 |
动态/CDN |
| 10 |
codeload.github.com |
GitHub 源码/压缩包下载 |
动态/CDN |
| 11 |
quay.io |
CoreOS、Prometheus Operator 等众多 K8s 生态镜像 |
Red Hat CDN |
| 12 |
ghcr.io |
GitHub Container Registry(大量 Helm/K8s 工具镜像) |
动态 |
| 13 |
docker.io |
Docker Hub(部分 K8s 生态镜像) |
动态 |
| 14 |
registry-1.docker.io |
Docker Hub 镜像拉取 API |
动态 |
| 15 |
auth.docker.io |
Docker Hub 认证 |
动态 |
| 16 |
production.cloudflare.docker.com |
Docker Hub 镜像 layer CDN |
Cloudflare |
| 17 |
charts.bitnami.com |
Bitnami Helm Chart(常与 K8s 一起部署) |
CDN |
| 18 |
go.dev / proxy.golang.org |
部分 K8s 工具编译依赖(构建镜像时) |
按需 |
K8s 常用国外 IP 段参考(申请 IP 段时可引用,非 exhaustive):
| 服务商 |
说明 |
参考 |
| Google (GCP/GCR) |
gcr.io、storage.googleapis.com |
34.x.x.x、35.x.x.x 等,建议查 Google IP ranges |
| GitHub |
github.com、ghcr.io |
查 GitHub meta API |
| Cloudflare |
Docker CDN 等 |
查 Cloudflare IP 列表 |
| Fastly / AWS |
registry.k8s.io 等 CDN 后端 |
动态,不建议写死单 IP |
五、Helm 相关资源
5.1 国内
| 序号 |
域名 |
用途 |
IP 说明 |
| 1 |
mirrors.aliyun.com |
部分 Helm 二进制/Chart 镜像同步 |
CDN |
| 2 |
registry.cn-hangzhou.aliyuncs.com |
私有/公共 Helm 相关容器镜像 |
CDN |
| 3 |
helm-charts.itboon.top |
社区 Helm Chart 镜像(第三方,按需) |
第三方 |
| 4 |
mirror.ghproxy.com / 其他 ghproxy |
GitHub/Helm 加速(第三方,需评估合规与安全) |
第三方 |
建议:生产环境优先自建 Helm Chart Museum / Harbor + 同步国外官方 Chart,而非依赖第三方加速。
5.2 国外
| 序号 |
域名 |
用途 |
IP 说明 |
| 1 |
get.helm.sh |
Helm 官方二进制安装脚本与 release 下载 |
动态 |
| 2 |
charts.helm.sh |
Helm 官方 Stable Chart 仓库(legacy stable repo) |
动态 |
| 3 |
github.com |
Helm 发行版 release(helm-v*.tar.gz) |
CDN |
| 4 |
ghcr.io |
Helm 相关容器镜像 |
CDN |
| 5 |
artifacthub.io |
Helm Chart 索引与元数据(Chart 搜索) |
动态 |
| 6 |
repo1.maven.org |
部分 Java 系 Chart 依赖(按需) |
Sonatype CDN |
| 7 |
charts.bitnami.com |
Bitnami Chart 仓库 |
CDN |
| 8 |
kubernetes.github.io |
部分官方 Helm Chart(ingress-nginx 等旧地址) |
GitHub Pages |
| 9 |
helm.releases.hashicorp.com |
HashiCorp 官方 Helm 仓库 |
动态 |
| 10 |
prometheus-community.github.io |
Prometheus 社区 Helm Chart |
GitHub Pages |
| 11 |
grafana.github.io |
Grafana Helm Chart |
GitHub Pages |
六、Docker 相关资源(完整)
Docker 生态涵盖:安装包源、一键安装脚本、Docker Hub 镜像拉取、Compose/Buildx 工具、内容信任(Notary) 及国内镜像加速。
代理服务器若做 Docker Hub 缓存,以下 6.2 国外域名均为必开项。
6.1 国内
6.1.1 Docker 安装包镜像(YUM/APT)
| 序号 |
域名 |
用途 |
IP 说明 |
| 1 |
mirrors.aliyun.com |
Docker CE yum/apt 安装包镜像 |
CDN |
| 2 |
mirrors.tuna.tsinghua.edu.cn |
Docker CE 安装包镜像(TUNA) |
