OKE-Netzwerkressourcen erstellen
Einige Netzwerkressourcen, die von Kubernetes Engine (OKE) auf einem Roving Edge Device verwendet werden, müssen auf bestimmte Weise konfiguriert werden.
Mit den Ressourcendefinitionen in den folgenden Abschnitten wird ein Beispielset für Netzwerkressourcen für Workload-Cluster erstellt. Verwenden Sie diese Konfiguration als Richtlinie, wenn Sie diese Ressourcen erstellen. Sie können die Werte von Eigenschaften wie CIDR-Blöcken und IP-Adressen ändern. Ändern Sie nicht die Werte von Eigenschaften wie das Netzwerkprotokoll, die zustandsbehaftete Einstellung oder die private/öffentliche Einstellung.
Konfigurieren Sie für Subnetze, die zum Erstellen oder Ausführen eines OKE-Clusters verwendet werden (einschließlich Knotenpool, Load Balancer und Podsubnetze), keine benutzerdefinierten DNS-Server in den DHCP-Optionen des Subnetzes. OKE hängt vom Standard-DNS-Resolver für eine zuverlässige Namensauflösung für die erforderlichen Kubernetes- und Plattformservices ab (einschließlich der On-Rack-Registry, mit der Images beim Cluster- und Knoten-Provisioning abgerufen werden). Die Verwendung benutzerdefinierter DHCP-Resolver kann zu Cluster-Provisioning-Fehlern und laufenden Knoten- oder Add-on-Konnektivitätsproblemen führen. Wenn Sie eine benutzerdefinierte Namensauflösung benötigen, verwenden Sie unterstützte OCI-DNS-Funktionen (z.B. privates DNS), ohne die DHCP-DNS-Einstellungen des Subnetzes zu überschreiben.
Informationen zu bestimmten Ports, die für bestimmte Zwecke geöffnet sein müssen, finden Sie unter Workload-Clusternetzwerkports (Flannel-Overlay) und Workload-Clusternetzwerkports (VCN-nativer Pod).
Wenn das Appliance-Administrationsnetzwerk aktiviert ist, bitten Sie Ihren Systemadministrator, zu prüfen, ob das Administrationsnetzwerk und das Data-Center-Netzwerk so konfiguriert sind, dass Traffic von und zu der Cluster Control Plane zulässig ist.
Sie können Netzwerkressourcen für zwei Networkingtypen erstellen:
Unter Öffentliche und private Cluster wird zusammengefasst, welche Netzwerkressourcen Sie zum Erstellen eines öffentlichen Clusters benötigen und welche Netzwerkressourcen Sie zum Erstellen eines privaten Clusters benötigen.
Podnetworking
Im Kubernetes-Networkingmodell wird davon ausgegangen, dass Container (Pods) eindeutige und weiterleitfähige IP-Adressen innerhalb eines Clusters aufweisen. Im Kubernetes-Netzwerkmodell verwenden Pods diese IP-Adressen, um mit anderen Pods auf demselben Knoten in einem Cluster oder auf einem anderen Knoten zu kommunizieren, mit Pods auf anderen Clustern, mit den Control-Plane-Knoten des Clusters, mit anderen Services (wie Speicherservices) und mit dem Internet.
Standardmäßig akzeptieren Pods Traffic aus jeder Quelle. Um die Clustersicherheit zu verbessern, kontrollieren Sie den Zugriff auf und von Pods mit Sicherheitsregeln, die als Teil von Netzwerksicherheitsgruppen (empfohlen) oder Sicherheitslisten definiert sind. Die Sicherheitsregeln gelten für alle Pods in allen Worker-Knoten, die mit dem Podsubnetz verbunden sind, das für einen Knotenpool angegeben ist. Siehe Traffic mit Netzwerksicherheitsgruppen kontrollieren und Traffic mit Sicherheitslisten kontrollieren.