Oracle Cloud Infrastructureドキュメント

ワーカー・サブネット(VCNネイティブ・ポッド)の作成

Roving EdgeデバイスでVCNネイティブ・ポッド・ネットワーキングのワーカー・サブネットを作成する方法をご紹介します。

次のリソースを、リストされた順序で作成します。

  1. 就業者セキュリティ・リスト

  2. ワーカー・サブネット

就業者セキュリティ・リストの作成

セキュリティ・リストを作成します。「セキュリティ・リストの作成」を参照してください。Terraform入力については、Terraformスクリプトの例(VCNネイティブ・ポッド)を参照してください。

このセキュリティ・リストは、ワーカー・ノードに直接連絡できるトラフィックを定義します。

この例では、ワーカー・サブネット・セキュリティ・リストに次の入力を使用します。

デバイス・コンソール・プロパティ

CLIプロパティー

  • 名前: worker-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker-seclist

1つのエグレス・セキュリティ・ルール:

  • ステートレス: ボックスをクリア

  • エグレスCIDR: 0.0.0.0/0

  • IPプロトコル: 全プロトコル

  • 説明: 「すべての送信トラフィックを許可します。」

1つのエグレス・セキュリティ・ルール:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: すべての送信トラフィックを許可します。

13のイングレス・セキュリティ・ルール:

13のイングレス・セキュリティ・ルール:

--ingress-security-rules

イングレス・ルール 1

  • ステートレス: ボックスをクリア

  • イングレスCIDR: kube_client_cidr

  • IPプロトコル: TCP

    • 出力先ポート範囲: 30000-32767

  • 説明: 「ワーカー・ノードがポッド・サブネットを介して接続を受信できるようにします。」

イングレス・ルール 1

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: ワーカー・ノードがポッド・サブネットを介して接続を受信できるようにします。

イングレス・ルール 2

  • ステートレス: ボックスをクリア

  • イングレスCIDR: kmi_cidr

  • IPプロトコル: TCP

    • 宛先ポート範囲: 22

  • 説明: 「コントロール・プレーン・サブネットからのSSH接続を許可します。」

イングレス・ルール 2

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description: コントロール・プレーン・サブネットからのSSH接続を許可します。

イングレス・ルール 3

  • ステートレス: ボックスをクリア

  • イングレスCIDR: worker_cidr

  • IPプロトコル: TCP

    • 宛先ポート範囲: 22

  • 説明: 「ワーカー・サブネットからのSSH接続を許可します。」

イングレス・ルール 3

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description: ワーカー・サブネットからのSSH接続を許可します。

イングレス・ルール 4

  • ステートレス: ボックスをクリア

  • イングレスCIDR: worker_cidr

  • IPプロトコル: TCP

    • 宛先ポート範囲: 10250

  • 説明: Kubernetes APIエンドポイントから就業者ノード通信を許可します。

イングレス・ルール 4

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description: Kubernetes APIエンドポイントからワーカ・ノード通信を許可します。

イングレス・ルール 5

  • ステートレス: ボックスをクリア

  • イングレスCIDR: worker_cidr

  • IPプロトコル: TCP

    • 宛先ポート範囲: 10256

  • 説明: 「ロード・バランサまたはネットワーク・ロード・バランサがワーカー・ノードでkube-proxyと通信できるようにします。」

イングレス・ルール 5

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: 「ロード・バランサまたはネットワーク・ロード・バランサがワーカー・ノードでkube-proxyと通信できるようにします。」

イングレス・ルール 6

  • ステートレス: ボックスをクリア

  • イングレスCIDR: worker_cidr

  • IPプロトコル: TCP

    • 出力先ポート範囲: 30000-32767

  • 説明: 「ワーカー・ノードへのトラフィックの許可」

イングレス・ルール 6

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: ワーカー・ノードへのトラフィックを許可します。

イングレス・ルール 7

  • ステートレス: ボックスをクリア

  • イングレスCIDR: workerlb_cidr

  • IPプロトコル: TCP

    • 宛先ポート範囲: 10256

  • 説明: 「ロード・バランサまたはネットワーク・ロード・バランサがワーカー・ノードでkube-proxyと通信できるようにします。」

イングレス・ルール 7

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: 「ロード・バランサまたはネットワーク・ロード・バランサがワーカー・ノードでkube-proxyと通信できるようにします。」

イングレス・ルール 8

  • ステートレス: ボックスをクリア

  • イングレスCIDR: workerlb_cidr

  • IPプロトコル: TCP

    • 出力先ポート範囲: 30000-32767

  • 説明: 「ワーカー・ノードがネットワーク・ロード・バランサを介して接続を受信できるようにします。」

イングレス・ルール 8

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: ワーカー・ノードがネットワーク・ロード・バランサを介して接続を受信することを許可します。

