OKEネットワーク・リソースの作成
Roving EdgeデバイスのKubernetes Engine (OKE)で使用される一部のネットワークリソースは、特定の方法で構成する必要があります。
次の項のリソース定義は、ワークロード・クラスタのネットワーク・リソースの作業例セットを作成します。これらのリソースを作成する場合は、この構成をガイドとして使用してください。CIDRブロックやIPアドレスなどのプロパティの値を変更できます。ネットワーク・プロトコル、ステートフル設定、プライベート/パブリック設定などのプロパティの値は変更しないでください。
OKEクラスタの作成または実行に使用されるサブネット(ノード・プール、ロード・バランサおよびポッド・サブネットを含む)の場合、サブネットのDHCPオプションでカスタムDNSサーバーを構成しないでください。OKEは、デフォルトのDNSリゾルバに依存し、必要なKubernetesおよびプラットフォーム・サービス(クラスタおよびノードのプロビジョニング中にイメージをプルするために使用されるオンラック・リージョン・レジストリを含む)に信頼性の高い名前解決を実現します。カスタムDHCPリゾルバを使用すると、クラスタ・プロビジョニングの失敗および進行中のノードまたはアドオンの接続の問題が発生する可能性があります。カスタムの名前解決が必要な場合は、サブネットDHCP DNS設定をオーバーライドせずに、サポートされているOCI DNS機能(プライベートDNSなど)を使用します。
特定の目的でオープンする必要がある特定のポートについては、ワークロード・クラスタ・ネットワーク・ポート(Flannel Overlay)およびワークロード・クラスタ・ネットワーク・ポート(VCNネイティブ・ポッド)を参照してください。
アプライアンス管理ネットワークが有効になっている場合は、システム管理者に依頼して、クラスタ・コントロール・プレーンとの間のトラフィックを許可するように管理ネットワークおよびデータ・センター・ネットワークが構成されていることを確認します。
次の2つのネットワーク・タイプのネットワーク・リソースを作成できます。
パブリック・クラスタおよびプライベート・クラスタは、パブリック・クラスタを作成するために必要なネットワーク・リソースと、プライベート・クラスタを作成するために必要なネットワーク・リソースをまとめたものです。
ポッド・ネットワーク
Kubernetesネットワーキング・モデルは、コンテナ(ポッド)にクラスタ内で一意のルーティング可能なIPアドレスがあることを前提としています。Kubernetesネットワーキング・モデルでは、ポッドはこれらのIPアドレスを使用して、クラスタ内の同じノードまたは別のノード上の他のポッドと通信し、他のクラスタ上のポッド、クラスタのコントロール・プレーン・ノード、他のサービス(ストレージ・サービスなど)およびインターネットと通信します。
デフォルトでは、ポッドは任意のソースからトラフィックを受け入れます。クラスタ・セキュリティを強化するには、ネットワーク・セキュリティ・グループ(推奨)またはセキュリティ・リストの一部として定義されたセキュリティ・ルールを使用して、ポッドとの間のアクセスを制御します。セキュリティ・ルールは、ノード・プールに指定されたポッド・サブネットに接続されているすべてのワーカー・ノード内のすべてのポッドに適用されます。ネットワーク・セキュリティ・グループを使用したトラフィックの制御およびセキュリティ・リストを使用したトラフィックの制御を参照してください。