Note:

Este tutorial requiere acceso a Oracle Cloud. Para registrarse en una cuenta gratuita, consulte Introducción a la capa gratuita de Oracle Cloud Infrastructure.
Utiliza valores de ejemplo para credenciales, arrendamiento y compartimentos de Oracle Cloud Infrastructure. Al completar el laboratorio, sustituya estos valores por otros específicos de su entorno en la nube.

Uso de Cilium para proporcionar servicios de redes en Oracle Cloud Infrastructure Container Engine for Kubernetes

Introducción

Cuando desplegamos un nuevo cluster de Kubernetes mediante Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE), el plugin de la interfaz de red de contenedores (CNI) por defecto instalado es el plugin de CNI nativo de VCN de OCI. Con la computación nativa en la nube, usted es flexible para elegir su método de proporcionar servicios de red (seguridad) a su plataforma de contenedores simplemente eligiendo otro plugin CNI. En este tutorial, vamos a desplegar un nuevo cluster de Kubernetes con OKE con el plugin Flannel CNI y cambiarlo al plugin Cilium CNI. Cilium ofrece otras funciones de red (seguridad) en comparación con el plugin de CNI nativo de VCN y Flannel de OCI.

Objetivos

Despliegue un nuevo cluster de Kubernetes en la plataforma Oracle Cloud Infrastructure Container Engine for Kubernetes mediante el método de creación personalizado. Durante este despliegue, seleccionaremos el plugin CNI de Flannel y luego desplegaremos el plugin CNI de Cilium y eliminaremos el plugin CNI de Flannel para que Cilium sea el plugin CNI principal para servicios de red (seguridad) para nuestras aplicaciones nativas en la nube y usemos el plugin CNI de Cilium para implementar y probar un servicio NetworkPolicy y LoadBalancer.

Tarea 1: Despliegue de un cluster de Kubernetes con OKE

Para obtener más información sobre los diferentes modelos de despliegue de OKE, consulte Configuraciones de recursos de red de ejemplo.

Los modelos de despliegue de OKE de ejemplo son:

Ejemplo 1: Cluster con plugin CNI de franela, punto final de API de Kubernetes público, nodos de trabajador privados y equilibradores de carga públicos.
Ejemplo 2: Cluster con plugin CNI de franela, punto final de API de Kubernetes privado, nodos de trabajador privados y equilibradores de carga públicos.
Ejemplo 3: Cluster con plugin OCI CNI, punto final de API de Kubernetes público, nodos de trabajador privados y equilibradores de carga públicos.
Ejemplo 4: Cluster con plugin OCI CNI, punto final de API de Kubernetes privado, nodos de trabajador privados y equilibradores de carga públicos.

Para este tutorial, seleccionaremos el modelo de despliegue del ejemplo 1. Ya hemos explicado cómo desplegar el Ejemplo 3 aquí: Creación de un nuevo cluster de Kubernetes y verificación de los componentes.

Haga clic en el menú de hamburguesa.
1. Haga clic en Servicios para desarrolladores.
2. Haga clic en Clusters de Kubernetes (OKE).
Haga clic en Crear cluster.
1. Seleccione Creación personalizada.
2. Haga clic en Ejecutar.
Introduzca la siguiente información.
1. Introduzca un nombre del cluster.
2. Seleccione un compartimento.
3. Seleccione la versión de Kubernetes.
4. Haga clic en Siguiente.
En Configuración de red, introduzca la siguiente información.
1. Seleccione Superposición de franela como Tipo de red.
2. Seleccione la VCN que desea utilizar para desplegar el nuevo cluster de Kubernetes. Para crear una VCN, consulte Creación de una VCN nueva.
3. Seleccione una subred dentro de la VCN que ha seleccionado para proporcionar direcciones IP a los servicios de Kubernetes. Para crear una subred, consulte Creación de una subred privada dentro de la VCN.
4. Seleccione una subred dentro de la VCN que ha seleccionado para proporcionar direcciones IP a los puntos finales de API de Kubernetes.
5. Seleccione Asignar una dirección IP pública al punto final de API.
6. Haga clic en Siguiente.
En Pool de nodos (nodos de trabajador), introduzca la siguiente información. Podemos seleccionar diferentes configuraciones, pero vamos a tratar de mantener la misma.
1. Seleccione un compartimento.
2. Seleccione la versión de Kubernetes.
3. Seleccione un dominio de disponibilidad.
4. Seleccione una subred dentro de la VCN que ha seleccionado para proporcionar direcciones IP a los nodos de trabajador de Kubernetes.
5. Seleccione los dominios de errores que desea utilizar para colocar los nodos de trabajador.
6. Haga clic en Siguiente.
1. Revise la información de Network.
2. Desplazar hacia abajo.
1. Revise la información de Cluster.
2. Desplazar hacia abajo.
1. Revise la información de agrupaciones de nodos.
2. Desplazar hacia abajo.
1. No seleccione Crear un cluster básico.
2. Haga clic en Crear cluster.
1. Revise el estado de los distintos componentes.
2. Haga clic en Cerrar.
Revise que el estado sea CREATING (Creando).
1. Verifique que el estado sea ACTIVE.
2. Desplazar hacia abajo.
1. Haga clic en Pools de nodos.
2. Observe que el nodo de trabajador del pool aún está creando.
1. Observe que el nodo de trabajador del pool está activo.
2. Haga clic en el nombre del pool de nodos.
Desplazar hacia abajo.
Observe que todos los nodos están Listo y Activo.

En el siguiente diagrama se puede encontrar una representación visual de este despliegue.
Vaya a Servicios para desarrolladores y Clusters de Kubernetes (OKE). Haga clic en el cluster de Kubernetes recién desplegado.
Haga clic en Acceder al cluster.
1. Seleccione Acceso a Cloud Shell.
2. Haga clic en Copiar para copiar el comando y permitir el acceso al cluster de Kubernetes.
3. Haga clic en Iniciar Cloud Shell.
Ahora se iniciará Cloud Shell. Alguna información se mostrará en segundo plano.
1. Observe que tiene acceso a Cloud Shell.
2. Haga clic en el icono de maximizar para ampliar la ventana de Cloud Shell.

Pegue el comando que se copió.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ oci ce cluster create-kubeconfig --cluster-id ocid1.cluster.oc1.eu-amsterdam-1.aaaaaaaaXXX --file $HOME/.kube/config --region eu-amsterdam-1 --token-version 2.0.0  --kube-endpoint PUBLIC_ENDPOINT
Existing Kubeconfig file found at /home/iwan_hooge/.kube/config and new config merged into it

Ejecute el siguiente comando para obtener la información sobre los nodos de trabajador.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get nodes
NAME          STATUS   ROLES   AGE   VERSION
10.0.10.132   Ready    node    11m   v1.28.2
10.0.10.178   Ready    node    12m   v1.28.2
10.0.10.79    Ready    node    12m   v1.28.2

Revise los nodos de trabajador desplegados.

Tarea 2: Instalación de Cilium como plugin CNI en el cluster de Kubernetes desplegado de OKE

Verifique el plugin CNI (Flannel) desplegado actualmente.