イングレス・ルール 9

  • ステートレス: ボックスをクリア

  • イングレスCIDR: kmi_cidr

  • IPプロトコル: TCP

    • 宛先ポート範囲: 10250

  • 説明: Kubernetes APIエンドポイントから就業者ノード通信を許可します。

イングレス・ルール 9

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description: Kubernetes APIエンドポイントからワーカ・ノード通信を許可します。

イングレス・ルール 10

  • ステートレス: ボックスをクリア

  • イングレスCIDR: kmi_cidr

  • IPプロトコル: TCP

    • 宛先ポート範囲: 10256

  • 説明: 「ロード・バランサまたはネットワーク・ロード・バランサがワーカー・ノードでkube-proxyと通信できるようにします。」

イングレス・ルール 10

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: 「ロード・バランサまたはネットワーク・ロード・バランサがワーカー・ノードでkube-proxyと通信できるようにします。」

イングレス・ルール 11

  • ステートレス: ボックスをクリア

  • イングレスCIDR: pod_cidr

  • IPプロトコル: TCP

    • 出力先ポート範囲: 30000-32767

  • 説明: 「ワーカー・ノードがポッド・サブネットを介して接続を受信できるようにします。」

イングレス・ルール 11

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: ワーカー・ノードがポッド・サブネットを介して接続を受信できるようにします。

イングレス・ルール 12

  • ステートレス: ボックスをクリア

  • イングレスCIDR: kmi_cidr

  • IPプロトコル: ICMP

    • パラメータタイプ: 8: エコー

  • 説明: 「リクエストを送信して、kmi_cidrからネットワーク・ポッドの到達可能性をテストします。」

イングレス・ルール 12

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 8

  • description: リクエストを送信して、kmi_cidrからネットワーク・ポッドの到達可能性をテストします。

イングレス・ルール 13

  • ステートレス: ボックスをクリア

  • イングレスCIDR: kmi_cidr

  • IPプロトコル: ICMP

    • パラメータ・タイプ: 0: Echo Reply

  • 説明: 「宛先ポッドがkmi_cidrから到達可能な場合は、ICMP Echo Replyで応答してください。」

イングレス・ルール 13

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 0

  • description: 宛先ポッドがkmi_cidrからアクセス可能である場合は、ICMP Echo Replyで応答します。

ワーカー・サブネットの作成

サブネットの作成Creating a Subnetを参照してください。Terraform入力については、Terraformスクリプトの例(VCNネイティブ・ポッド)を参照してください。

この例では、次の入力を使用してワーカー・サブネットを作成します。VCNの作成(VCNネイティブ・ポッド・ネットワーキング)で作成されたVCNのOCIDを使用します。VCNを作成したのと同じコンパートメントにワーカー・サブネットを作成します。

NATプライベート・ワーカー・サブネットまたはVCNプライベート・ワーカー・サブネットを作成します。VCNの外部と通信するためのNATプライベート・ワーカー・サブネットを作成します。

NATプライベート・ワーカー・サブネットの作成

デバイス・コンソール・プロパティ

CLIプロパティー

  • 名前: worker

  • CIDRブロック: worker_cidr

  • ルート表: リストから「nat_private」を選択します。

  • プライベート・サブネット: チェック・ボックス

  • DNSホスト名:

    このサブネットでDNSのホスト名を使用: チェック・ボックス

    • DNSラベル: ワーカー

  • セキュリティ・リスト: リストから「worker-seclist」と「Default Security List for oketest-vcn」を選択します。

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: "nat_private"ルート表のOCID

  • --security-list-ids: "worker-seclist"セキュリティ・リストのOCIDsおよび"oketest-vcnのデフォルト・セキュリティ・リスト"セキュリティ・リスト

次のプライベート・サブネットの違いは、NATプライベート・ルート表のかわりにVCNプライベート・ルート表が使用されることです。

VCNプライベート・ワーカー・サブネットの作成

デバイス・コンソール・プロパティ

CLIプロパティー

  • 名前: worker

  • CIDRブロック: worker_cidr

  • ルート表: リストから「vcn_private」を選択します。

  • プライベート・サブネット: チェック・ボックス

  • DNSホスト名:

    このサブネットでDNSホストを使用: チェック・ボックス

    • DNSラベル: ワーカー

  • セキュリティ・リスト: リストから「worker-seclist」と「Default Security List for oketest-vcn」を選択します。

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: "vcn_private"ルート表のOCID

  • --security-list-ids: "worker-seclist"セキュリティ・リストのOCIDsおよび"oketest-vcnのデフォルト・セキュリティ・リスト"セキュリティ・リスト