Note :

Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, voir Introduction à l' niveau gratuit d'Oracle Cloud Infrastructure.
Il utilise des exemples de valeurs pour les données d'identification, la location et les compartiments Oracle Cloud Infrastructure. À la fin de votre laboratoire, remplacez ces valeurs par celles propres à votre environnement en nuage.

Utiliser Cilium pour fournir des services de réseau dans Oracle Cloud Infrastructure Container Engine for Kubernetes

Présentation

Lorsque nous déployons une nouvelle grappe Kubernetes à l'aide d'Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE), le plugiciel CNI (Container Network Interface) par défaut installé est le plugiciel CNI OCI natif de VCN. Avec l'informatique native en nuage, vous êtes flexible pour choisir votre méthode de fourniture de services réseau (de sécurité) à votre plate-forme de conteneur en choisissant simplement un autre plugin CNI. Dans ce tutoriel, nous allons déployer une nouvelle grappe Kubernetes à l'aide d'OKE avec le plugin Flannel CNI et changer cela en plugin Cilium CNI. Cilium offre d'autres fonctions de réseau (sécurité) par rapport au plugiciel CNI natif du VCN OCI et à Flannel.

Objectifs

Déployez une nouvelle grappe Kubernetes sur la plate-forme Oracle Cloud Infrastructure Container Engine for Kubernetes à l'aide de la méthode de création personnalisée. Au cours de ce déploiement, nous sélectionnerons le plugin Flannel CNI, puis nous déploierons le plugin Cilium CNI et supprimerons le plugin Flannel CNI afin que Cilium soit le principal plugin CNI pour les services réseau (sécurité) pour nos applications natives en nuage et utiliserons le plugin Cilium CNI pour déployer et tester un service NetworkPolicy et LoadBalancer.

Tâche 1 : Déployer une grappe Kubernetes à l'aide d'OKE

Pour plus d'informations sur les différents modèles de déploiement OKE, voir Exemples de configurations de ressources de réseau.

Voici un exemple de modèle de déploiement OKE :

Exemple 1 : Grappe avec plugiciel CNI Flannel, point d'extrémité d'API Kubernetes public, noeuds de travail privés et équilibreurs de charge publics.
Exemple 2 : Grappe avec plugiciel CNI Flannel, point d'extrémité d'API Kubernetes privé, noeuds de travail privés et équilibreurs de charge publics.
Exemple 3 : Grappe avec plugiciel CNI OCI, point d'extrémité d'API Kubernetes public, noeuds de travail privés et équilibreurs de charge publics.
Exemple 4 : Grappe avec plugiciel CNI OCI, point d'extrémité d'API Kubernetes privé, noeuds de travail privés et équilibreurs de charge publics.

Pour ce tutoriel, nous sélectionnerons Exemple 1 de modèle de déploiement. Nous avons déjà expliqué comment déployer l'exemple 3 ici : Créer une nouvelle grappe Kubernetes et vérifier les composants.

Cliquez sur le menu hamburger.
1. Cliquez sur Services de développement.
2. Cliquez sur Grappes Kubernetes (OKE).
Cliquez sur Créer une grappe.
1. Sélectionnez Création personnalisée.
2. Cliquez sur Soumettre.
Entrez les informations suivantes .
1. Entrez un nom de grappe.
2. Sélectionnez un compartiment.
3. Sélectionnez la version de Kubernetes.
4. Cliquez sur Suivant.
Dans Configuration du réseau, entrez les informations suivantes.
1. Sélectionnez Surcouche de canal comme type de réseau.
2. Sélectionnez un réseau VCN à utiliser pour déployer la nouvelle grappe Kubernetes. Pour créer un VCN, voir Créer un nouveau VCN.
3. Sélectionnez un sous-réseau dans le VCN que vous avez sélectionné pour fournir des adresses IP aux services Kubernetes. Pour créer un sous-réseau, voir Créer un sous-réseau privé dans le VCN.
4. Sélectionnez un sous-réseau dans le VCN que vous avez sélectionné pour fournir des adresses IP aux points d'extrémité d'API Kubernetes.
5. Sélectionnez Affecter une adresse IP publique au point d'extrémité d'API.
6. Cliquez sur Suivant.
Dans Groupe de noeuds (noeuds de travail), entrez les informations suivantes. Nous pouvons sélectionner différents paramètres, mais nous allons essayer de garder le même.
1. Sélectionnez un compartiment.
2. Sélectionnez la version de Kubernetes.
3. Sélectionnez un domaine de disponibilité.
4. Sélectionnez un sous-réseau dans le VCN que vous avez sélectionné pour fournir des adresses IP aux noeuds de travail Kubernetes.
5. Sélectionnez les domaines d'erreur à utiliser pour y placer vos noeuds de travail.
6. Cliquez sur Suivant.
1. Vérifiez les informations sur le réseau.
2. Descendre.
1. Vérifiez les informations sur la grappe.
2. Descendre.
1. Vérifiez les informations sur les groupes de noeuds.
2. Descendre.
1. Ne sélectionnez pas Créer une grappe de base.
2. Cliquez sur Créer une grappe.
1. Vérifiez le statut des différents composants.
2. Cliquer sur Fermer.
Vérifiez que le statut est Création.
1. Vérifiez que le statut est ACTIVE.
2. Descendre.
1. Cliquez sur Groupes de noeuds.
2. Notez que le noeud de travail du groupe est toujours en création.
1. Notez que le noeud de travail du groupe est Actif.
2. Cliquez sur le nom du groupe de noeuds.
Descendre.
Notez que tous les noeuds sont Prêt et Actif.

Vous trouverez une représentation visuelle de ce déploiement dans le diagramme suivant.
Naviguez jusqu'à Services de développement et Grappes Kubernetes (OKE). Cliquez sur la grappe Kubernetes nouvellement déployée.
Cliquez sur Accéder à la grappe.
1. Sélectionnez Accès Cloud Shell.
2. Cliquez sur Copier pour copier la commande permettant l'accès à la grappe Kubernetes.
3. Cliquez sur Lancer Cloud Shell.
Cloud Shell va maintenant démarrer. Certaines informations seront affichées en arrière-plan.
1. Notez que vous disposez d'un accès Cloud Shell.
2. Cliquez sur l'icône de maximisation pour agrandir la fenêtre Cloud Shell.

Collez la commande qui a été copiée.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ oci ce cluster create-kubeconfig --cluster-id ocid1.cluster.oc1.eu-amsterdam-1.aaaaaaaaXXX --file $HOME/.kube/config --region eu-amsterdam-1 --token-version 2.0.0  --kube-endpoint PUBLIC_ENDPOINT
Existing Kubeconfig file found at /home/iwan_hooge/.kube/config and new config merged into it

Exécutez la commande suivante pour obtenir les informations sur les noeuds de travail.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get nodes
NAME          STATUS   ROLES   AGE   VERSION
10.0.10.132   Ready    node    11m   v1.28.2
10.0.10.178   Ready    node    12m   v1.28.2
10.0.10.79    Ready    node    12m   v1.28.2

Vérifiez les noeuds de travail déployés.

Tâche 2 : Installer Cilium en tant que plugiciel CNI sur la grappe Kubernetes déployée par OKE

Vérifiez le plugiciel CNI (Flannel) actuellement déployé.

Exécutez la commande suivante .

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get all -n kube-system 
NAME                                      READY   STATUS    RESTARTS      AGE
pod/coredns-69c9994dbb-6b8tk              1/1     Running   0             12m
pod/coredns-69c9994dbb-qxq5j              1/1     Running   0             12m
pod/coredns-69c9994dbb-xdnfc              1/1     Running   0             16m
pod/csi-oci-node-h57qv                    1/1     Running   1 (12m ago)   14m
pod/csi-oci-node-nfrnw                    1/1     Running   0             14m
pod/csi-oci-node-pjqwk                    1/1     Running   0             15m
pod/kube-dns-autoscaler-d8d55cddd-pbfql   1/1     Running   0             16m
pod/kube-flannel-ds-9tc92                 1/1     Running   1 (13m ago)   14m
pod/kube-flannel-ds-b8dch                 1/1     Running   1 (12m ago)   14m
pod/kube-flannel-ds-lbvw9                 1/1     Running   0             15m
pod/kube-proxy-2stzh                      1/1     Running   0             15m
pod/kube-proxy-8t6j4                      1/1     Running   0             14m
pod/kube-proxy-jxx6c                      1/1     Running   0             14m
pod/proxymux-client-cmmxv                 1/1     Running   0             15m
pod/proxymux-client-kk9bh                 1/1     Running   0             14m
pod/proxymux-client-mn4k9                 1/1     Running   0             14m

