Oracle Cloud Infrastructureドキュメント

ネットワーク・リソース構成の例

Container Engine for Kubernetesを使用してテナンシ内のリージョンにクラスタを作成およびデプロイするには:

  • ルート・コンパートメントには、Container Engine for Kubernetesがテナンシ内で操作を実行できるようにするポリシーが含まれている必要があります。 「Container Engine for Kubernetesのポリシーを作成する(必須)」を参照してください。
  • テナンシ内には、必要なネットワーク・リソース(VCN、サブネット、インターネット・ゲートウェイ、ルート表、セキュリティ・リストなど)を含むコンパートメントがすでに存在している必要があります。 そのようなコンパートメントが存在しない場合は、作成する必要があります。 ネットワーク・リソースはルート・コンパートメントに配置できます。 ただし、複数のチームでクラスタを作成する場合は、チームごとに別個のコンパートメントを作成することをお薦めします。
  • コンパートメント内では、ネットワーク・リソース(VCN、サブネット、インターネット・ゲートウェイ、ルート表、セキュリティ・リストなど)を作成およびデプロイする各リージョンで適切に構成する必要があります。 新しいクラスタを作成する場合、新しいクイック・クラスタ用に新しいネットワーク・リソースを自動的に作成して構成するContainer Engine for Kubernetesを設定できます。 または、カスタム・クラスタに使用する既存のネットワーク・リソースを明示的に指定できます。 既存のネットワーク・リソースを指定する場合は、自分または他のユーザーが、それらのリソースを適切に構成している必要があります。 「クラスタの作成とデプロイメントのためのネットワーク・リソース構成」を参照してください。

このトピックでは、3つの可用性ドメインがあるリージョンで高可用性クラスタ作成およびデプロイのためにネットワーク・リソースを構成する方法の例を示します:

紹介のチュートリアルは、「Oracle Cloud Infrastructure Container Engine for Kubernetesを使用したクラスタの作成」を参照してください。

例1: 使用可能なパブリック・クラスタのネットワーク・リソース構成の例

この例では、3つのパブリック・サブネットにホストされ、インターネットから直接アクセスできるワーカー・ノードを想定しています。

ネットワーク・リソースの構成例

リソース
VCN

手動で作成され、次のように定義されます:

  • 名: acme-dev-vcn
  • CIDRブロック: 10.0.0.0/16
  • DNS解決方法: 選択された
インターネット・ゲートウェイ

手動で作成され、次のように定義されます:

  • 名: gateway-0
ルーティング表

手動で作成され、次のように定義されます:

  • 名: routetable-0

次のように定義されたルート・ルール:

  • 宛先CIDRブロック: 0.0.0.0/0
  • ターゲット・タイプ: インターネット・ゲートウェイ
  • ターゲット・インターネット・ゲートウェイ: gateway-0
DHCPオプション

自動的に作成され、次のように定義されます:

  • 「DNSタイプ」は「インターネットおよびVCNリゾルバ」に設定されています
セキュリティ・リスト

2つは(デフォルトのセキュリティ・リストに加えて)手動で作成され、名前が付けられ、次のように定義されます:

  • セキュリティ・リスト名: workers
  • セキュリティ・リスト名: loadbalancers

ワーカー・セキュリティ・リストおよびロード・バランサのセキュリティ・リストに対して定義されたイングレス・ルールおよびエグレス・ルールの詳細は、「使用可能なパブリック・クラスタのセキュリティ・リスト構成の例」を参照してください。

サブネット

手動で作成され、名前が付けられ、次のように定義された3つのワーカー・サブネット:

  • 名:次のプロパティを持つworkers-1:

    • 可用性ドメイン: AD1
    • CIDRブロック: 10.0.10.0/24
    • ルート表: routetable-0

    • サブネット・アクセス: パブリック

    • DNS解決: 選択された

    • DHCPオプション: デフォルト
    • セキュリティ・リスト: workers
  • 名:次のプロパティを持つworkers-2:

    • 可用性ドメイン: AD2
    • CIDRブロック: 10.0.11.0/24
    • ルート表: routetable-0

    • サブネット・アクセス: パブリック

    • DNS解決: 選択された
    • DHCPオプション: デフォルト

    • セキュリティ・リスト: workers
  • 名:次の特性を持つ労働者3:

    • 可用性ドメイン: AD3
    • CIDRブロック: 10.0.12.0/24
    • ルート表: routetable-0

    • サブネット・アクセス: パブリック

    • DNS解決: 選択された
    • DHCPオプション: デフォルト

    • セキュリティ・リスト: workers

2つのロード・バランサ・サブネットが作成され、名前が付けられ、次のように定義されます:

  • 名: loadbalancers-1には次のプロパティがあります:

    • 可用性ドメイン: AD1
    • CIDRブロック: 10.0.20.0/24
    • ルート表: routetable-0

    • サブネット・アクセス: パブリック

    • DNS解決: 選択された
    • DHCPオプション: デフォルト

    • セキュリティ・リスト: loadbalancers
  • 名: loadbalancers-2に以下のプロパティを設定します:

    • 可用性ドメイン: AD2
    • CIDRブロック: 10.0.21.0/24
    • ルート表: routetable-0

    • サブネット・アクセス: パブリック

    • DNS解決: 選択された
    • DHCPオプション: デフォルト

    • セキュリティ・リスト: loadbalancers

使用可能なパブリック・クラスタのセキュリティ・リスト構成の例

VCNの例では、パブリック・ワーカー・ノード・サブネットとロード・バランサ・サブネットとの間のアクセスを制御する2つのセキュリティ・リストが(デフォルトのセキュリティ・リストに加えて)作成されています。 2つのセキュリティ・リストは、それぞれ労働者とロード・バランサという名前です。