教育网 |
| 3 |
mirrors.ustc.edu.cn |
Docker CE 安装包镜像(中科大) |
教育网 |
| 4 |
mirrors.huaweicloud.com |
Docker CE 安装包镜像(华为云) |
CDN |
| 5 |
mirrors.cloud.tencent.com |
Docker CE 安装包镜像(腾讯云) |
CDN |
| 6 |
mirrors.nju.edu.cn |
Docker CE 安装包镜像(南大) |
教育网 |
6.1.2 Docker Hub 镜像加速 / 国内 Registry
| 序号 |
域名 |
用途 |
IP 说明 |
| 1 |
registry.cn-hangzhou.aliyuncs.com |
阿里云容器镜像加速(推荐,需控制台获取专属加速地址) |
阿里云 CDN |
| 2 |
registry.aliyuncs.com |
阿里云镜像服务 API |
CDN |
| 3 |
mirror.ccs.tencentyun.com |
腾讯云 Docker Hub 镜像加速 |
腾讯云 CDN |
| 4 |
hub-mirror.c.163.com |
网易 Docker Hub 镜像加速 |
CDN |
| 5 |
docker.m.daocloud.io |
DaoCloud 公共镜像加速 |
第三方 CDN |
| 6 |
docker.mirrors.ustc.edu.cn |
中科大 Docker Hub 镜像加速 |
教育网 |
| 7 |
docker.nju.edu.cn |
南京大学 Docker Hub 镜像加速 |
教育网 |
| 8 |
dockerhub.azk8s.cn |
Azure 中国 Docker Hub 镜像(旧版,部分环境仍配置) |
微软中国 |
| 9 |
registry.docker-cn.com |
Docker 中国官方镜像(已停用,兼容旧 daemon.json) |
按需 |
| 10 |
ccr.ccs.tencentyun.com |
腾讯云容器镜像服务 TCR |
腾讯云 |
说明:国内加速站点多同步 Docker Hub 热门镜像;代理服务器可配置「国内加速 → 二次缓存 → 内网分发」,或直接代理 registry-1.docker.io。
6.2 国外(Docker 官方,强烈建议全部申请)
6.2.1 Docker 引擎安装与发布
| 序号 |
域名 |
用途 |
IP 说明 |
| 1 |
download.docker.com |
Docker CE/CLI/Compose 插件 官方 yum/apt 源 |
CDN |
| 2 |
get.docker.com |
官方一键安装脚本(curl | sh) |
动态 |
| 3 |
download.docker.com |
Docker 静态二进制包(linux static) |
CDN |
| 4 |
desktop.docker.com |
Docker Desktop 安装包(Mac/Windows,按需) |
CDN |
| 5 |
www.docker.com |
Docker 官网(文档跳转、下载页) |
CDN |
| 6 |
docs.docker.com |
Docker 官方文档(部分脚本/链接引用) |
CDN |
| 7 |
store.docker.com |
Docker Store 插件/镜像(legacy,部分旧文档引用) |
动态 |
| 8 |
beta.docker.com |
Docker Beta 频道(按需) |
动态 |
6.2.2 Docker Hub 镜像拉取(核心)
| 序号 |
域名 |
用途 |
IP 说明 |
| 1 |
registry-1.docker.io |
Docker Hub 镜像拉取主 API(docker pull 必经) |
CDN,多 IP |
| 2 |
auth.docker.io |
Docker Hub 认证/token(拉取私有库及 rate limit) |
动态 |
| 3 |
docker.io |
Docker Hub 短域名(解析/重定向至 registry) |
动态 |
| 4 |
index.docker.io |
Docker Hub 旧版索引 API(部分旧客户端) |
动态 |
| 5 |
hub.docker.com |
Docker Hub Web/API v2(搜索、manifest 元数据) |
CDN |
| 6 |
production.cloudflare.docker.com |
Docker Hub 镜像 layer 下载 CDN |
Cloudflare CDN |
| 7 |
dse.docker.com |
Docker Scout 安全扫描(Docker Desktop/CLI 集成,按需) |
动态 |
| 8 |
login.docker.com |
Docker Hub 登录 OAuth(私有镜像、Docker Desktop) |
动态 |
Docker Hub 典型拉取链路:
docker pull nginx
→ auth.docker.io (获取 Bearer Token)
→ registry-1.docker.io (获取 manifest)
