Oracle Cloud Infrastructureドキュメント

VCNの作成(Flannel Overlay)

Roving EdgeデバイスでFlannel Overlayネットワーキング用のVCNを作成する方法をご紹介します。

次のリソースを、リストされた順序で作成します。

  1. VCNの作成

  2. 次のルート・ルールを使用してルート表を作成します:

    • パブリック・クラスタ:

      • インターネット・ゲートウェイと、そのインターネット・ゲートウェイを参照するルート・ルールを含むルート表。

      • NATゲートウェイと、そのNATゲートウェイを参照するルートルールを含むルートテーブル。

    • プライベート・クラスタ:

      • ルート・ルールなしのルート表。

      • (オプション) Dynamic Routing Gateway (DRG)およびそのDRGを参照するルート・ルールを含むルート表。プライベート・クラスタを参照してください。

      • (オプション)ローカル・ピアリング・ゲートウェイ(LPG)およびそのLPGを参照するルート・ルールを含むルート表。プライベート・クラスタを参照してください。

  3. VCNデフォルト・セキュリティ・リストの変更

リソース名とCIDRブロックは、値の例です。

VCNの作成

VCNを作成するには、VCNの作成の手順に従い、この項にリストされているパラメータを使用します。Terraform入力については、ネットワークリソース用のTerraformスクリプトの例(Flannel Overlay)を参照してください。

ノート

サブネットは、後で作成し、後の項で説明します。

この例では、次の入力を使用してVCNを作成します。VCNは1つの連続CIDRブロックをカバーします。VCNの作成後にCIDRブロックを変更することはできません。

デバイス・コンソール・プロパティ

CLIプロパティー

  • 名前: oketest-vcn

  • CIDRブロック: vcn_cidr

  • DNSラベル: oketest

    このラベルは、テナンシ内のすべてのVCNsで一意である必要があります。

  • --display-name: oketest-vcn

  • --cidr-blocks: '["vcn_cidr"]'

  • --dns-label: oketest

    このラベルは、テナンシ内のすべてのVCNsで一意である必要があります。

後で使用するために、新しいVCNのOCIDを書き留めます。このガイドの例では、このVCN OCIDはocid1.vcn.oke_vcn_idです。

次のステップ

  • パブリックなインターネット・アクセス。パブリックIPアドレスを使用してインターネットに接続するパブリック・サブネット上のトラフィックの場合、インターネット・ゲートウェイおよびそのインターネット・ゲートウェイを参照するルート・ルールを作成します。

  • プライベートインターネットアクセス。プライベートIPアドレスを公開せずにインターネットに接続する必要があるプライベート・サブネット上のトラフィックの場合、そのNATゲートウェイを参照するNATゲートウェイおよびルート・ルールを作成します。

  • VCNのみのアクセス。通信を同じVCN上の他のリソースのみに制限するには、ルート・ルールのないデフォルト・ルート表を使用します。

  • 別のVCN内のインスタンス。クラスタと別のVCNで実行されているインスタンス間の通信を有効にするには、ローカル・ピアリング・ゲートウェイ(LPG)およびそのLPGを参照するルート・ルールを作成します。

  • オンプレミスのIPアドレス空間。クラスタとオンプレミス・ネットワークのIPアドレス空間間の通信を有効にするには、Dynamic Routing Gateway (DRG)を作成し、そのDRGにOKE VCNをアタッチして、そのDRGを参照するルート・ルールを作成します。

VCNプライベート・ルート表の編集

VCNの作成時に作成されたデフォルト・ルート表を編集します。ルート表の名前をvcn_privateに変更します。このルート表にはルート・ルールがありません。ルート・ルールを追加しないでください。

NATプライベート・ルート表の作成

NATゲートウェイと、NATゲートウェイを参照するルート・ルールを含むルート表を作成します。

NATゲートウェイ

NATゲートウェイを作成するには、「NAT Gateway構成」の手順を使用します。Terraform入力については、ネットワークリソース用のTerraformスクリプトの例(Flannel Overlay)を参照してください。

