OCNEでのVCNの構成
OCNEクラスタ用の仮想クラウド・ネットワークをOCI上に設定します
Oracle Cloud Native Environment: スタート・ガイドの手順に従って、Kubernetesモジュールを含むOracle Cloud Native Environmentをデプロイします。
oci-ccm
モジュールでは、デフォルトのStorageClass
の選択や、インストールするCSIDrivers
のポリシーの構成は行われません。oci-bv
StorageClass
と、File
グループ・ポリシーを構成したCSIDriver
を選択することをお薦めします。
kubectl patch sc oci-bv -p '{"metadata": {"annotations":{"storageclass.kubernetes.io/is-default-class":"true"}}}'
kubectl apply -f - <<EOF
apiVersion: storage.k8s.io/v1
kind: CSIDriver
metadata:
name: blockvolume.csi.oraclecloud.com
spec:
fsGroupPolicy: File
EOF
明示的に構成されないかぎり、externalip-validation-webhook-service
は、デフォルトでクラスタ内のすべての外部IPアドレスをブロックします。これにより、IPアドレスをイングレス・コントローラに割り当てることができないため、Verrazzanoのインストールが失敗します。この状況が発生すると、Verrazzanoプラットフォーム・オペレータのログに次のようなメッセージが含まれます:
admission webhook "validate-externalip.webhook.svc" denied the request: spec.externalIPs:
Invalid value: "<external IP address>": externalIP specified is not allowed to use
このエラーを回避するには、Verrazzanoをインストールする前に、externalip-validation-webhook-service
を無効にするか、ロード・バランサのIPアドレスを使用してサービスを構成します。詳細は、「すべてのexternalIPsへのアクセスの有効化」を参照してください。
Oracle Cloud InfrastructureコンソールのVCNウィザードを使用すると、説明されているほとんどのネットワーク・インフラストラクチャを自動的に作成できます。その他のセキュリティ・リストおよびルールは、次の項で説明するように手動で追加する必要があります。示されているClassless Inter-Domain Routing (CIDR)のすべての値は例であり、必要に応じてカスタマイズできます。
ロード・バランサのパブリック・サブネット(CIDR 10.0.0.0/24など)
セキュリティ・リスト/イングレス・ルール
ステートレス | 宛先 | プロトコル | ソース・ポート | 宛先ポート | タイプとコード | 説明 |
---|---|---|---|---|---|---|
いいえ | 0.0.0.0/0 |
ICMP | 3, 4 | ICMPエラー | ||
いいえ | 10.0.0.0/16 |
ICMP | 3 | ICMPエラー | ||
いいえ | 0.0.0.0/0 |
TCP | すべて | 22 | SSH | |
いいえ | 0.0.0.0/0 |
TCP | すべて | 443 | HTTPSロード・バランサ |
セキュリティ・リスト/エグレス・ルール
ステートレス | 宛先 | プロトコル | ソース・ポート | 宛先ポート | タイプとコード | 説明 |
---|---|---|---|---|---|---|
いいえ | 10.0.1.0/24 |
TCP | すべて | 22 | SSH | |
いいえ | 10.0.1.0/24 |
TCP | すべて | 31443 | HTTPSロード・バランサ | |
いいえ | 10.0.1.0/24 |
TCP | すべて | 32443 | HTTPSロード・バランサ |
Kubernetesクラスタのプライベート・サブネット(CIDR 10.0.1.0/24など)
セキュリティ・リスト/イングレス・ルール
ステートレス | 宛先 | プロトコル | ソース・ポート | 宛先ポート | タイプとコード | 説明 |
---|---|---|---|---|---|---|
いいえ | 0.0.0.0/0 |
ICMP | 3, 4 | ICMPエラー | ||
いいえ | 10.0.0.0/16 |
ICMP | 3 | ICMPエラー | ||
いいえ | 10.0.0.0/16 |
TCP | すべて | 22 | SSH | |
いいえ | 10.0.0.0/24 |
TCP | すべて | 31443 | HTTPSロード・バランサ | |
いいえ | 10.0.0.0/24 |
TCP | すべて | 32443 | HTTPSロード・バランサ | |
いいえ | 10.0.1.0/24 |
TCP | すべて | 2379-2380 | Kubernetes etcd | |
いいえ | 10.0.1.0/24 |
TCP | すべて | 6443 | Kubernetes APIサーバー | |
いいえ | 10.0.1.0/24 |
TCP | すべて | 6446 | MySQL | |
いいえ | 10.0.1.0/24 |
TCP | すべて | 8090-8091 | Oracle Cloud Native Environmentのプラットフォーム・エージェント | |
いいえ | 10.0.1.0/24 |
UDP | すべて | 8472 | Flannel | |
いいえ | 10.0.1.0/24 |
TCP | すべて | 10250-10255 | Kubernetes Kublet |
セキュリティ・リスト/エグレス・ルール
ステートレス | 宛先 | プロトコル | ソース・ポート | 宛先ポート | タイプとコード | 説明 |
---|---|---|---|---|---|---|
いいえ | 10.0.0.0/16 |
TCP | すべてのエグレス・トラフィック |
DHCPオプション
DNSタイプ |
---|
インターネットおよびVCNリゾルバ |
ルート表
パブリック・サブネット・ルート表ルール
宛先 | ターゲット |
---|---|
0.0.0.0/0 |
インターネット・ゲートウェイ |
プライベート・サブネット・ルート表ルール
宛先 | ターゲット |
---|---|
0.0.0.0/0 |
NATゲートウェイ |
すべてのOracle Cloud Infrastructureサービス | サービス・ゲートウェイ |
次のコンピュート・リソースは、Oracle Cloud Native Environment: スタート・ガイドに記載されているガイドラインに準拠しています。示されている属性(サブネット、RAM、シェイプおよびイメージなど)は、テスト済の推奨事項です。必要に応じて、その他の値を使用できます。
ロール | サブネット | 推奨RAM | 互換性のあるVMシェイプ | 互換性のあるVMイメージ |
---|---|---|---|---|
SSHジャンプ・ホスト | パブリック | 8GB | VM.Standard3.Flex | Oracle Linux 7.9 |
Oracle Cloud Native Environmentのオペレータ・ホスト | プライベート | 16GB | VM.Standard3.Flex | Oracle Linux 7.9 |
Kubernetesコントロール・プレーン・ノード | プライベート | 32GB | VM.Standard3.Flex | Oracle Linux 7.9 |
Kubernetesワーカー・ノード1 | プライベート | 32GB | VM.Standard3.Flex | Oracle Linux 7.9 |
Kubernetesワーカー・ノード2 | プライベート | 32GB | VM.Standard3.Flex | Oracle Linux 7.9 |
Kubernetesワーカー・ノード3 | プライベート | 32GB | VM.Standard3.Flex | Oracle Linux 7.9 |
続行するには、インストレーション・ガイドを参照してください。
OCNEクラスタ用の仮想クラウド・ネットワークをOCI上に設定します