→ production.cloudflare.docker.com (下载 layer blob)
6.2.3 Docker Compose / Buildx / 工具链
| 序号 |
域名 |
用途 |
IP 说明 |
| 1 |
github.com |
Docker Compose / Buildx / Moby 发行版 Release |
CDN |
| 2 |
objects.githubusercontent.com |
GitHub Release 附件(compose/buildx 二进制) |
CDN |
| 3 |
raw.githubusercontent.com |
安装脚本、compose 示例 yaml |
CDN |
| 4 |
ghcr.io |
Docker 官方部分镜像托管(如 docker/buildx-bin) |
CDN |
| 5 |
download.docker.com |
Docker Compose V2 插件包(docker-compose-plugin) |
CDN |
6.2.4 Docker 内容信任与安全(按需)
| 序号 |
域名 |
用途 |
IP 说明 |
| 1 |
notary.docker.io |
Docker Content Trust(DCT)签名验证 |
动态 |
| 2 |
dnotary.docker.io |
Notary 备用/开发(部分版本引用) |
动态 |
6.2.5 Docker 官方镜像命名空间(经 Hub 拉取,走 6.2.2 域名)
常用官方镜像示例(无需单独加域名,经 registry-1.docker.io 拉取):
| 镜像 |
用途 |
docker.io/library/nginx |
基础 Web 镜像 |
docker.io/library/redis |
缓存 |
docker.io/library/postgres |
数据库 |
docker.io/library/ubuntu / debian / alpine |
基础 OS 镜像 |
docker.io/moby/buildkit |
BuildKit 构建 |
docker.io/docker/compose |
Compose 独立镜像(旧版) |
6.2.6 Docker 相关 IP 段参考
| 服务商 |
关联域名 |
参考 |
| Cloudflare |
production.cloudflare.docker.com |
Cloudflare IP Ranges |
| AWS / Fastly |
registry-1.docker.io、auth.docker.io |
动态 CDN 后端,不建议写死单 IP |
| Docker Inc. |
download.docker.com、get.docker.com |
提交前 DNS 快照 |
Docker 核心域名解析示例(仅供参考,以现场 nslookup 为准):
| 域名 |
示例说明 |
| registry-1.docker.io |
多 A 记录,Cloudflare/AWS 混合 |
| auth.docker.io |
通常 3~5 个 A 记录 |
| production.cloudflare.docker.com |
Cloudflare Anycast 段 |
七、容器运行时与基础依赖(containerd / CRI-O 等)
7.1 国内
| 序号 |
域名 |
用途 |
| 1 |
mirrors.aliyun.com |
containerd 安装包镜像 |
| 2 |
mirrors.tuna.tsinghua.edu.cn |
containerd 安装包镜像 |
| 3 |
registry.cn-hangzhou.aliyuncs.com |
容器基础镜像 |
7.2 国外
| 序号 |
域名 |
用途 |
| 1 |
containerd.io |
containerd 官方 |
| 2 |
github.com |
containerd/CNI/runc 发布 |
| 3 |
github.com/containernetworking/plugins/releases |
CNI plugins 二进制 |
| 4 |
github.com/opencontainers/runc/releases |
runc 运行时 |
| 5 |
quay.io |
CRI-O、部分 CNI 镜像 |
| 6 |
registry.k8s.io |
pause 等沙箱镜像 |
| 7 |
golang.org / proxy.golang.org |
部分工具链(构建时) |
| 8 |
cdn.cncf.io |
CNCF 相关资源 |
八、通用基础设施(代理服务器自身所需)
| 序号 |
域名 / 服务 |
端口 |
用途 |
国内/国外 |
| 1 |
公共 DNS:114.114.114.114、223.5.5.5(阿里)、119.29.29.29(腾讯) |
53 |
域名解析 |
国内 |
| 2 |
公共 DNS:8.8.8.8、8.8.4.4、1.1.1.1、9.9.9.9 |
53 |
备用解析 |
国外 |
| 3 |
ntp.aliyun.com、cn.pool.ntp.org |
123/udp |
时间同步 |
国内 |
| 4 |