NAME               TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)                  AGE
service/kube-dns   ClusterIP   10.96.5.5    <none>        53/UDP,53/TCP,9153/TCP   16m

NAME                                      DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR                                 AGE
daemonset.apps/csi-oci-node               3         3         3       3            3           <none>                                        16m
daemonset.apps/kube-flannel-ds            3         3         3       3            3           <none>                                        16m
daemonset.apps/kube-proxy                 3         3         3       3            3           beta.kubernetes.io/os=linux                   16m
daemonset.apps/node-termination-handler   0         0         0       0            0           oci.oraclecloud.com/oke-is-preemptible=true   16m
daemonset.apps/nvidia-gpu-device-plugin   0         0         0       0            0           <none>                                        16m
daemonset.apps/proxymux-client            3         3         3       3            3           node.info.ds_proxymux_client=true             16m

NAME                                  READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/coredns               3/3     3            3           16m
deployment.apps/kube-dns-autoscaler   1/1     1            1           16m

NAME                                            DESIRED   CURRENT   READY   AGE
replicaset.apps/coredns-69c9994dbb              3         3         3       16m
replicaset.apps/kube-dns-autoscaler-d8d55cddd   1         1         1       16m
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Notez que le plugiciel CNI Flannel est déployé en tant que pod.
Notez que le plugiciel CNI Flannel est déployé en tant que service.

Il s'agit d'une représentation visuelle des noeuds de travail Kubernetes avec le plugiciel CNI Flannel installé.

Ajoutez le référentiel Cilium.

Exécutez la commande suivante pour ajouter le référentiel Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ helm repo add cilium https://helm.cilium.io/
WARNING: Kubernetes configuration file is group-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
WARNING: Kubernetes configuration file is world-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
"cilium" has been added to your repositories

Exécutez la commande suivante pour générer le fichier YAML de déploiement cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ helm show values cilium/cilium > cilium.yaml
WARNING: Kubernetes configuration file is group-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
WARNING: Kubernetes configuration file is world-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Vérifiez que le fichier Cilium YAML est présent à l'aide de la commande suivante.
1. Exécutez la commande suivante .
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ls 
cilium.yaml  ssh-key-2024-02-14.key
```
2. Vérifiez que le fichier YAML est présent.
3. Exécutez la commande suivante pour modifier le fichier YAML à l'aide de l'éditeur nano.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ nano cilium.yaml 
```

Le fichier YAML est un fichier volumineux avec de nombreux paramètres, faites défiler le fichier pour trouver les paramètres suivants et effectuez une mise à jour.

containerRuntime:
integration: crio
hubble:
tls:
    enabled: false
hubble:
relay:
    enabled: true
hubble:
ui:
    enabled: true
ipam:
mode: "kubernetes"
clustermesh:
useAPIServer: true

Utilisez le raccourci CTRL + W pour rechercher un mot clé, un paramètre ou une section.
1. Localisez la section d'exécution du conteneur.
2. Modifiez le type d'intégration.
1. Dans la section Configuration TLS pour Hubble.
2. Désactiver TLS.
1. Dans la section relayage.
2. Activer le relais.
1. Dans la section *ui.
2. Activez l'interface utilisateur.
1. Dans la section ipam.
2. Réglez le mode à kubernetes.
1. Dans la section clustermesh.
2. Réglez useAPIServer à true.
3. Utilisez le raccourci CTRL + X pour quitter l'éditeur nano.
Entrez Y (oui) pour enregistrer le fichier YAML.
Conservez la valeur par défaut du nom de fichier YAML.
Une fois le fichier enregistré, vous retournerez au terminal.

Installez Cilium.

Exécutez la commande suivante pour installer Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ helm install cilium cilium/cilium --namespace=kube-system -f cilium.yaml
WARNING: Kubernetes configuration file is group-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
WARNING: Kubernetes configuration file is world-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
NAME: cilium
LAST DEPLOYED: Thu Mar 21 10:31:04 2024
NAMESPACE: kube-system
STATUS: deployed
REVISION: 1
TEST SUITE: None
NOTES:
You have successfully installed Cilium with Hubble Relay and Hubble UI.

Your release version is 1.15.2.

For any further help, visit https://docs.cilium.io/en/v1.15/gettinghelp
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Notez le message indiquant que Cilium a été installé.

Pour exécuter des commandes Cilium, téléchargez l'interface de ligne de commande Cilium (CLI) à l'aide des commandes suivantes.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ CILIUM_CLI_VERSION=$(curl -s https://raw.githubusercontent.com/cilium/cilium-cli/master/stable.txt)

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ CLI_ARCH=amd64

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ if [ "$(uname -m)" = "aarch64" ]; then CLI_ARCH=arm64; fi

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ curl -L --fail --remote-name-all https://github.com/cilium/cilium-cli/releases/download/${CILIUM_CLI_VERSION}/cilium-linux-${CLI_ARCH}.tar.gz{,.sha256sum}
% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                Dload  Upload   Total   Spent    Left  Speed
0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
100 37.5M  100 37.5M    0     0  28.7M      0  0:00:01  0:00:01 --:--:-- 53.3M
% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                Dload  Upload   Total   Spent    Left  Speed
0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
100    92  100    92    0     0    128      0 --:--:-- --:--:-- --:--:--     0
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ sha256sum --check cilium-linux-${CLI_ARCH}.tar.gz.sha256sum
cilium-linux-arm64.tar.gz: OK

Exécutez la commande suivante pour décompresser l'application d'interface de ligne de commande Cilium.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ sudo tar xzvf cilium-linux-${CLI_ARCH}.tar.gz
```

Pour confirmer que le fichier de l'interface de ligne de commande Cilium est présent, exécutez la commande suivante.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ls -l
total 138060
-rw-r--r--. 1 iwan_hooge oci 101843096 Mar 18 17:19 cilium
-rw-r--r--. 1 iwan_hooge oci  39388621 Mar 21 10:38 cilium-linux-arm64.tar.gz
-rw-r--r--. 1 iwan_hooge oci        92 Mar 21 10:38 cilium-linux-arm64.tar.gz.sha256sum
-rw-r--r--. 1 iwan_hooge oci    126806 Mar 21 10:29 cilium.yaml
-rw-------. 1 iwan_hooge oci      1671 Feb 14 10:07 ssh-key-2024-02-14.key
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$

Après la compression réussie, notez un fichier nommé cillium dans la liste.

Exécutez la commande suivante pour supprimer le fichier compressé téléchargé.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ rm cilium-linux-${CLI_ARCH}.tar.gz{,.sha256sum}

Utilisez l'interface de ligne de commande Cilium.

Exécutez la commande suivante pour rendre le fichier de l'interface de ligne de commande Cilium exécutable.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ chmod 777 cilium
```

Exécutez la commande suivante pour vérifier le statut de la grappe Kubernetes avec Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./cilium status
    /¯¯\
/¯¯\__/¯¯\    Cilium:             OK
\__/¯¯\__/    Operator:           OK
/¯¯\__/¯¯\    Envoy DaemonSet:    disabled (using embedded mode)
\__/¯¯\__/    Hubble Relay:       1 errors
    \__/       ClusterMesh:        OK