Ejecute el siguiente comando.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get all -n kube-system 
NAME                                      READY   STATUS    RESTARTS      AGE
pod/coredns-69c9994dbb-6b8tk              1/1     Running   0             12m
pod/coredns-69c9994dbb-qxq5j              1/1     Running   0             12m
pod/coredns-69c9994dbb-xdnfc              1/1     Running   0             16m
pod/csi-oci-node-h57qv                    1/1     Running   1 (12m ago)   14m
pod/csi-oci-node-nfrnw                    1/1     Running   0             14m
pod/csi-oci-node-pjqwk                    1/1     Running   0             15m
pod/kube-dns-autoscaler-d8d55cddd-pbfql   1/1     Running   0             16m
pod/kube-flannel-ds-9tc92                 1/1     Running   1 (13m ago)   14m
pod/kube-flannel-ds-b8dch                 1/1     Running   1 (12m ago)   14m
pod/kube-flannel-ds-lbvw9                 1/1     Running   0             15m
pod/kube-proxy-2stzh                      1/1     Running   0             15m
pod/kube-proxy-8t6j4                      1/1     Running   0             14m
pod/kube-proxy-jxx6c                      1/1     Running   0             14m
pod/proxymux-client-cmmxv                 1/1     Running   0             15m
pod/proxymux-client-kk9bh                 1/1     Running   0             14m
pod/proxymux-client-mn4k9                 1/1     Running   0             14m

NAME               TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)                  AGE
service/kube-dns   ClusterIP   10.96.5.5    <none>        53/UDP,53/TCP,9153/TCP   16m

NAME                                      DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR                                 AGE
daemonset.apps/csi-oci-node               3         3         3       3            3           <none>                                        16m
daemonset.apps/kube-flannel-ds            3         3         3       3            3           <none>                                        16m
daemonset.apps/kube-proxy                 3         3         3       3            3           beta.kubernetes.io/os=linux                   16m
daemonset.apps/node-termination-handler   0         0         0       0            0           oci.oraclecloud.com/oke-is-preemptible=true   16m
daemonset.apps/nvidia-gpu-device-plugin   0         0         0       0            0           <none>                                        16m
daemonset.apps/proxymux-client            3         3         3       3            3           node.info.ds_proxymux_client=true             16m

NAME                                  READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/coredns               3/3     3            3           16m
deployment.apps/kube-dns-autoscaler   1/1     1            1           16m

NAME                                            DESIRED   CURRENT   READY   AGE
replicaset.apps/coredns-69c9994dbb              3         3         3       16m
replicaset.apps/kube-dns-autoscaler-d8d55cddd   1         1         1       16m
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Observe que el plugin Flannel CNI está desplegado como un pod.
Observe que el plugin CNI de Flannel está desplegado como servicio.

Se trata de una representación visual de los nodos de trabajador de Kubernetes con el plugin CNI de Flannel instalado.

Agregue el repositorio de Cilium.

Ejecute el siguiente comando para agregar el repositorio de Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ helm repo add cilium https://helm.cilium.io/
WARNING: Kubernetes configuration file is group-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
WARNING: Kubernetes configuration file is world-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
"cilium" has been added to your repositories

Ejecute el siguiente comando para generar el archivo YAML de despliegue de cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ helm show values cilium/cilium > cilium.yaml
WARNING: Kubernetes configuration file is group-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
WARNING: Kubernetes configuration file is world-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Confirme que el archivo YAML de Cilium está presente mediante el siguiente comando.
1. Ejecute el siguiente comando.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ls 
cilium.yaml  ssh-key-2024-02-14.key
```
2. Confirme que el archivo YAML está presente.
3. Ejecute el siguiente comando para editar el archivo YAML con el editor nano.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ nano cilium.yaml 
```

El archivo YAML es un archivo grande con mucha configuración, desplácese por el archivo para buscar la siguiente configuración y actualícelo.

containerRuntime:
integration: crio
hubble:
tls:
    enabled: false
hubble:
relay:
    enabled: true
hubble:
ui:
    enabled: true
ipam:
mode: "kubernetes"
clustermesh:
useAPIServer: true

Utilice el acceso directo CTRL + W para buscar una palabra clave, una configuración o una sección.
1. Localice la sección de tiempo de ejecución del contenedor.
2. Cambie el tipo de integración.
1. En la sección Configuración de TLS para Hubble.
2. Desactivar TLS.
1. En la sección relay.
2. Activar retransmisión.
1. En la sección *ui.
2. Active la interfaz de usuario.
1. En la sección ipam.
2. Defina el modo en kubernetes.
1. En la sección clustermesh.
2. Defina useAPIServer en true.
3. Utilice el acceso directo CTRL + X para salir del editor nano.
Introduzca Y (sí) para guardar el archivo YAML.
Mantenga el nombre de archivo YAML por defecto.
Cuando se haya guardado el archivo, volverá al terminal.

Instale Cilium.

Ejecute el siguiente comando para instalar Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ helm install cilium cilium/cilium --namespace=kube-system -f cilium.yaml
WARNING: Kubernetes configuration file is group-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
WARNING: Kubernetes configuration file is world-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
NAME: cilium
LAST DEPLOYED: Thu Mar 21 10:31:04 2024
NAMESPACE: kube-system
STATUS: deployed
REVISION: 1
TEST SUITE: None
NOTES:
You have successfully installed Cilium with Hubble Relay and Hubble UI.

Your release version is 1.15.2.

For any further help, visit https://docs.cilium.io/en/v1.15/gettinghelp
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Observe el mensaje que indica que Cilium se ha instalado correctamente.

Para ejecutar comandos de Cilium, descargue la interfaz de línea de comandos (CLI) de Cilium mediante los siguientes comandos.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ CILIUM_CLI_VERSION=$(curl -s https://raw.githubusercontent.com/cilium/cilium-cli/master/stable.txt)

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ CLI_ARCH=amd64

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ if [ "$(uname -m)" = "aarch64" ]; then CLI_ARCH=arm64; fi

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ curl -L --fail --remote-name-all https://github.com/cilium/cilium-cli/releases/download/${CILIUM_CLI_VERSION}/cilium-linux-${CLI_ARCH}.tar.gz{,.sha256sum}
% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                Dload  Upload   Total   Spent    Left  Speed
0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
100 37.5M  100 37.5M    0     0  28.7M      0  0:00:01  0:00:01 --:--:-- 53.3M
% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                Dload  Upload   Total   Spent    Left  Speed
0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
100    92  100    92    0     0    128      0 --:--:-- --:--:-- --:--:--     0
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ sha256sum --check cilium-linux-${CLI_ARCH}.tar.gz.sha256sum
cilium-linux-arm64.tar.gz: OK

Ejecute el siguiente comando para descomprimir la aplicación Cilium CLI.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ sudo tar xzvf cilium-linux-${CLI_ARCH}.tar.gz

Para confirmar que el archivo CLI de Cilium está presente, ejecute el siguiente comando.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ls -l
total 138060
-rw-r--r--. 1 iwan_hooge oci 101843096 Mar 18 17:19 cilium
-rw-r--r--. 1 iwan_hooge oci  39388621 Mar 21 10:38 cilium-linux-arm64.tar.gz
-rw-r--r--. 1 iwan_hooge oci        92 Mar 21 10:38 cilium-linux-arm64.tar.gz.sha256sum
-rw-r--r--. 1 iwan_hooge oci    126806 Mar 21 10:29 cilium.yaml
-rw-------. 1 iwan_hooge oci      1671 Feb 14 10:07 ssh-key-2024-02-14.key
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$

Después de una compresión correcta, observe un archivo denominado cillium en la lista.