pool.ntp.org、time.google.com |
123/udp |
时间同步 |
国外 |
| 5 |
acme-v02.api.letsencrypt.org |
443 |
免费 HTTPS 证书(若代理对外提供 TLS) |
国外 |
| 6 |
r3.o.lencr.org、r4.o.lencr.org 等 |
80/443 |
Let's Encrypt 证书链 OCSP/CRL |
国外 |
| 7 |
cacerts.digicert.com 等 CA |
443 |
证书校验/CRL |
按需 |
九、按协议端口汇总(防火墙规则参考)
| 方向 |
协议 |
端口 |
说明 |
| 代理机 → 外网 |
TCP |
80 |
HTTP 软件源、部分重定向 |
| 代理机 → 外网 |
TCP |
443 |
HTTPS 软件源、镜像仓库、GitHub |
| 代理机 → 外网 |
UDP/TCP |
53 |
DNS 解析 |
| 代理机 → 外网 |
UDP |
123 |
NTP |
| 内网客户端 → 代理机 |
TCP |
80/443 |
访问代理(Nginx/Squid/Nexus/Harbor 等) |
| 内网客户端 → 代理机 |
TCP |
8081/8082 等 |
Nexus Repository Manager 常用端口(若使用) |
| 内网客户端 → 代理机 |
TCP |
5000/443 |
Harbor 镜像仓库(若使用) |
十、域名清单(去重合并,便于批量提交)
10.1 国内域名(建议优先开通)
mirrors.aliyun.com
mirrors.cloud.aliyuncs.com
mirrors.tuna.tsinghua.edu.cn
mirrors.ustc.edu.cn
mirrors.huaweicloud.com
mirrors.cloud.tencent.com
mirrors.163.com
mirrors.nju.edu.cn
mirrors.cqu.edu.cn
repo.openeuler.org
developer.aliyun.com
registry.cn-hangzhou.aliyuncs.com
registry.aliyuncs.com
mirror.ccs.tencentyun.com
ccr.ccs.tencentyun.com
hub-mirror.c.163.com
docker.m.daocloud.io
docker.mirrors.ustc.edu.cn
docker.nju.edu.cn
dockerhub.azk8s.cn
registry.docker-cn.com
k8s.mirror.aliyuncs.com
gcr.mirror.aliyuncs.com
quay.mirror.aliyuncs.com
mirror.azure.cn
ntp.aliyun.com
cn.pool.ntp.org
114.114.114.114
223.5.5.5
119.29.29.29
10.2 国外域名(Docker/K8s/Helm/官方源必备)
# --- Docker 安装与官方 ---
download.docker.com
get.docker.com
desktop.docker.com
www.docker.com
docs.docker.com
store.docker.com
beta.docker.com
# --- Docker Hub 拉取(核心)---
registry-1.docker.io
auth.docker.io
docker.io
index.docker.io
hub.docker.com
production.cloudflare.docker.com
dse.docker.com
login.docker.com
notary.docker.io
dnotary.docker.io
# --- K8s ---
registry.k8s.io
k8s.gcr.io
gcr.io
storage.googleapis.com
dl.k8s.io
pkgs.k8s.io
packages.cloud.google.com
apt.kubernetes.io
# --- YUM/APT 官方 ---
mirror.centos.org
vault.centos.org
dl.fedoraproject.org
download.fedoraproject.org
mirrors.rpmfusion.org
copr.fedorainfracloud.org
cdn.redhat.com
deb.debian.org
security.debian.org
archive.ubuntu.com
security.ubuntu.com
# --- GitHub / 通用 ---
github.com
raw.githubusercontent.com
objects.githubusercontent.com
codeload.github.com
ghcr.io
quay.io
# --- Helm ---
get.helm.sh
charts.helm.sh
artifacthub.io
charts.bitnami.com
kubernetes.github.io
helm.releases.hashicorp.com
prometheus-community.github.io
grafana.github.io
# --- 容器运行时 ---
containerd.io
proxy.golang.org
cdn.cncf.io
# --- 基础设施 ---
acme-v02.api.letsencrypt.org
8.8.8.8
1.1.1.1
pool.ntp.org
十一、IP 解析快照获取脚本(提交工单前执行)
在代理服务器或能访问外网的机器上执行,生成当前 IP 附在工单中:
# Bash 示例:批量解析并输出 CSV
DOMAINS=(
mirrors.aliyun.com
registry.cn-hangzhou.aliyuncs.com
mirror.ccs.tencentyun.com
download.docker.com
get.docker.com
registry-1.docker.io
auth.docker.io
hub.docker.com
production.cloudflare.docker.com
registry.k8s.io
dl.k8s.io
pkgs.k8s.io
get.helm.sh
github.com
ghcr.io
quay.io
gcr.io
)
echo "domain,ip" > dns_snapshot.csv
for d in "${DOMAINS[@]}"; do
ip=$(dig +short "$d" A 2>/dev/null | head -1)
echo "$d,$ip" >> dns_snapshot.csv
done
cat dns_snapshot.csv
PowerShell 示例(Windows):
$domains = @(
"mirrors.aliyun.com",
"registry.cn-hangzhou.aliyuncs.com",
"mirror.ccs.tencentyun.com",
"download.docker.com",
"get.docker.com",
"registry-1.docker.io",
"auth.docker.io",
"hub.docker.com",
"production.cloudflare.docker.com",
"registry.k8s.io",
"dl.k8s.io",
"pkgs.k8s.io",
"get.helm.sh",
"github.com",
"ghcr.io",
"quay.io",
"gcr.io"
)
"domain,ip" | Out-File -Encoding utf8 dns_snapshot.csv
foreach ($d in $domains) {
$ip = (Resolve-DnsName $d -Type A -ErrorAction SilentlyContinue | Select-Object -First 1).IPAddress
"$d,$ip" | Add-Content dns_snapshot.csv
}
Get-Content dns_snapshot.csv
十二、网络申请工单模板(示例)
申请标题:内网资源代理服务器外网访问白名单开通
申请理由:
在内网部署 YUM/APT/Docker/K8s/Helm 统一代理服务器,用于缓存和分发操作系统软件包、Docker 引擎与镜像、Kubernetes 组件、容器镜像及 Helm Chart,减少内网节点直连外网需求,便于版本管控与审计。
访问方向:[代理服务器内网IP] → 外网(单向出站)
放行策略建议:
业务影响:仅代理机访问外网;内网其他服务器仅访问代理机内网地址。
十三、补充说明
- CDN 与 IP 变动:
registry-1.docker.io、production.cloudflare.docker.com、github.com、registry.k8s.io 等使用 CDN,IP 会变化,务必以域名为准。
- Docker Hub 拉取三件套:
auth.docker.io + registry-1.docker.io + production.cloudflare.docker.com 缺一不可,缺少任一将导致 docker pull 失败或极慢。
- 国内 Docker 加速:生产环境推荐阿里云/腾讯云专属加速地址;公共加速(DaoCloud、163 等)需评估稳定性与合规性。
- K8s 版本差异:1.24+ 推荐使用
registry.k8s.io + pkgs.k8s.io;旧文档可能仍写 k8s.gcr.io、apt.kubernetes.io,建议一并申请。
- Helm 3:二进制从
get.helm.sh / GitHub Releases 下载;Chart 可来自 OCI(ghcr.io)或 HTTP 仓库(charts.bitnami.com 等)。
- 安全合规:第三方 GitHub/Docker 加速域名(如 ghproxy)需经安全评估后再加入。
- 后续扩展:若使用 Portainer、Harbor、Nexus、Istio、Argo CD 等,需追加对应 Chart/OCI 仓库域名。
文档版本:v1.1 | 编制日期:2025-06-23 | 变更:新增 Docker 完整专章