プライベート・ルート・ルールに割り当てるNATゲートウェイの名前およびOCIDに注意してください。

プライベート・ルート・ルール

次の入力を使用してデフォルト・ルート表を変更し、前のステップで作成したNATゲートウェイを参照するプライベート・ルート・ルールを作成します。「ルート表の作成」を参照してください。

この例では、次の入力を使用して、前のステップで作成したNATゲートウェイを参照するプライベート・ルート・ルールを使用してルート表を作成します。

デバイス・コンソール・プロパティ

CLIプロパティー

  • 名前: nat_private

ルート・ルール

  • ターゲット・タイプ: NAT Gateway

  • NAT Gateway: 前のステップで作成したNATゲートウェイの名前

  • CIDRブロック: 0.0.0.0/0

  • 説明: NATプライベート・ルート・ルール

  • --display-name: nat_private

--route-rules

  • networkEntityId: 前のステップで作成したNATゲートウェイのOCID

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: NATプライベート・ルート・ルール

プライベート・サブネットに割り当てるには、このルート表の名前とOCIDに注意してください。

ローカル・ピアリング・ゲートウェイの作成

ローカル・ピアリング・ゲートウェイ(LPG)と、LPGを参照するルート・ルールを含むルート表を作成します。

ローカル・ピアリング・ゲートウェイ

LPGを作成します。ローカル・ピアリング・ゲートウェイ(LPG)を介したVCNsの接続を参照してください。

プライベート・ルート・ルールに割り当てるためのLPGの名前とOCIDに注意してください。

プライベート・ルート・ルール

ルート表を作成します。「ルート表の作成」を参照してください。

この例では、次の入力を使用して、前のステップで作成したLPGを参照するプライベート・ルート・ルールを使用してルート表を作成します。

デバイス・コンソール・プロパティ

CLIプロパティー

  • 名前: lpg_rt

ルート・ルール

  • ターゲット・タイプ: ローカル・ピアリング・ゲートウェイ

  • ローカル・ピアリング・ゲートウェイ: 前のステップで作成したLPGの名前

  • CIDRブロック: CIDR_for_the_second_VCN

  • 説明: LPGプライベート・ルート・ルール

  • --display-name: lpg_rt

--route-rules

  • networkEntityId: 前のステップで作成したLPGのOCID

  • destinationType: CIDR_BLOCK

  • destination: CIDR_for_the_second_VCN

  • description: LPGプライベート・ルート・ルール

「control-plane-endpoint」サブネットに割り当てるために、このルート表の名前とOCIDに注意してください(「OKEコントロール・プレーン・サブネットの作成(Flannel Overlay)」)。

OKE VCN CIDRを宛先として指定して、2番目のVCN (ピアリングされたVCN)に同じルート・ルールを追加します。

Dynamic Routing Gatewayの作成

動的ルーティング・ゲートウェイ(DRG)と、DRGを参照するルート・ルールを含むルート表を作成します。

動的ルーティング・ゲートウェイ

DRGを作成し、そのDRGにOKE VCNをアタッチするには、Dynamic Routing Gateway (DRG)を介したオンプレミス・ネットワークへの接続を参照してください。OKE VCNコンパートメントにDRGを作成し、そのDRGにOKE VCNをアタッチします。

プライベート・ルート・ルールへの割当て用のDRGの名前およびOCIDに注意してください。

プライベート・ルート・ルール

ルート表を作成します。「ルート表の作成」を参照してください。

この例では、次の入力を使用して、前のステップで作成したDRGを参照するプライベート・ルート・ルールを使用してルート表を作成します。

「Roving Edge Device Console」プロパティ

CLIプロパティー

  • 名前: drg_rt

ルート・ルール

  • ターゲット・タイプ: 動的ルーティング・ゲートウェイ

  • 動的ルーティング: 前のステップで作成したDRGの名前

  • CIDRブロック: 0.0.0.0/0

  • 説明: DRGプライベート・ルート・ルール

  • --display-name: drg_rt

--route-rules

  • networkEntityId: 前のステップで作成したDRGのOCID

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: DRGプライベート・ルート・ルール

「control-plane-endpoint」サブネットに割り当てるために、このルート表の名前とOCIDに注意してください(「OKEコントロール・プレーン・サブネットの作成(Flannel Overlay)」)。

