OKE 管理ネットワークを使用したクラスタ管理

OKEが個別の管理ネットワークで構成されているシステムで使用されている場合、OKEサービスと「コンピュート・エンクレーブ」ユーザーがデプロイしたOKEクラスタ間のトラフィックを許可するようにデータ・センター・ファイアウォールを構成する必要があります。

図4-1 個別の管理ネットワークで構成されたシステムの例

OKEサービスは管理ネットワークの管理ノードで実行され、OKEクラスタはデータ・ネットワークにデプロイされます。 OKEクラスタの管理インタフェースは、ロード・バランサのパブリックIPアドレス上のポート6443です。 このアドレスは、アプライアンスの初期設定時に予約してパブリックIPとして構成したデータ・センターIP範囲から割り当てられます。

ネットワーク分離のため、OKEサービスからのトラフィックは、管理ネットワークを介してアプライアンスを終了し、データ・ネットワークを介して再入力してOKEクラスタに到達する必要があります。 データセンターのネットワーク・インフラストラクチャは、両方向のトラフィックを許可する必要があります。 必要なファイアウォールおよびルーティング・ルールがないと、ユーザーはOKEクラスタをデプロイできません。

OKEのポートを構成する方法は、「フランネル・オーバーレイ・ネットワーキングのワークロード・クラスタ・ネットワーク・ポート」および「VCNネイティブ・ポッド・ネットワーキングのワークロード・クラスタ・ネットワーク・ポート」を参照してください。 別の管理ネットワークを使用している場合は、「Oracle Private Cloud Applianceセキュリティ・ガイド」の「ポート・マトリックス」の表「管理ネットワークを使用した構成へのアクセス」も参照してください。