5 ネットワーク・プレーン
この章では、Oracle Cloud Native Environment管理、制御およびデータ・プレーンについて説明します。
管理プレーン
管理プレーンは、Oracle Cloud Native Environmentプラットフォームを構成するコンポーネントで構成されます: プラットフォームAPIサーバー、プラットフォーム・エージェントおよびプラットフォームCLI。
コンポーネント間の通信は、Transport Layer Security (TLS)を使用して保護されます。 管理プレーンのTLSに使用する暗号スイートを構成できます。
TLSに使用されるX.509証明書は、環境を作成する前に設定するか、Vaultなどの証明書管理アプリケーションで管理できます。
コントロール・プレーン
コントロール・プレーンには、Kubernetesコンポーネントとロード・バランサが含まれます。
Kubernetesには、ユーザーがネットワーク構成を細かくチューニングできる多くのオプションを備えた高度なネットワーク・モデルがあります。 Oracle Cloud Native Environmentは、コミュニティのベスト・プラクティスに沿ったネットワークのデフォルトを設定することで、Kubernetesネットワーキングを簡略化します。
デフォルトでは、すべてのKubernetesサービスが、システムのデフォルト・ルートを処理するネットワーク・インタフェースにバインドされます。 デフォルト・ルートは、プラットフォーム・エージェントによって使用されるネットワーク・インタフェースに設定され、Kubernetesコントロール・プレーンとデータ・プレーンの両方に使用されます。
この選択には2つの動機があります。 1つ目は、プラットフォームAPIサーバーが常にKubernetes APIサーバーと通信する必要があることです。 Kubernetes APIサーバーがPlatform Agentと同じインタフェースにバインドされることを確実にすることによって、この条件が常に満たされます。 また、ノードに多数のネットワーク・インタフェースがある場合、機密ネットワークはOracle Cloud Native Environmentが通信に使用するネットワークではありません。
多くのコントロール・プレーン・ノードを持つ高可用性クラスタを内部ロード・バランサとともにデプロイする場合、Platform API Serverは、Kubernetesコントロール・プレーン・サービスをホストして仮想IPアドレスをホストするように設定されたものと同じネットワーク・インタフェースを使用します。
データ・プレーン
データ・プレーンは、Kubernetesで実行されるポッドが使用するネットワークです。
Kubernetesポッド・ネットワークをインスタンス化するときに、デフォルトのコントロール・プレーン・インタフェースを決定するのと同じアルゴリズムが使用されます。 Platform Agentによって使用されるネットワーク・インタフェースは、Kubernetesコントロール・プレーンとデータ・プレーンの両方に使用されます。 多くのネットワークを持つ環境では、これが最善の選択ではない可能性があります。 Oracle Cloud Native Environmentを使用すると、Kubernetesモジュールの作成時に、ポッド・ネットワーキングに使用されるネットワーク・インタフェースをカスタマイズできます。 CNIが起動すると、ポッド・ネットワークに指定したネットワーク・インタフェースが使用されます。
Kubernetesをインストールする場合は、CNIとしてFlannelまたはCalicoを選択できます。 FlannelまたはCalicoの上にMultusをインストールして、ポッドへのネットワーク・ブリッジを作成することもできます。