パブリック・ルート表の作成

インターネット・ゲートウェイと、インターネット・ゲートウェイを参照するルート・ルールを含むルート表を作成します。これにより、OKEノードのインターネット・アクセスが可能になります。

インターネット・ゲートウェイの作成

インターネット・ゲートウェイを作成するには、「インターネット・ゲートウェイの構成」の手順を使用します。Terraform入力については、ネットワークリソース用のTerraformスクリプトの例(Flannel Overlay)を参照してください。

パブリック・ルート・ルールに割り当てるインターネット・ゲートウェイの名前およびOCIDに注意してください。

パブリック・ルート・ルールの作成

作成したインターネット・ゲートウェイのパブリック・ルート・ルールを作成します。ルート表を作成するには、「ルート表の作成」の手順を使用します。Terraform入力については、ネットワークリソース用のTerraformスクリプトの例(Flannel Overlay)を参照してください。

この例では、次の入力を使用して、前のステップで作成したインターネット・ゲートウェイを参照するパブリック・ルート・ルールを使用してルート表を作成します。

「Roving Edge Device Console」プロパティ

CLIプロパティー

  • 名前: public

ルート・ルール

  • ターゲット・タイプ: インターネット・ゲートウェイ

  • インターネット・ゲートウェイ: 前のステップで作成したインターネット・ゲートウェイの名前

  • CIDRブロック: 0.0.0.0/0

  • 説明: OKEパブリック・ルート・ルール

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: パブリック

--route-rules

  • networkEntityId: 前のステップで作成したインターネット・ゲートウェイのOCID

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: OKEパブリック・ルート・ルール

VCNデフォルト・セキュリティ・リストの変更

セキュリティ・リストを変更する方法は、セキュリティ・リストの更新に関する項を参照してください。Terraform入力については、ネットワークリソース用のTerraformスクリプトの例(Flannel Overlay)を参照してください。

すべてのデフォルト・ルールを削除してから、次の表に示すルールを作成します。

「Roving Edge Device Console」プロパティ

CLIプロパティー

  • 名前: デフォルト

--security-list-id: ocid1.securitylist.default_securitylist_id

1つのエグレス・セキュリティ・ルール:

  • ステートレス: ボックスをクリア

  • エグレスCIDR: 0.0.0.0/0

  • IPプロトコル: 全プロトコル

  • 説明: 「すべての送信トラフィックを許可します。」

1つのエグレス・セキュリティ・ルール:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: すべての送信トラフィックを許可します。

3つのイングレス・セキュリティ・ルール:

3つのイングレス・セキュリティ・ルール:

--ingress-security-rules

イングレス・ルール 1

  • ステートレス: ボックスをクリア

  • イングレスCIDR: vcn_cidr

  • IPプロトコル: ICMP

    • パラメータタイプ: 8: エコー

  • 説明: 「Allow ping from VCN」。

イングレス・ルール 1

  • isStateless: false

  • source: vcn_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 8

  • description: VCNからのpingを許可します。

イングレス・ルール 2

  • ステートレス: ボックスをクリア

  • イングレスCIDR: 0.0.0.0/0

  • IPプロトコル: ICMP

    • パラメータ・タイプ: 3: 宛先に到達できません

  • 説明: 「任意のソースからの受信リクエストをブロックします。」

イングレス・ルール 2

  • isStateless: false

  • source: 0.0.0.0/0

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 3

  • description: 任意のソースからの受信リクエストをブロックします。

イングレス・ルール 3

  • ステートレス: ボックスをクリア

  • イングレスCIDR: 0.0.0.0/0

  • IPプロトコル: ICMP

    • パラメータ・タイプ: 11: 時間超過

  • 説明: 時間を超えました。

イングレス・ルール 3

  • isStateless: false

  • source: 0.0.0.0/0

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 11

  • description: 時間を超えました。

サブネットへの割当て用のこのデフォルト・セキュリティ・リストの名前とOCIDに注意してください。

次の作業:

ワーカー・サブネットの作成(Flannel Overlay)