Ejecute el siguiente comando para eliminar el archivo comprimido descargado.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ rm cilium-linux-${CLI_ARCH}.tar.gz{,.sha256sum}

Use la CLI de Cilium.

Ejecute el siguiente comando para que el archivo CLI de Cilium sea ejecutable.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ chmod 777 cilium
```

Ejecute el siguiente comando para comprobar el estado del cluster de Kubernetes con Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./cilium status
    /¯¯\
/¯¯\__/¯¯\    Cilium:             OK
\__/¯¯\__/    Operator:           OK
/¯¯\__/¯¯\    Envoy DaemonSet:    disabled (using embedded mode)
\__/¯¯\__/    Hubble Relay:       1 errors
    \__/       ClusterMesh:        OK

Deployment             clustermesh-apiserver    Desired: 1, Ready: 1/1, Available: 1/1
Deployment             cilium-operator          Desired: 2, Ready: 2/2, Available: 2/2
Deployment             hubble-ui                Desired: 1, Unavailable: 1/1
Deployment             hubble-relay             Desired: 1, Unavailable: 1/1
DaemonSet              cilium                   Desired: 3, Ready: 3/3, Available: 3/3
Containers:            cilium                   Running: 3
                    cilium-operator          Running: 2
                    hubble-ui                Running: 1
                    clustermesh-apiserver    Running: 1
                    hubble-relay             Running: 1
Cluster Pods:          3/7 managed by Cilium
Helm chart version:    1.15.2
Image versions         cilium                   quay.io/cilium/cilium:v1.15.2@sha256:bfeb3f1034282444ae8c498dca94044df2b9c9c8e7ac678e0b43c849f0b31746: 3
                    cilium-operator          quay.io/cilium/operator-generic:v1.15.2@sha256:4dd8f67630f45fcaf58145eb81780b677ef62d57632d7e4442905ad3226a9088: 2
                    hubble-ui                quay.io/cilium/hubble-ui:v0.13.0@sha256:7d663dc16538dd6e29061abd1047013a645e6e69c115e008bee9ea9fef9a6666: 1
                    hubble-ui                quay.io/cilium/hubble-ui-backend:v0.13.0@sha256:1e7657d997c5a48253bb8dc91ecee75b63018d16ff5e5797e5af367336bc8803: 1
                    clustermesh-apiserver    quay.io/cilium/clustermesh-apiserver:v1.15.2@sha256:478c77371f34d6fe5251427ff90c3912567c69b2bdc87d72377e42a42054f1c2: 2
                    hubble-relay             quay.io/cilium/hubble-relay:v1.15.2@sha256:48480053930e884adaeb4141259ff1893a22eb59707906c6d38de2fe01916cb0: 1
Errors:                hubble-ui                hubble-ui       1 pods of Deployment hubble-ui are not ready
                    hubble-relay             hubble-relay    1 pods of Deployment hubble-relay are not ready
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Nota: Obtendrá algunos errores porque Cilium aún no gestiona algunos pods cuando este comenzó antes de que se ejecutara Cilium.

Este error está relacionado con ClusterMesh.
Este error está relacionado con Interfaz de usuario de burbuja y Retransmisión de burbuja.
Tenga en cuenta que Cilium no gestiona todos los pods de cluster. Solo 3/7 pods son administrados por Cilium. Tenemos que asegurarnos de que todos ellos sean gestionados por Cilium.
Observe algunos mensajes de error adicionales relacionados con los errores anteriores.

Compruebe y asigne los pods que actualmente no están gestionados por Cilium. Cilium proporciona un script para ayudarle a identificarlos.

Ejecute el siguiente comando para descargar el script.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ curl -sLO https://raw.githubusercontent.com/cilium/cilium/master/contrib/k8s/k8s-unmanaged.sh

Ejecute el siguiente comando para que se pueda ejecutar esta secuencia de comandos.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ chmod +x k8s-unmanaged.sh
```

Ejecute el siguiente comando para ejecutar este script y detectar pods que necesitan atención adicional.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./k8s-unmanaged.sh
Skipping pods with host networking enabled or with status not in Running or Pending phase...
kube-system/clustermesh-apiserver-664b6c9c84-p49tr
kube-system/hubble-relay-58d6b4cc94-kdwl4
kube-system/hubble-ui-6548d56557-w9s6t
kube-system/kube-dns-autoscaler-d8d55cddd-pbfql
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Observe que los pods que necesitan atención.

Ejecute el siguiente comando para suprimir los pods que necesitan atención.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl -n kube-system delete pod clustermesh-apiserver-664b6c9c84-p49tr hubble-relay-58d6b4cc94-kdwl4 hubble-ui-6548d56557-w9s6t kube-dns-autoscaler-d8d55cddd-pbfql
pod "clustermesh-apiserver-664b6c9c84-p49tr" deleted
pod "hubble-relay-58d6b4cc94-kdwl4" deleted
pod "hubble-ui-6548d56557-w9s6t" deleted
pod "kube-dns-autoscaler-d8d55cddd-pbfql" deleted
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Confirmación de los pods suprimidos.

Ejecute el siguiente comando para ejecutar este script y detectar pods que necesitan atención adicional de nuevo.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./k8s-unmanaged.sh
Skipping pods with host networking enabled or with status not in Running or Pending phase...
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Observe que ya no hay pods que necesiten atención, lo que significa que los pods ahora se vuelven a crear con la red de Cilium activada.

Compruebe el estado del cluster de Kubernetes con Cilium.

Ejecute el siguiente comando para comprobar el estado del cluster de Kubernetes con Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./cilium status
    /¯¯\
/¯¯\__/¯¯\    Cilium:             OK
\__/¯¯\__/    Operator:           OK
/¯¯\__/¯¯\    Envoy DaemonSet:    disabled (using embedded mode)
\__/¯¯\__/    Hubble Relay:       OK
    \__/       ClusterMesh:        OK