ワーカー・セキュリティ・リストには、パブリック・ワーカー・ノード・サブネットの次のイングレスおよびエグレス・ルールが含まれています:

パブリック・ワーカー・ノード・サブネットのセキュリティ・リストのイングレス・ルールの例:
パブリック・ワーカー・ノード・サブネットのセキュリティ・リストのエグレス・ルール例:

loadbalancerのセキュリティ・リストには、ロード・バランサ・サブネットの次のイングレス・ルールとエグレス・ルールがあります:

ロード・バランサ・サブネットのセキュリティ・リスト内のイングレス・ルールの例:
ロード・バランサ・サブネットのセキュリティ・リストのエグレス・ルール例:

例2: 使用可能なプライベート・クラスタのネットワーク・リソース構成の例

この例では、VCN内からのみアクセス可能な3つのプライベート・サブネットでホストされているワーカー・ノードを想定しています。

ネットワーク・リソースの構成例

リソース
VCN

手動で作成され、次のように定義されます:

  • 名: acme-dev-vcn
  • CIDRブロック: 10.0.0.0/16
  • DNS解決方法: 選択された
インターネット・ゲートウェイ

手動で作成され、次のように定義されます:

  • 名: gateway-0
NATゲートウェイ

手動で作成され、次のように定義されます:

  • 名: nat-gateway-0
ルーティング表

次のように、手動で作成、名前付き、定義された2つのルート表が、手動で作成されました:

  • 名: routetable-0。ルート・ルールは次のように定義されています:

    • 宛先CIDRブロック: 0.0.0.0/0
    • ターゲット・タイプ: インターネット・ゲートウェイ
    • ターゲット・インターネット・ゲートウェイ: gateway-0
  • 名: routetable-1、ルート・ルールは次のように定義されています:

    • 宛先CIDRブロック: 0.0.0.0/0
    • ターゲットのタイプ: NATゲートウェイ
    • ターゲットNATゲートウェイ: nat-gateway-0
DHCPオプション

自動的に作成され、次のように定義されます:

  • 「DNSタイプ」は「インターネットおよびVCNリゾルバ」に設定されています
セキュリティ・リスト

2つは(デフォルトのセキュリティ・リストに加えて)手動で作成され、名前が付けられ、次のように定義されます:

  • セキュリティ・リスト名: workers
  • セキュリティ・リスト名: loadbalancers

これらのセキュリティ・リスト用に定義されたイングレス・ルールおよびエグレス・ルールの詳細については、「使用可能なプライベート・クラスタのセキュリティ・リスト構成の例」を参照してください。

サブネット

手動で作成され、名前が付けられ、次のように定義された3つのワーカー・サブネット:

  • 名:次のプロパティを持つworkers-1:

    • 可用性ドメイン: AD1
    • CIDRブロック: 10.0.10.0/24
    • ルート表: routetable-1

    • サブネット・アクセス: プライベート

    • DNS解決: 選択された

    • DHCPオプション: デフォルト
    • セキュリティ・リスト: workers
  • 名:次のプロパティを持つworkers-2:

    • 可用性ドメイン: AD2
    • CIDRブロック: 10.0.11.0/24
    • ルート表: routetable-1

    • サブネット・アクセス: プライベート

    • DNS解決: 選択された
    • DHCPオプション: デフォルト

    • セキュリティ・リスト: workers
  • 名:次の特性を持つ労働者3:

    • 可用性ドメイン: AD3
    • CIDRブロック: 10.0.12.0/24
    • ルート表: routetable-1

    • サブネット・アクセス: プライベート

    • DNS解決: 選択された
    • DHCPオプション: デフォルト

    • セキュリティ・リスト: workers

2つのロード・バランサ・サブネットが作成され、名前が付けられ、次のように定義されます:

  • 名: loadbalancers-1には次のプロパティがあります:

    • 可用性ドメイン: AD1
    • CIDRブロック: 10.0.20.0/24
    • ルート表: routetable-0

    • サブネット・アクセス: パブリック

    • DNS解決: 選択された
    • DHCPオプション: デフォルト

    • セキュリティ・リスト: loadbalancers
  • 名: loadbalancers-2に以下のプロパティを設定します:

    • 可用性ドメイン: AD2
    • CIDRブロック: 10.0.21.0/24
    • ルート表: routetable-0

    • サブネット・アクセス: パブリック

    • DNS解決: 選択された
    • DHCPオプション: デフォルト

    • セキュリティ・リスト: loadbalancers

使用可能なプライベート・クラスタのセキュリティ・リスト構成の例

VCNの例では、(デフォルトのセキュリティ・リストに加えて) 2つのセキュリティ・リストが作成されて、プライベート・ワーカー・ノード・サブネットとロード・バランサ・サブネットとの間のアクセスを制御します。 2つのセキュリティ・リストは、それぞれ労働者とロード・バランサという名前です。

ワーカー・セキュリティ・リストには、プライベート・ワーカー・ノード・サブネットに関する次のようなイングレスおよびエグレス・ルールがあります:

プライベート・ワーカー・ノードのサブネットのセキュリティ・リストのイングレス・ルールの例:
プライベート・ワーカー・ノード・サブネットのセキュリティ・リストのエグレス・ルールの例:

loadbalancerのセキュリティ・リストには、ロード・バランサ・サブネットの次のイングレス・ルールとエグレス・ルールがあります:

ロード・バランサ・サブネットのセキュリティ・リスト内のイングレス・ルールの例:
ロード・バランサ・サブネットのセキュリティ・リストのエグレス・ルール例: