パブリックおよびプライベート・クラスタ

クラスタを作成する前に、クラスタに必要なネットワーク・アクセスの種類を決定: パブリック・クラスタまたはプライベート・クラスタが必要かどうか。 1つのVCNにパブリック・クラスタとプライベート・クラスタの両方を作成することはできません。

パブリック・クラスタとプライベート・クラスタの主な違いは、Kubernetes APIエンドポイントとワーカー・ロード・バランサのパブリック・サブネットとプライベート・サブネットのどちらを構成するかです。

ノート:

ワーカー・ノードおよびコントロール・プレーン・ノードのサブネットは常にプライベートです。

ワーカー・ノードおよびコントロール・プレーン・ノードの場合、VCN内またはVCN外でのみアクセスを許可するルート・ルールを構成できます。 このドキュメントでは、これらのルート表にvcn_privateおよびnat_privateという名前を付けます。 クラスタがプライベートであるか、クラスタがパブリックであるかに関係なく、ワーカー・ノードおよびコントロール・プレーン・ノードに対してこれらのプライベート・サブネット構成のいずれかを選択できます。

パブリック・クラスタ

パブリック・クラスタには、次のネットワーク・リソースが必要です:

• Kubernetes APIエンドポイントのパブリック・サブネット。 「フランネル・オーバーレイ・コントロール・プレーン・ロード・バランサ・サブネットの作成」および「VCNネイティブ・ポッド・ネットワーキング・コントロール・プレーン・ロード・バランサ・サブネットの作成」にパブリック"control-plane-endpoint"サブネットを作成する手順を参照してください。

• ワーカー・ロード・バランサのパブリック・サブネット。 「フランネル・オーバーレイ・ワーカー・ロード・バランサ・サブネットの作成」および「VCNネイティブ・ポッド・ネットワーキング・ワーカーのロード・バランサ・サブネットの作成」にパブリックservice-lbサブネットを作成する手順を参照してください。

• パブリックIPアドレスを使用してパブリック・サブネット上のリソースをインターネットに接続するためのインターネット・ゲートウェイ。

• NATゲートウェイ。 アウトバウンド・インターネット・アクセスにはNATゲートウェイを使用します。 NATゲートウェイは、プライベートIPアドレスを公開せずに、プライベート・サブネット上のリソースをインターネットに接続します。

• 少なくとも3つの空きパブリックIPアドレス。 NATゲートウェイ、コントロール・プレーン・ロード・バランサおよびワーカー・ロード・バランサには、空きパブリックIPアドレスが必要です。

  ワーカー・ロード・バランサは、アプリケーションを公開するために無料のパブリックIPアドレスを必要とします。 ワーカー・ロード・バランサは、ポッドで実行されているアプリケーションに応じて、より多くの空きパブリックIPアドレスが必要になる場合があります。 アプライアンス上の空きパブリックIPアドレスのリストを表示する方法は、「Private Cloud Appliance管理者のタスク」を参照してください。

プライベート・クラスタ

複数のOKE VCNsを作成する場合、各CIDRは一意である必要があります。 プライベート・クラスタ用の異なるVCNのCIDRは、他のVCN CIDRまたはオンプレミスCIDRと重複できません。 使用するIPアドレスは、各VCNに排他的である必要があります。

プライベート・クラスタには、次のネットワーク・リソースがあります:

• Kubernetes APIエンドポイントのプライベート・サブネット。 「フランネル・オーバーレイ・コントロール・プレーン・ロード・バランサ・サブネットの作成」および「VCNネイティブ・ポッド・ネットワーキング・コントロール・プレーン・ロード・バランサ・サブネットの作成」にプライベート"control-plane-endpoint"サブネットを作成する手順を参照してください。

• ワーカー・ロード・バランサのプライベート・サブネット。 「フランネル・オーバーレイ・ワーカー・ロード・バランサ・サブネットの作成」および「VCNネイティブ・ポッド・ネットワーキング・ワーカーのロード・バランサ・サブネットの作成」にプライベートなservice-lbサブネットを作成する手順を参照してください。

• ルート・ルールのないルート表。 このルート表では、VCN内でのみアクセスが許可されます。

• (オプション)ローカル・ピアリング・ゲートウェイ(LPG)。 LPGを使用して、他のVCNsからのアクセスを許可します。 LPGでは、別のVCNで実行されているインスタンスからクラスタにアクセスできます。 OKE VCNにLPGを作成し、Private Cloud Applianceの2番目のVCNにLPGを作成します。 LPG connectコマンドを使用して、2つのLPGをピアリングします。 ピアVCNは異なるテナンシに存在できます。 ピアリングされたVCNsのCIDRは重複できません。 「Oracle Private Cloud Applianceユーザーズ・ガイド」の「ネットワーク」の章の「ローカル・ピアリング・ゲートウェイを介したVCNsの接続」を参照してください。

  LPGとの間でVCNサブネット・トラフィックを制御するルート・ルールと、特定のタイプのトラフィックを許可または拒否するセキュリティ・ルールを作成します。 2番目のVCNに追加するOKE VCNおよび同様のルート表に追加するルート表については、「フランネル・オーバーレイVCNの作成」または「VCNネイティブ・ポッド・ネットワーキングVCNの作成」を参照してください。 宛先としてOKE VCN CIDRを指定して、2番目のVCNに同じルート・ルールを追加します。

  2番目のVCN上のインスタンスにOCI SDKおよびkubectlをインストールし、プライベート・クラスタに接続します。 「Kubernetes構成ファイルの作成」を参照してください。

• (オプション) Dynamic Routing Gateway (DRG)。 DRGを使用して、オンプレミス・ネットワークからのアクセスを有効にします。 DRGでは、OKE VCNとオンプレミス・ネットワークのIPアドレス空間間のトラフィックが許可されます。 OKE VCNコンパートメントにDRGを作成し、そのDRGにOKE VCNをアタッチします。 「Oracle Private Cloud Applianceユーザーズ・ガイド」の「ネットワーク」の章にある「Dynamic Routing Gatewayを使用したオンプレミス・ネットワークへの接続」を参照してください。

  オンプレミス・データ・センター・ネットワークのIPアドレス空間にトラフィックを誘導するルート・ルールを作成します。 OKE VCNに追加するルート表については、「フランネル・オーバーレイVCNの作成」または「VCNネイティブ・ポッド・ネットワーキングVCNの作成」を参照してください。