Deployment             hubble-ui                Desired: 1, Ready: 1/1, Available: 1/1
Deployment             cilium-operator          Desired: 2, Ready: 2/2, Available: 2/2
Deployment             clustermesh-apiserver    Desired: 1, Ready: 1/1, Available: 1/1
DaemonSet              cilium                   Desired: 3, Ready: 3/3, Available: 3/3
Deployment             hubble-relay             Desired: 1, Ready: 1/1, Available: 1/1
Containers:            cilium                   Running: 3
                    hubble-ui                Running: 1
                    hubble-relay             Running: 1
                    cilium-operator          Running: 2
                    clustermesh-apiserver    Running: 1
Cluster Pods:          7/7 managed by Cilium
Helm chart version:    1.15.2
Image versions         hubble-ui                quay.io/cilium/hubble-ui:v0.13.0@sha256:7d663dc16538dd6e29061abd1047013a645e6e69c115e008bee9ea9fef9a6666: 1
                    hubble-ui                quay.io/cilium/hubble-ui-backend:v0.13.0@sha256:1e7657d997c5a48253bb8dc91ecee75b63018d16ff5e5797e5af367336bc8803: 1
                    hubble-relay             quay.io/cilium/hubble-relay:v1.15.2@sha256:48480053930e884adaeb4141259ff1893a22eb59707906c6d38de2fe01916cb0: 1
                    cilium-operator          quay.io/cilium/operator-generic:v1.15.2@sha256:4dd8f67630f45fcaf58145eb81780b677ef62d57632d7e4442905ad3226a9088: 2
                    clustermesh-apiserver    quay.io/cilium/clustermesh-apiserver:v1.15.2@sha256:478c77371f34d6fe5251427ff90c3912567c69b2bdc87d72377e42a42054f1c2: 2
                    cilium                   quay.io/cilium/cilium:v1.15.2@sha256:bfeb3f1034282444ae8c498dca94044df2b9c9c8e7ac678e0b43c849f0b31746: 3
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$       

Observe que Cilium gestiona todos los pods de cluster.

Verifique los plugins CNI desplegados actualmente.

Ejecute el siguiente comando para verificar los plugins CNI desplegados actualmente (Flannel y Cilium).

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get all -n kube-system 
NAME                                         READY   STATUS    RESTARTS      AGE
pod/cilium-operator-5995454695-8c6m4         1/1     Running   0             33m
pod/cilium-operator-5995454695-s28sl         1/1     Running   0             33m
pod/cilium-v8phg                             1/1     Running   0             33m
pod/cilium-vnfng                             1/1     Running   0             33m
pod/cilium-w8qq9                             1/1     Running   0             33m
pod/clustermesh-apiserver-664b6c9c84-4gvrp   1/2     Error     1 (77s ago)   2m29s
pod/coredns-69c9994dbb-c2v77                 1/1     Running   0             33m
pod/coredns-69c9994dbb-kjdxp                 1/1     Running   0             33m
pod/coredns-69c9994dbb-sqv8t                 1/1     Running   0             32m
pod/csi-oci-node-h57qv                       1/1     Running   1 (22h ago)   22h
pod/csi-oci-node-nfrnw                       1/1     Running   0             22h
pod/csi-oci-node-pjqwk                       1/1     Running   0             22h
pod/hubble-relay-58d6b4cc94-lrjls            1/1     Running   0             2m29s
pod/hubble-ui-6548d56557-hnt2d               2/2     Running   0             2m29s
pod/kube-dns-autoscaler-d8d55cddd-n5zv5      1/1     Running   0             2m29s
pod/kube-flannel-ds-9tc92                    1/1     Running   1 (22h ago)   22h
pod/kube-flannel-ds-b8dch                    1/1     Running   1 (22h ago)   22h
pod/kube-flannel-ds-lbvw9                    1/1     Running   0             22h
pod/kube-proxy-2stzh                         1/1     Running   0             22h
pod/kube-proxy-8t6j4                         1/1     Running   0             22h
pod/kube-proxy-jxx6c                         1/1     Running   0             22h
pod/proxymux-client-cmmxv                    1/1     Running   0             22h
pod/proxymux-client-kk9bh                    1/1     Running   0             22h
pod/proxymux-client-mn4k9                    1/1     Running   0             22h

NAME                                    TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)                  AGE
service/clustermesh-apiserver           NodePort    10.96.181.249   <none>        2379:32379/TCP           33m
service/clustermesh-apiserver-metrics   ClusterIP   None            <none>        9962/TCP,9963/TCP        33m
service/hubble-peer                     ClusterIP   10.96.249.93    <none>        80/TCP                   33m
service/hubble-relay                    ClusterIP   10.96.172.180   <none>        80/TCP                   33m
service/hubble-ui                       ClusterIP   10.96.119.250   <none>        80/TCP                   33m
service/kube-dns                        ClusterIP   10.96.5.5       <none>        53/UDP,53/TCP,9153/TCP   22h

NAME                                      DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR                                 AGE
daemonset.apps/cilium                     3         3         3       3            3           kubernetes.io/os=linux                        33m
daemonset.apps/csi-oci-node               3         3         3       3            3           <none>                                        22h
daemonset.apps/kube-flannel-ds            3         3         3       3            3           <none>                                        22h
daemonset.apps/kube-proxy                 3         3         3       3            3           beta.kubernetes.io/os=linux                   22h
daemonset.apps/node-termination-handler   0         0         0       0            0           oci.oraclecloud.com/oke-is-preemptible=true   22h
daemonset.apps/nvidia-gpu-device-plugin   0         0         0       0            0           <none>                                        22h
daemonset.apps/proxymux-client            3         3         3       3            3           node.info.ds_proxymux_client=true             22h

NAME                                    READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/cilium-operator         2/2     2            2           33m
deployment.apps/clustermesh-apiserver   0/1     1            0           33m
deployment.apps/coredns                 3/3     3            3           22h
deployment.apps/hubble-relay            1/1     1            1           33m
deployment.apps/hubble-ui               1/1     1            1           33m
deployment.apps/kube-dns-autoscaler     1/1     1            1           22h

NAME                                               DESIRED   CURRENT   READY   AGE
replicaset.apps/cilium-operator-5995454695         2         2         2       33m
replicaset.apps/clustermesh-apiserver-664b6c9c84   1         1         0       33m
replicaset.apps/coredns-69c9994dbb                 3         3         3       22h
replicaset.apps/hubble-relay-58d6b4cc94            1         1         1       33m
replicaset.apps/hubble-ui-6548d56557               1         1         1       33m
replicaset.apps/kube-dns-autoscaler-d8d55cddd      1         1         1       22h
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Tenga en cuenta que el plugin Cilium CNI está presente.
Observe que el plugin Flannel CNI también está presente.

Esta es una representación visual de los nodos de trabajador de Kubernetes con el plugin CNI de Flannel y Cilium instalado.

Suprima el plugin CNI de franela.
1. Ejecute el siguiente comando para suprimir el plugin CNI de franela.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete -n kube-system daemonset kube-flannel-ds
daemonset.apps "kube-flannel-ds" deleted
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 
```
2. Observe el mensaje que indica que el plugin CNI de Flannel se ha suprimido correctamente.

Verifique los plugins CNI desplegados actualmente.

Ejecute el siguiente comando para verificar los plugins CNI (Cilium) desplegados actualmente.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get all -n kube-system 
NAME                                         READY   STATUS    RESTARTS      AGE
pod/cilium-operator-5995454695-8c6m4         1/1     Running   0             35m
pod/cilium-operator-5995454695-s28sl         1/1     Running   0             35m
pod/cilium-v8phg                             1/1     Running   0             35m
pod/cilium-vnfng                             1/1     Running   0             35m
pod/cilium-w8qq9                             1/1     Running   0             35m
pod/clustermesh-apiserver-664b6c9c84-4gvrp   2/2     Running   3 (50s ago)   4m28s
pod/coredns-69c9994dbb-c2v77                 1/1     Running   0             35m
pod/coredns-69c9994dbb-kjdxp                 1/1     Running   0             35m
pod/coredns-69c9994dbb-sqv8t                 1/1     Running   0             34m
pod/csi-oci-node-h57qv                       1/1     Running   1 (22h ago)   22h
pod/csi-oci-node-nfrnw                       1/1     Running   0             22h
pod/csi-oci-node-pjqwk                       1/1     Running   0             22h
pod/hubble-relay-58d6b4cc94-lrjls            1/1     Running   0             4m28s
pod/hubble-ui-6548d56557-hnt2d               2/2     Running   0             4m28s
pod/kube-dns-autoscaler-d8d55cddd-n5zv5      1/1     Running   0             4m28s
pod/kube-proxy-2stzh                         1/1     Running   0             22h
pod/kube-proxy-8t6j4                         1/1     Running   0             22h
pod/kube-proxy-jxx6c                         1/1     Running   0             22h
pod/proxymux-client-cmmxv                    1/1     Running   0             22h
pod/proxymux-client-kk9bh                    1/1     Running   0             22h
pod/proxymux-client-mn4k9                    1/1     Running   0             22h

NAME                                    TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)                  AGE
service/clustermesh-apiserver           NodePort    10.96.181.249   <none>        2379:32379/TCP           35m
service/clustermesh-apiserver-metrics   ClusterIP   None            <none>        9962/TCP,9963/TCP        35m
service/hubble-peer                     ClusterIP   10.96.249.93    <none>        80/TCP                   35m
service/hubble-relay                    ClusterIP   10.96.172.180   <none>        80/TCP                   35m
service/hubble-ui                       ClusterIP   10.96.119.250   <none>        80/TCP                   35m
service/kube-dns                        ClusterIP   10.96.5.5       <none>        53/UDP,53/TCP,9153/TCP   22h

NAME                                      DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR                                 AGE
daemonset.apps/cilium                     3         3         3       3            3           kubernetes.io/os=linux                        35m
daemonset.apps/csi-oci-node               3         3         3       3            3           <none>                                        22h
daemonset.apps/kube-proxy                 3         3         3       3            3           beta.kubernetes.io/os=linux                   22h
daemonset.apps/node-termination-handler   0         0         0       0            0           oci.oraclecloud.com/oke-is-preemptible=true   22h
daemonset.apps/nvidia-gpu-device-plugin   0         0         0       0            0           <none>                                        22h
daemonset.apps/proxymux-client            3         3         3       3            3           node.info.ds_proxymux_client=true             22h

NAME                                    READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/cilium-operator         2/2     2            2           35m
deployment.apps/clustermesh-apiserver   1/1     1            1           35m
deployment.apps/coredns                 3/3     3            3           22h
deployment.apps/hubble-relay            1/1     1            1           35m
deployment.apps/hubble-ui               1/1     1            1           35m
deployment.apps/kube-dns-autoscaler     1/1     1            1           22h

NAME                                               DESIRED   CURRENT   READY   AGE
replicaset.apps/cilium-operator-5995454695         2         2         2       35m
replicaset.apps/clustermesh-apiserver-664b6c9c84   1         1         1       35m
replicaset.apps/coredns-69c9994dbb                 3         3         3       22h
replicaset.apps/hubble-relay-58d6b4cc94            1         1         1       35m
replicaset.apps/hubble-ui-6548d56557               1         1         1       35m
replicaset.apps/kube-dns-autoscaler-d8d55cddd      1         1         1       22h
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Observe que el plugin Cilium CNI está presente y el plugin Flannel CNI se ha eliminado.

Se trata de una representación visual de los nodos de trabajador de Kubernetes con el plugin CNI de Cilium instalado.

Comando adicional que se puede utilizar para verificar dónde está instalado Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl -n kube-system get pods -l k8s-app=cilium
NAME           READY   STATUS    RESTARTS   AGE
cilium-v8phg   1/1     Running   0          22h
cilium-vnfng   1/1     Running   0          22h
cilium-w8qq9   1/1     Running   0          22h
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Compruebe el estado del cluster de Kubernetes con Cilium.

Ejecute el siguiente comando para comprobar el estado del cluster de Kubernetes con Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./cilium status
    /¯¯\
/¯¯\__/¯¯\    Cilium:             OK
\__/¯¯\__/    Operator:           OK
/¯¯\__/¯¯\    Envoy DaemonSet:    disabled (using embedded mode)
\__/¯¯\__/    Hubble Relay:       OK
    \__/       ClusterMesh:        OK

Deployment             clustermesh-apiserver    Desired: 1, Ready: 1/1, Available: 1/1
Deployment             cilium-operator          Desired: 2, Ready: 2/2, Available: 2/2
Deployment             hubble-ui                Desired: 1, Ready: 1/1, Available: 1/1
Deployment             hubble-relay             Desired: 1, Ready: 1/1, Available: 1/1
DaemonSet              cilium                   Desired: 3, Ready: 3/3, Available: 3/3
Containers:            cilium                   Running: 3
                    cilium-operator          Running: 2
                    hubble-ui                Running: 1
                    clustermesh-apiserver    Running: 1
                    hubble-relay             Running: 1
Cluster Pods:          7/7 managed by Cilium
Helm chart version:    1.15.2
Image versions         cilium                   quay.io/cilium/cilium:v1.15.2@sha256:bfeb3f1034282444ae8c498dca94044df2b9c9c8e7ac678e0b43c849f0b31746: 3
                    cilium-operator          quay.io/cilium/operator-generic:v1.15.2@sha256:4dd8f67630f45fcaf58145eb81780b677ef62d57632d7e4442905ad3226a9088: 2
                    hubble-ui                quay.io/cilium/hubble-ui:v0.13.0@sha256:7d663dc16538dd6e29061abd1047013a645e6e69c115e008bee9ea9fef9a6666: 1
                    hubble-ui                quay.io/cilium/hubble-ui-backend:v0.13.0@sha256:1e7657d997c5a48253bb8dc91ecee75b63018d16ff5e5797e5af367336bc8803: 1
                    clustermesh-apiserver    quay.io/cilium/clustermesh-apiserver:v1.15.2@sha256:478c77371f34d6fe5251427ff90c3912567c69b2bdc87d72377e42a42054f1c2: 2
                    hubble-relay             quay.io/cilium/hubble-relay:v1.15.2@sha256:48480053930e884adaeb4141259ff1893a22eb59707906c6d38de2fe01916cb0: 1
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Observe que Cilium gestiona todos los pods de cluster.

Cilium tiene una prueba de conectividad integrada que es capaz de probar redes dentro del cluster de Kubernetes. Ejecute el siguiente comando para realizar las pruebas de conectividad de Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./cilium connectivity test
ℹ️  Monitor aggregation detected, will skip some flow validation steps
✨ [cluster-c6e7ypjgkyq] Creating namespace cilium-test for connectivity check...
✨ [cluster-c6e7ypjgkyq] Deploying echo-same-node service...
✨ [cluster-c6e7ypjgkyq] Deploying DNS test server configmap...
✨ [cluster-c6e7ypjgkyq] Deploying same-node deployment...
✨ [cluster-c6e7ypjgkyq] Deploying client deployment...
✨ [cluster-c6e7ypjgkyq] Deploying client2 deployment...
✨ [cluster-c6e7ypjgkyq] Deploying client3 deployment...
✨ [cluster-c6e7ypjgkyq] Deploying echo-other-node service...
✨ [cluster-c6e7ypjgkyq] Deploying other-node deployment...
✨ [host-netns] Deploying cluster-c6e7ypjgkyq daemonset...
✨ [host-netns-non-cilium] Deploying cluster-c6e7ypjgkyq daemonset...
ℹ️  Skipping tests that require a node Without Cilium
⌛ [cluster-c6e7ypjgkyq] Waiting for deployment cilium-test/client to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for deployment cilium-test/client2 to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for deployment cilium-test/echo-same-node to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for deployment cilium-test/client3 to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for deployment cilium-test/echo-other-node to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client-69748f45d8-pxzz5 to reach DNS server on cilium-test/echo-same-node-66b5db75b9-hxjws pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client2-56896f78f8-5tzsv to reach DNS server on cilium-test/echo-same-node-66b5db75b9-hxjws pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client3-5f56bc568c-xx8kd to reach DNS server on cilium-test/echo-same-node-66b5db75b9-hxjws pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client3-5f56bc568c-xx8kd to reach DNS server on cilium-test/echo-other-node-d8c5659dc-mhpkk pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client-69748f45d8-pxzz5 to reach DNS server on cilium-test/echo-other-node-d8c5659dc-mhpkk pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client2-56896f78f8-5tzsv to reach DNS server on cilium-test/echo-other-node-d8c5659dc-mhpkk pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client-69748f45d8-pxzz5 to reach default/kubernetes service...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client2-56896f78f8-5tzsv to reach default/kubernetes service...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client3-5f56bc568c-xx8kd to reach default/kubernetes service...
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-other-node to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-other-node to be synchronized by Cilium pod kube-system/cilium-v8phg
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-other-node to be synchronized by Cilium pod kube-system/cilium-vnfng
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-same-node to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-same-node to be synchronized by Cilium pod kube-system/cilium-v8phg
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-same-node to be synchronized by Cilium pod kube-system/cilium-vnfng
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.132:31758 (cilium-test/echo-other-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.132:31787 (cilium-test/echo-same-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.178:31758 (cilium-test/echo-other-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.178:31787 (cilium-test/echo-same-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.79:31758 (cilium-test/echo-other-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.79:31787 (cilium-test/echo-same-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for DaemonSet cilium-test/host-netns-non-cilium to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for DaemonSet cilium-test/host-netns to become ready...
ℹ️  Skipping IPCache check
🔭 Enabling Hubble telescope...
⚠️  Unable to contact Hubble Relay, disabling Hubble telescope and flow validation: rpc error: code = Unavailable desc = connection error: desc = "transport: Error while dialing: dial tcp 127.0.0.1:4245: connect: connection refused"
ℹ️  Expose Relay locally with:
   cilium hubble enable
   cilium hubble port-forward&
ℹ️  Cilium version: 1.15.2
🏃 Running 75 tests ...
[=] Test [no-unexpected-packet-drops] [1/75]
...
[=] Test [no-policies] [2/75]
.........................................................
[=] Skipping Test [no-policies-from-outside] [3/75] (skipped by condition)
[=] Test [no-policies-extra] [4/75]
................................................
[=] Test [allow-all-except-world] [5/75]
....................................
[=] Test [client-ingress] [6/75]
......
[=] Test [client-ingress-knp] [7/75]
......
[=] Test [allow-all-with-metrics-check] [8/75]
......
[=] Test [all-ingress-deny] [9/75]
............
[=] Skipping Test [all-ingress-deny-from-outside] [10/75] (skipped by condition)
[=] Test [all-ingress-deny-knp] [11/75]
............
[=] Test [all-egress-deny] [12/75]
........................
[=] Test [all-egress-deny-knp] [13/75]
........................
[=] Test [all-entities-deny] [14/75]
............
[=] Test [cluster-entity] [15/75]
...
[=] Skipping Test [cluster-entity-multi-cluster] [16/75] (skipped by condition)
[=] Test [host-entity-egress] [17/75]
..................
[=] Test [host-entity-ingress] [18/75]
......
[=] Test [echo-ingress] [19/75]
......
[=] Skipping Test [echo-ingress-from-outside] [20/75] (skipped by condition)
[=] Test [echo-ingress-knp] [21/75]
......
[=] Test [client-ingress-icmp] [22/75]
......
[=] Test [client-egress] [23/75]
......
[=] Test [client-egress-knp] [24/75]
......
[=] Test [client-egress-expression] [25/75]
......
[=] Test [client-egress-expression-knp] [26/75]
......
[=] Test [client-with-service-account-egress-to-echo] [27/75]
......
[=] Test [client-egress-to-echo-service-account] [28/75]
......
[=] Test [to-entities-world] [29/75]
.........
[=] Test [to-cidr-external] [30/75]
......
[=] Test [to-cidr-external-knp] [31/75]
......
[=] Skipping Test [from-cidr-host-netns] [32/75] (skipped by condition)
[=] Test [echo-ingress-from-other-client-deny] [33/75]
..........
[=] Test [client-ingress-from-other-client-icmp-deny] [34/75]
............
[=] Test [client-egress-to-echo-deny] [35/75]
............
[=] Test [client-ingress-to-echo-named-port-deny] [36/75]
....
[=] Test [client-egress-to-echo-expression-deny] [37/75]
....
[=] Test [client-with-service-account-egress-to-echo-deny] [38/75]
....
[=] Test [client-egress-to-echo-service-account-deny] [39/75]
..
[=] Test [client-egress-to-cidr-deny] [40/75]
......
[=] Test [client-egress-to-cidr-deny-default] [41/75]
......
[=] Test [health] [42/75]
...
[=] Skipping Test [north-south-loadbalancing] [43/75] (Feature node-without-cilium is disabled)
[=] Test [pod-to-pod-encryption] [44/75]
.
[=] Test [node-to-node-encryption] [45/75]
...
[=] Skipping Test [egress-gateway] [46/75] (skipped by condition)
[=] Skipping Test [egress-gateway-excluded-cidrs] [47/75] (Feature enable-ipv4-egress-gateway is disabled)
[=] Skipping Test [pod-to-node-cidrpolicy] [48/75] (Feature cidr-match-nodes is disabled)
[=] Skipping Test [north-south-loadbalancing-with-l7-policy] [49/75] (Feature node-without-cilium is disabled)
[=] Test [echo-ingress-l7] [50/75]
..................
[=] Test [echo-ingress-l7-named-port] [51/75]
..................
[=] Test [client-egress-l7-method] [52/75]
..................
[=] Test [client-egress-l7] [53/75]
...............
[=] Test [client-egress-l7-named-port] [54/75]
...............
[=] Skipping Test [client-egress-l7-tls-deny-without-headers] [55/75] (Feature secret-backend-k8s is disabled)
[=] Skipping Test [client-egress-l7-tls-headers] [56/75] (Feature secret-backend-k8s is disabled)
[=] Skipping Test [client-egress-l7-set-header] [57/75] (Feature secret-backend-k8s is disabled)
[=] Skipping Test [echo-ingress-auth-always-fail] [58/75] (Feature mutual-auth-spiffe is disabled)
[=] Skipping Test [echo-ingress-mutual-auth-spiffe] [59/75] (Feature mutual-auth-spiffe is disabled)
[=] Skipping Test [pod-to-ingress-service] [60/75] (Feature ingress-controller is disabled)
[=] Skipping Test [pod-to-ingress-service-deny-all] [61/75] (Feature ingress-controller is disabled)
[=] Skipping Test [pod-to-ingress-service-deny-ingress-identity] [62/75] (Feature ingress-controller is disabled)
[=] Skipping Test [pod-to-ingress-service-deny-backend-service] [63/75] (Feature ingress-controller is disabled)
[=] Skipping Test [pod-to-ingress-service-allow-ingress-identity] [64/75] (Feature ingress-controller is disabled)
[=] Skipping Test [outside-to-ingress-service] [65/75] (Feature ingress-controller is disabled)
[=] Skipping Test [outside-to-ingress-service-deny-world-identity] [66/75] (Feature ingress-controller is disabled)
[=] Skipping Test [outside-to-ingress-service-deny-cidr] [67/75] (Feature ingress-controller is disabled)
[=] Skipping Test [outside-to-ingress-service-deny-all-ingress] [68/75] (Feature ingress-controller is disabled)
[=] Test [dns-only] [69/75]
...............
[=] Test [to-fqdns] [70/75]
............
[=] Skipping Test [pod-to-controlplane-host] [71/75] (skipped by condition)
[=] Skipping Test [pod-to-k8s-on-controlplane] [72/75] (skipped by condition)
[=] Skipping Test [pod-to-controlplane-host-cidr] [73/75] (skipped by condition)
[=] Skipping Test [pod-to-k8s-on-controlplane-cidr] [74/75] (skipped by condition)
[=] Test [check-log-errors] [75/75]
.............................

✅ All 47 tests (555 actions) successful, 28 tests skipped, 1 scenarios skipped.
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Observe que la prueba ha determinado ejecutar 75 pruebas en este caso.
Cuando finalicen las pruebas, se mostrará un resumen.

Tarea 3: Despliegue de una Aplicación Web y un Servicio de Ejemplo

Despliegue una aplicación web y un servicio de ejemplo.
1. Ejecute el siguiente comando para desplegar un servicio y una aplicación web de ejemplo.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl run web --image=nginx --labels="app=web" --expose --port=80
service/web created
pod/web created
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 
```
2. Observe que la aplicación y el servicio se han creado correctamente.

Verifique la aplicación desplegada.

Ejecute el siguiente comando para verificar la aplicación desplegada.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get pods
NAME   READY   STATUS    RESTARTS   AGE
web    1/1     Running   0          56s

Observe que la aplicación web se está ejecutando.

Ejecute el siguiente comando para verificar el servicio desplegado.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get deploy,svc
NAME                 TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)             AGE
service/kubernetes   ClusterIP   10.96.0.1      <none>        443/TCP,12250/TCP   44h
service/web          ClusterIP   10.96.199.73   <none>        80/TCP              74s

Observe que el servicio web se está ejecutando.

Hay varias formas de probar la conectividad a la aplicación, una forma es abrir un navegador y probar si podemos acceder a la página web. pero cuando no tenemos un navegador disponible, podemos hacer otra prueba rápida mediante el despliegue de un pod temporal.

Ejecute el siguiente comando para desplegar un pod de ejemplo para probar la conectividad de la aplicación web.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl run --rm -i -t --image=alpine test-$RANDOM -- sh
If you don't see a command prompt, try pressing enter.
/ # 

Ejecute el siguiente comando para probar la conectividad al servidor web mediante wget.

/ # wget -qO- http://web
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

Observe el código HTML que devuelve el servidor web, confirma que el servidor web y la conectividad están funcionando.

Ejecute el siguiente comando para salir del pod temporal.

/ # exit
Session ended, resume using 'kubectl attach test-8599 -c test-8599 -i -t' command when the pod is running
pod "test-8599" deleted

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$

Observe que el pod se suprime inmediatamente después de salir de la CLI.

Tarea 4: Configuración de servicios de Kubernetes de tipo NetworkPolicy

Uno de los servicios de seguridad de red que ofrece el plugin Cilium CNI es el servicio del tipo NetworkPolicy. Esta es una forma de controlar la conectividad entre pods negando la conectividad entre dos pods.

Ejecute el siguiente comando para abrir el editor nano y crear un nuevo archivo YAML para implantar NetworkPolicy y denegar todo el tráfico de red.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ nano web-deny-all.yaml
```
1. Utilice el siguiente contenido en el archivo YAML.
```
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: web-deny-all
spec:
podSelector:
    matchLabels:
    app: web
ingress: []
```
2. Utilice el acceso directo CTRL + X para salir del editor nano.
Introduzca Y (sí) para guardar el archivo YAML.
Mantenga el nombre de archivo YAML por defecto.

Verifique el archivo YAML.

Ejecute el siguiente comando para verificar el nuevo archivo YAML.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ls -l
total 138068
-rwxrwxrwx. 1 iwan_hooge oci 101843096 Mar 18 17:19 cilium
-rw-r--r--. 1 iwan_hooge oci  39388621 Mar 21 10:38 cilium-linux-arm64.tar.gz
-rw-r--r--. 1 iwan_hooge oci        92 Mar 21 10:38 cilium-linux-arm64.tar.gz.sha256sum
-rw-r--r--. 1 iwan_hooge oci    126806 Mar 21 10:29 cilium.yaml
-rwxr-xr-x. 1 iwan_hooge oci       574 Mar 21 10:58 k8s-unmanaged.sh
-rw-------. 1 iwan_hooge oci      1671 Feb 14 10:07 ssh-key-2024-02-14.key
-rw-r--r--. 1 iwan_hooge oci       151 Mar 22 09:11 web-deny-all.yaml

Observe que el archivo web-deny-all.yaml está presente.

Implante la política de seguridad.

Ejecute el siguiente comando para implementar la política de seguridad.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl apply -f web-deny-all.yaml
networkpolicy.networking.k8s.io/web-deny-all created
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$

Observe que se crea la política de seguridad.

Despliegue un pod de ejemplo para volver a probar la conectividad de la aplicación web después de desplegar NetworkPolicy.
1. Ejecute el siguiente comando para desplegar un pod de ejemplo para probar la conectividad de la aplicación web.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl run --rm -i -t --image=alpine test-$RANDOM -- sh
If you don't see a command prompt, try pressing Enter.
```
2. Ejecute el siguiente comando para probar la conectividad al servidor web mediante wget.
```
/ # wget -qO- --timeout=2 http://web
wget: download timed out
```
3. Observe que la solicitud está sufriendo un timeout.
4. Ejecute el siguiente comando para salir del pod temporal.
```
/ # exit
Session ended, resume using 'kubectl attach test-26867 -c test-26867 -i -t' command when the pod is running
pod "test-26867" deleted
```
Elimine la política de seguridad y vuelva a realizar las pruebas.
1. Ejecute el siguiente comando para suprimir la política de seguridad.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete -f web-deny-all.yaml
```
2. Observe que la política de seguridad se elimina.
3. Ejecute el siguiente comando para desplegar un pod de ejemplo para probar la conectividad de la aplicación web.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl run --rm -i -t --image=alpine test-$RANDOM -- sh
If you don't see a command prompt, try pressing enter.
```
4. Ejecute el siguiente comando para probar la conectividad al servidor web mediante wget.
5. Tenga en cuenta el código HTML que devuelve el servidor web, lo que confirma que el servidor web y la conectividad están funcionando.
6. Ejecute el siguiente comando para salir del pod temporal.
```
/ # exit
Session ended, resume using 'kubectl attach test-26248 -c test-26248 -i -t' command when the pod is running
pod "test-26248" deleted
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 
```
7. Observe que el pod se suprime inmediatamente después de salir de la CLI.

