Oracle Cloud Infrastructureドキュメント

ネットワーク・リソース構成の例

Container Engine for Kubernetesを使用してテナンシ内のリージョンにクラスタを作成およびデプロイするには:

  • ルート・コンパートメントには、Container Engine for Kubernetesがテナンシ内で操作を実行できるようにするポリシーが含まれている必要があります。 「Container Engine for Kubernetesに必須のポリシーを作成」も参照してください。
  • テナンシ内には、必要なネットワーク・リソース(VCN、サブネット、インターネット・ゲートウェイ、ルート表、セキュリティ・リストなど)を含むコンパートメントがすでに存在している必要があります。 そのようなコンパートメントが存在しない場合は、作成する必要があります。 ネットワーク・リソースはルート・コンパートメントに配置できます。 ただし、複数のチームでクラスタを作成する場合は、チームごとに別個のコンパートメントを作成することをお薦めします。
  • コンパートメント内では、ネットワーク・リソース(VCN、サブネット、インターネット・ゲートウェイ、ルート表、セキュリティ・リストなど)を作成およびデプロイする各リージョンで適切に構成する必要があります。 新しいクラスタを作成する場合、新しいクイック・クラスタ用に新しいネットワーク・リソースを自動的に作成して構成するContainer Engine for Kubernetesを設定できます。 または、カスタム・クラスタに使用する既存のネットワーク・リソースを明示的に指定できます。 既存のネットワーク・リソースを指定する場合は、自分または他のユーザーが、それらのリソースを適切に構成している必要があります。 「クラスタの作成とデプロイメントのためのネットワーク・リソース構成」を参照してください。

このトピックでは、高可用性のカスタム・クラスタを作成およびデプロイメントするために3つの可用性ドメインを持つリージョンでネットワーク・リソースを構成する方法について例を紹介します:

このトピックのすべての例には、パブリック・インターネットにデータを公開することなく、ワーカー・ノードが同じリージョン(Oracle Cloud Infrastructureレジストリなど)の他のOracle Cloud Infrastructureリソースにアクセスできるようにするサービス・ゲートウェイが含まれています。 しかし、クラスタにデプロイされたアプリケーションが、サービス・ゲートウェイでサポートされないパブリック・エンドポイントまたはサービスへのアクセスを必要とする場合があります。 たとえば、更新またはパッチをダウンロードする場合です。 その場合は、インターネットにアクセスするための追加のネットワーク・リソース(NATゲートウェイなど)を構成します。

紹介のチュートリアルは、「Oracle Cloud Infrastructure Container Engine for Kubernetesを使用したクラスタの作成」を参照してください。

例1: 3つの可用性ドメインを持つリージョンにある高可用性パブリック・クラスタ用のネットワーク・リソース構成の例(AD固有のサブネットの使用)

この例では、インターネットから直接アクセスできる3つの公開AD固有サブネットにホストされたワーカー・ノードが必要であると仮定します。

ネットワーク・リソースの構成例

リソース
VCN

手動で作成され、次のように定義されます:

  • 名: acme-dev-vcn
  • CIDRブロック: 10.0.0.0/16
  • DNS解決方法: 選択された
インターネット・ゲートウェイ

手動で作成され、次のように定義されます:

  • 名: gateway-0
サービス・ゲートウェイ

手動で作成され、次のように定義されます:

  • 名: service-gateway-0
  • サービス: Oracle Services Networkのすべての<region> Services
ルーティング表

手動で作成された、名前付き、および次のように定義された2つのルート表:

  • 名: routetable-0。ルート・ルールは次のように定義されています:

    • 宛先CIDRブロック: 0.0.0.0/0
    • ターゲット・タイプ: インターネット・ゲートウェイ
    • ターゲット・インターネット・ゲートウェイ: gateway-0
  • 名: routetable-1、ルート・ルールは次のように定義されています:

    • 関連先: Oracle Services Networkのすべての<region> Services

    • ターゲットのタイプ: サービス・ゲートウェイ

    • ターゲット: service-gateway-0

DHCPオプション

自動的に作成され、次のように定義されます:

  • 「DNSタイプ」は「インターネットおよびVCNリゾルバ」に設定されています
セキュリティ・リスト

2つは(デフォルトのセキュリティ・リストに加えて)手動で作成され、名前が付けられ、次のように定義されます:

  • セキュリティ・リスト名: workers
  • セキュリティ・リスト名: loadbalancers

ワーカー・セキュリティ・リストおよびロード・バランサのセキュリティ・リストに対して定義されたイングレス・ルールおよびエグレス・ルールの詳細は、「AD固有のサブネットを使用した、高可用性パブリック・クラスタに対するセキュリティ・リスト構成の例」を参照してください。

サブネット

手動で作成され、名前が付けられて、次のように定義された、3つのワーカー・ノードのAD固有のサブネット:

  • 名: 次のプロパティを持つworkers-1:

    • 可用性ドメイン: AD1
    • CIDRブロック: 10.0.10.0/24
    • ルート表: routetable-1

    • サブネット・アクセス: パブリック

    • DNS解決: 選択済

    • DHCPオプション: デフォルト
    • セキュリティ・リスト: workers
  • 名: 次のプロパティを持つworkers-2:

    • 可用性ドメイン: AD2
    • CIDRブロック: 10.0.11.0/24
    • ルート表: routetable-1

    • サブネット・アクセス: パブリック

    • DNS解決: 選択済
    • DHCPオプション: デフォルト

    • セキュリティ・リスト: workers
  • 名: 次のプロパティを持つworkers-3:

    • 可用性ドメイン: AD3
    • CIDRブロック: 10.0.12.0/24
    • ルート表: routetable-1

    • サブネット・アクセス: パブリック

    • DNS解決: 選択済
    • DHCPオプション: デフォルト

    • セキュリティ・リスト: workers

2つのロード・バランサAD固有のサブネットが作成され、名前が付けられ、次のように定義されています:

  • 名: 次のプロパティを持つloadbalancers-1:

    • 可用性ドメイン: AD1
    • CIDRブロック: 10.0.20.0/24
    • ルート表: routetable-0

    • サブネット・アクセス: パブリック

    • DNS解決: 選択済
    • DHCPオプション: デフォルト

    • セキュリティ・リスト: loadbalancers
  • 名: 次のプロパティを持つloadbalancers-2:

    • 可用性ドメイン: AD2
    • CIDRブロック: 10.0.21.0/24
    • ルート表: routetable-0

    • サブネット・アクセス: パブリック

    • DNS解決: 選択済
    • DHCPオプション: デフォルト

    • セキュリティ・リスト: loadbalancers

AD固有のサブネットを使用した、高可用性パブリック・クラスタに対するセキュリティ・リスト構成の例

VCNの例では、パブリック・ワーカー・ノードのAD固有のサブネットとロード・バランサのAD固有のサブネットとの間のアクセスを制御するために、2つのセキュリティ・リストが(デフォルトのセキュリティ・リストに加えて)作成されています。 2つのセキュリティ・リストは、それぞれ'workers'と'loadbalancers'という名前です。

ワーカー・セキュリティ・リストには、パブリック・ワーカー・ノードのAD固有のサブネットに関する、次のイングレス・ルールおよびエグレス・ルールがあります:

パブリック・ワーカー・ノードAD固有のサブネットに対するセキュリティ・リストのイングレス・ルールの例: