Grappes publiques et privées
Sur Compute Cloud@Customer, avant de créer une grappe, déterminez le type d'accès réseau requis par la grappe : si vous avez besoin d'une grappe publique ou d'une grappe privée. Vous ne pouvez pas créer des grappes publiques et privées dans un VCN.
La principale différence entre une grappe publique et une grappe privée est que vous configurez des sous-réseaux publics ou privés pour le point d'extrémité de l'API Kubernetes et l'équilibreur de charge du programme.
Les sous-réseaux des noeuds de travail et de plan de contrôle sont toujours privés.
Pour les noeuds de travail et de plan de contrôle, vous pouvez configurer des règles de routage qui autorisent l'accès uniquement dans le VCN ou en dehors du VCN. Cette documentation nomme ces tables de routage "vcn_private" et "nat_private". Vous pouvez choisir l'une ou l'autre de ces configurations de sous-réseau privé pour vos noeuds de travail et de plan de contrôle, que la grappe soit privée ou publique.
Grappes publiques
Une grappe publique nécessite les ressources de réseau suivantes :
-
Sous-réseau public pour le point d'extrémité de l'API Kubernetes. Voir les instructions pour créer un sous-réseau public "control-plane-endpoint" dans Création d'un sous-réseau de plan de contrôle OKE (superposition de canal) et Création d'un sous-réseau de plan de contrôle (VCN-Native Pod).
-
Sous-réseau public pour l'équilibreur de charge de travail. Voir les instructions pour créer un sous-réseau public "service-lb" dans Création d'un sous-réseau d'équilibreurs de charge de travail (superposition de canal) et Création d'un sous-réseau d'équilibreurs de charge de travail (VCN-Native Pod).
-
Passerelle Internet pour connecter les ressources d'un sous-réseau public à Internet à l'aide d'adresses IP publiques.
-
Une passerelle NAT. Utiliser une passerelle NAT pour l'accès Internet sortant. Une passerelle NAT connecte les ressources d'un sous-réseau privé à Internet sans exposer les adresses IP privées.
-
Au moins trois adresses IP publiques gratuites. Des adresses IP publiques gratuites sont requises pour la passerelle NAT, l'équilibreur de charge du plan de contrôle et l'équilibreur de charge de travail.
L'équilibreur de charge de travail nécessite une adresse IP publique gratuite pour exposer les applications. L'équilibreur de charge de travail peut nécessiter plus d'adresses IP publiques gratuites, selon les applications exécutées sur les pods.
Grappes privées
Si vous créez plusieurs réseaux en nuage virtuels OKE, chaque bloc CIDR doit être unique. Les blocs CIDR de différents réseaux en nuage virtuels pour les grappes privées ne peuvent pas chevaucher d'autres blocs CIDR de VCN ou un bloc CIDR sur place. Les adresses IP utilisées doivent être exclusives à chaque VCN.
Une grappe privée comporte les ressources de réseau suivantes :
-
Sous-réseau privé pour le point d'extrémité de l'API Kubernetes. Voir les instructions pour créer un sous-réseau privé "control-plane-endpoint" dans Création d'un sous-réseau de plan de contrôle OKE (superposition de canal) et Création d'un sous-réseau de plan de contrôle (VCN-Native Pod).
-
Sous-réseau privé pour l'équilibreur de charge de travail. Voir les instructions pour créer un sous-réseau privé "service-lb" dans Création d'un sous-réseau d'équilibreurs de charge de plan de contrôle OKE (superposition de canal) et Création d'un sous-réseau d'équilibreurs de charge de plan de contrôle (VCN-Native Pod).
-
Table de routage sans règle de routage. Cette table de routage autorise l'accès uniquement dans le VCN.
-
(Facultatif) Une passerelle d'appairage local (LPG). Utilisez une passerelle LPG pour autoriser l'accès à partir d'autres réseaux en nuage virtuels. Une passerelle LPG permet d'accéder à la grappe à partir d'une instance exécutée sur un autre VCN. Créez une passerelle LPG sur le VCN OKE et créez une passerelle LPG sur un second VCN sur le service de calcul Cloud@Customer. Utilisez la commande LPG connect pour appairer les deux LPG. Les réseaux en nuage virtuels appairés peuvent se trouver dans différentes locations. Les blocs CIDR des réseaux en nuage virtuels appairés ne peuvent pas se chevaucher. Voir Connexion de réseaux en nuage virtuels au moyen d'une passerelle d'appairage local.
Créez une règle de routage pour diriger le trafic du sous-réseau VCN vers et depuis les passerelles LPG, ainsi que des règles de sécurité pour autoriser ou refuser certains types de trafic. Voir Création d'un VCN (superposition de canal) ou Création d'un VCN (VCN-Native Pod) pour la table de routage à ajouter au VCN OKE et à une table de routage similaire à ajouter au deuxième VCN. Ajoutez la même règle de routage sur le deuxième VCN, en spécifiant le bloc CIDR du VCN OKE comme destination.
Installez la trousse SDK OCI et
kubectlsur l'instance du deuxième VCN et connectez-vous à la grappe privée. Voir Création d'un fichier de configuration Kubernetes. -
(Facultatif) Une passerelle de routage dynamique (DRG). Utilisez une passerelle DRG pour activer l'accès à partir du réseau sur place. Une passerelle DRG permet le trafic entre le VCN OKE et l'espace d'adresses IP du réseau sur place. Créez la passerelle DRG dans le compartiment du VCN OKE, puis attachez le VCN OKE à cette passerelle DRG. Voir Connexion au réseau sur place au moyen d'une passerelle de routage dynamique.
Créez une règle de routage pour diriger le trafic vers l'espace d'adresses IP du réseau du centre de données sur place. Voir Création d'un VCN (superposition de canal) ou Création d'un VCN (VCN-Native Pod) pour la table de routage à ajouter au VCN OKE.