Tarea 5: Eliminación del servicio y la aplicación web de ejemplo

Para eliminar la aplicación web desplegada, ejecute el siguiente comando.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete service web --namespace default
service "web" deleted

Para eliminar el servicio web desplegado, ejecute el siguiente comando.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete pods -l app=web --namespace default
pod "web" deleted

Tarea 6: Despliegue de una aplicación de ejemplo y configuración de servicios de Kubernetes de tipo LoadBalancer

Hemos probado el servicio NetworkPolicy con Cilium, probemos también el servicio LoadBalancer con Cilium.

Despliegue una nueva aplicación y un nuevo servicio de ejemplo.

Ejecute el siguiente comando para desplegar una nueva aplicación de ejemplo.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl apply -f https://k8s.io/examples/application/deployment.yaml 
deployment.apps/nginx-deployment created

Verifique que la aplicación se ha creado correctamente.

Ejecute el siguiente comando para obtener los pods que están desplegados.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get pods
NAME                                READY   STATUS    RESTARTS   AGE
nginx-deployment-86dcfdf4c6-6ncvx   1/1     Running   0          10s
nginx-deployment-86dcfdf4c6-qbhn2   1/1     Running   0          10s

Revise los pods desplegados.

Ejecute el siguiente comando para exponer la aplicación al servicio LoadBalancer.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl expose deployment nginx-deployment --type=LoadBalancer --name=my-service
service/my-service exposed

Verifique que el servicio se ha creado correctamente y que la aplicación se ha expuesto correctamente.

Ejecute el siguiente comando para revisar los servicios expuestos y las direcciones IP.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get svc
NAME         TYPE           CLUSTER-IP    EXTERNAL-IP   PORT(S)             AGE
kubernetes   ClusterIP      10.96.0.1     <none>        443/TCP,12250/TCP   46h
my-service   LoadBalancer   10.96.56.91   <pending>     80:32422/TCP        12s

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get svc
NAME         TYPE           CLUSTER-IP    EXTERNAL-IP   PORT(S)             AGE
kubernetes   ClusterIP      10.96.0.1     <none>        443/TCP,12250/TCP   46h
my-service   LoadBalancer   10.96.56.91   <pending>     80:32422/TCP        23s

Observe que la IP externa está pendiente.

Ejecute el siguiente comando y observe que la dirección IP pública está configurada (termina con .88).

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get svc
NAME         TYPE           CLUSTER-IP    EXTERNAL-IP     PORT(S)             AGE
kubernetes   ClusterIP      10.96.0.1     <none>          443/TCP,12250/TCP   46h
my-service   LoadBalancer   10.96.56.91   XXX.XXX.XXX.88   80:32422/TCP       37s
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Copie y pegue la dirección IP pública en un explorador de Internet y verifique si se puede acceder a la aplicación desplegada (servidor web Nginx con el sitio web por defecto) mediante la dirección IP pública del servicio LoadBalancer.

Tarea 7: Eliminación de una aplicación de ejemplo y servicios de Kubernetes del tipo LoadBalancer

Ejecute el siguiente comando para obtener los pods que están desplegados.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get pods
NAME                                READY   STATUS    RESTARTS   AGE
nginx-deployment-86dcfdf4c6-6ncvx   1/1     Running   0          2m54s
nginx-deployment-86dcfdf4c6-qbhn2   1/1     Running   0          2m54s

Revise los pods desplegados.

Para eliminar la aplicación web desplegada, ejecute el siguiente comando.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete deployment nginx-deployment --namespace default
deployment.apps "nginx-deployment" deleted

Confirme que se ha suprimido la aplicación.

Ejecute el siguiente comando para obtener los pods que están desplegados.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get pods
No resources found in default namespace.

Observe que los pods ya no se despliegan ni se suprimen correctamente.

Ejecute el siguiente comando para obtener los servicios desplegados.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get svc
NAME         TYPE           CLUSTER-IP    EXTERNAL-IP     PORT(S)             AGE
kubernetes   ClusterIP      10.96.0.1     <none>          443/TCP,12250/TCP   46h
my-service   LoadBalancer   10.96.56.91   XXX.XXX.XXX.88   80:32422/TCP        2m42s

Revise los servicios desplegados.

Para eliminar los servicios LoadBalancer desplegados, ejecute el siguiente comando.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete service my-service -n default
service "my-service" deleted

Verifique que se haya suprimido el servicio.

Ejecute el siguiente comando para obtener los servicios desplegados.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get svc
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)             AGE
kubernetes   ClusterIP   10.96.0.1    <none>        443/TCP,12250/TCP   46h
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Observe que el servicio LoadBalancer ya no se despliega y se suprime correctamente.

Creación de un nuevo cluster de Kubernetes y verificación de los componentes

Agradecimientos

Autor: Iwan Hoogendoorn (especialista en redes de OCI)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en Oracle Learning Explorer.

Para obtener documentación sobre el producto, visite Oracle Help Center.

Título e Información de Copyright

Use Cilium to Provide Networking Services in Oracle Cloud Infrastructure Container Engine for Kubernetes

F96022-01

April 2024

Oracle y/o sus filiales.

Uso de Cilium para proporcionar servicios de redes en Oracle Cloud Infrastructure Container Engine for Kubernetes

Introducción

Objetivos

Tarea 1: Despliegue de un cluster de Kubernetes con OKE

Tarea 2: Instalación de Cilium como plugin CNI en el cluster de Kubernetes desplegado de OKE

Tarea 3: Despliegue de una Aplicación Web y un Servicio de Ejemplo

Tarea 4: Configuración de servicios de Kubernetes de tipo NetworkPolicy

Tarea 5: Eliminación del servicio y la aplicación web de ejemplo

Tarea 6: Despliegue de una aplicación de ejemplo y configuración de servicios de Kubernetes de tipo LoadBalancer

Tarea 7: Eliminación de una aplicación de ejemplo y servicios de Kubernetes del tipo LoadBalancer

Enlaces relacionados

Agradecimientos

Más recursos de aprendizaje