Création de ressources de réseau OKE
Certaines ressources de réseau utilisées par Kubernetes Engine (OKE) sur Private Cloud Appliance doivent être configurées de manière spécifique.
Les définitions de ressource des sections suivantes créent un exemple de travail de jeu de ressources de réseau pour les grappes de charges de travail. Utilisez cette configuration comme guide lorsque vous créez ces ressources. Vous pouvez modifier les valeurs des propriétés telles que les blocs CIDR et les adresses IP. Ne modifiez pas les valeurs des propriétés telles que le protocole réseau, le paramètre avec conservation de l'état ou le paramètre privé/public.
Pour les sous-réseaux utilisés pour créer ou exécuter une grappe OKE (y compris le groupe de noeuds, l'équilibreur de charge et les sous-réseaux de pods), ne configurez pas de serveurs DNS personnalisés dans les options DHCP du sous-réseau. OKE dépend du résolveur DNS par défaut pour une résolution fiable des noms des services Kubernetes et de plate-forme requis (y compris le registre de région sur bâti utilisé pour extraire des images lors du provisionnement de grappe et de noeud). L'utilisation de résolveurs DHCP personnalisés peut provoquer des échecs de provisionnement de grappe et des problèmes de connectivité au niveau des noeuds ou des modules complémentaires. Si vous avez besoin d'une résolution de nom personnalisée, utilisez les capacités DNS OCI prises en charge (par exemple, DNS privé) sans remplacer les paramètres DNS DHCP du sous-réseau.
Voir Ports de réseau en grappe de charge de travail (superposition de canal) et Ports de réseau en grappe de charge de travail (VCN-Native Pod) pour des ports spécifiques qui doivent être ouverts à des fins spécifiques.
Si le réseau d'administration du boîtier est activé, demandez à l'administrateur de système de vérifier que le réseau d'administration et le réseau du centre de données sont configurés pour autoriser le trafic vers et depuis le plan de contrôle de la grappe.
Vous pouvez créer des ressources de réseau pour deux types de réseau :
Les grappes publiques et privées résument les ressources de réseau dont vous avez besoin pour créer une grappe publique et les ressources de réseau dont vous avez besoin pour créer une grappe privée.
Gestion de réseau de pods
Le modèle de réseau Kubernetes suppose que les conteneurs (pods) possèdent des adresses IP uniques et routables dans une grappe. Dans le modèle de réseau Kubernetes, les pods utilisent ces adresses IP pour communiquer avec d'autres pods sur le même noeud d'une grappe ou sur un autre noeud, avec des pods sur d'autres grappes, avec les noeuds de plan de contrôle de la grappe, avec d'autres services (tels que les services de stockage) et avec Internet.
Par défaut, les pods acceptent le trafic provenant de n'importe quelle source. Pour améliorer la sécurité des grappes, contrôlez l'accès aux pods et à partir de ceux-ci à l'aide de règles de sécurité définies dans le cadre de groupes de sécurité de réseau (recommandés) ou de listes de sécurité. Les règles de sécurité s'appliquent à tous les pods de tous les noeuds de travail connectés au sous-réseau de pods spécifié pour un groupe de noeuds. Voir Contrôle du trafic à l'aide de groupes de sécurité de réseau et Contrôle du trafic à l'aide de listes de sécurité.