5 ネットワーク・プレーン
重要:
このドキュメントで説明されているソフトウェアは、Extended SupportまたはSustaining Supportにあります。 詳細は、「Oracleオープン・ソース・サポート・ポリシー」を参照してください。
このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお勧めします。
この章では、Oracle Cloud Native Environmentの管理、制御およびデータ・プレーンについて説明します。
管理プレーン
管理プレーンは、Oracle Cloud Native Environmentプラットフォーム(プラットフォームAPIサーバー、プラットフォーム・エージェントおよびプラットフォームCLI)を構成するコンポーネントで構成されます。
コンポーネント間の通信は、Transport Layer Security (TLS)を使用して保護されます。 管理プレーンのTLSに使用する暗号スイートを構成できます。
TLSに使用されるX.509証明書は、環境を作成する前に設定するか、Vaultなどの証明書管理アプリケーションで管理できます。
コントロール・プレーン
コントロール・プレーンには、Kubernetesコンポーネントとロード・バランサが含まれます。
Kubernetesには、ユーザーが多くのオプションでネットワーク構成を微調整できる高度なネットワーキング・モデルが備えられています。 Oracle Cloud Native Environmentは、コミュニティのベスト・プラクティスと密接に連携するネットワーク・デフォルトを設定することで、Kubernetesネットワーキングを簡略化します。
デフォルトでは、すべてのKubernetesサービスが、システムのデフォルト・ルートを処理するネットワーク・インタフェースにバインドされます。 デフォルト・ルートはPlatform Agentが使用するネットワーク・インタフェースに設定され、Kubernetesコントロール・プレーンとデータ・プレーンの両方に使用されます。
このようになっている理由は2つあります。 第1に、Platform API Serverは常にKubernetes APIサーバーと通信できる必要があります。 Kubernetes APIサーバーがPlatform Agentと同じインタフェースにバインドされることを確実にすることによって、この条件が常に満たされます。 また、ノードが複数のネットワーク・インタフェースを持つ場合、通常、機密ネットワークはOracle Cloud Native Environmentが通信に使用するネットワークではありません。
複数のコントロール・プレーン・ノードを持つ高可用性クラスタを内部ロード・バランサとともにデプロイする場合、Platform API Serverは、仮想IPアドレスをホストするKubernetesコントロール・プレーン・サービスをホストするように設定されているものと同じネットワーク・インタフェースを使用します。
データ・プレーン
データ・プレーンは、Kubernetesで実行されるポッドが使用するネットワークです。
Kubernetesポッド・ネットワークをインスタンス化するときには、デフォルトのコントロール・プレーン・インタフェースを決定するためのアルゴリズムと同じアルゴリズムが使用されます。 つまり、Platform Agentが使用するネットワーク・インタフェースは、Kubernetesコントロール・プレーンとデータ・プレーンの両方に使用されます。 マルチネットワーク環境では、これは最適な選択ではない場合があります。 Oracle Cloud Native Environmentでは、Kubernetesモジュールの作成時にポッド・ネットワーキングに使用されるネットワーク・インタフェースをカスタマイズできます。 Flannelが起動されると、ポッド・ネットワークに対して指定したネットワーク・インタフェースが使用されます。