Deployment             clustermesh-apiserver    Desired: 1, Ready: 1/1, Available: 1/1
Deployment             cilium-operator          Desired: 2, Ready: 2/2, Available: 2/2
Deployment             hubble-ui                Desired: 1, Unavailable: 1/1
Deployment             hubble-relay             Desired: 1, Unavailable: 1/1
DaemonSet              cilium                   Desired: 3, Ready: 3/3, Available: 3/3
Containers:            cilium                   Running: 3
                    cilium-operator          Running: 2
                    hubble-ui                Running: 1
                    clustermesh-apiserver    Running: 1
                    hubble-relay             Running: 1
Cluster Pods:          3/7 managed by Cilium
Helm chart version:    1.15.2
Image versions         cilium                   quay.io/cilium/cilium:v1.15.2@sha256:bfeb3f1034282444ae8c498dca94044df2b9c9c8e7ac678e0b43c849f0b31746: 3
                    cilium-operator          quay.io/cilium/operator-generic:v1.15.2@sha256:4dd8f67630f45fcaf58145eb81780b677ef62d57632d7e4442905ad3226a9088: 2
                    hubble-ui                quay.io/cilium/hubble-ui:v0.13.0@sha256:7d663dc16538dd6e29061abd1047013a645e6e69c115e008bee9ea9fef9a6666: 1
                    hubble-ui                quay.io/cilium/hubble-ui-backend:v0.13.0@sha256:1e7657d997c5a48253bb8dc91ecee75b63018d16ff5e5797e5af367336bc8803: 1
                    clustermesh-apiserver    quay.io/cilium/clustermesh-apiserver:v1.15.2@sha256:478c77371f34d6fe5251427ff90c3912567c69b2bdc87d72377e42a42054f1c2: 2
                    hubble-relay             quay.io/cilium/hubble-relay:v1.15.2@sha256:48480053930e884adaeb4141259ff1893a22eb59707906c6d38de2fe01916cb0: 1
Errors:                hubble-ui                hubble-ui       1 pods of Deployment hubble-ui are not ready
                    hubble-relay             hubble-relay    1 pods of Deployment hubble-relay are not ready
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Note : Vous obtiendrez des erreurs car certains pods ne sont pas encore gérés par Cilium car le pod a démarré avant l'exécution de Cilium.

Cette erreur est liée à ClusterMesh.
Cette erreur est liée à l'interface utilisateur Hubble et au relais Hubble.
Notez que tous les pods de grappe ne sont pas gérés par Cilium. Seulement 3/7 pods sont gérés par Cilium. Nous devons nous assurer qu'ils sont tous gérés par Cilium.
Notez quelques messages d'erreur supplémentaires liés aux erreurs ci-dessus.

Vérifiez et allouez les pods qui ne sont actuellement pas gérés par Cilium. Cilium fournit un script pour vous aider à les identifier.

Exécutez la commande suivante pour télécharger le script.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ curl -sLO https://raw.githubusercontent.com/cilium/cilium/master/contrib/k8s/k8s-unmanaged.sh

Lancez la commande suivante pour rendre ce script exécutable.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ chmod +x k8s-unmanaged.sh

Exécutez la commande suivante pour exécuter ce script et détecter les pods qui nécessitent une attention supplémentaire.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./k8s-unmanaged.sh
Skipping pods with host networking enabled or with status not in Running or Pending phase...
kube-system/clustermesh-apiserver-664b6c9c84-p49tr
kube-system/hubble-relay-58d6b4cc94-kdwl4
kube-system/hubble-ui-6548d56557-w9s6t
kube-system/kube-dns-autoscaler-d8d55cddd-pbfql
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Notez que les pods qui ont besoin d'attention.

Exécutez la commande suivante pour supprimer les pods qui nécessitent votre attention.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl -n kube-system delete pod clustermesh-apiserver-664b6c9c84-p49tr hubble-relay-58d6b4cc94-kdwl4 hubble-ui-6548d56557-w9s6t kube-dns-autoscaler-d8d55cddd-pbfql
pod "clustermesh-apiserver-664b6c9c84-p49tr" deleted
pod "hubble-relay-58d6b4cc94-kdwl4" deleted
pod "hubble-ui-6548d56557-w9s6t" deleted
pod "kube-dns-autoscaler-d8d55cddd-pbfql" deleted
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Confirmation des pods supprimés.

Exécutez la commande suivante pour exécuter ce script et détecter à nouveau les pods qui nécessitent une attention supplémentaire.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./k8s-unmanaged.sh
Skipping pods with host networking enabled or with status not in Running or Pending phase...
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Notez qu'il n'y a plus de pods qui nécessitent plus d'attention, ce qui signifie que les pods sont maintenant recréés avec la mise en réseau Cilium activée.

Vérifiez le statut de la grappe Kubernetes avec Cilium.

Exécutez la commande suivante pour vérifier le statut de la grappe Kubernetes avec Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./cilium status
    /¯¯\
/¯¯\__/¯¯\    Cilium:             OK
\__/¯¯\__/    Operator:           OK
/¯¯\__/¯¯\    Envoy DaemonSet:    disabled (using embedded mode)
\__/¯¯\__/    Hubble Relay:       OK
    \__/       ClusterMesh:        OK

Deployment             hubble-ui                Desired: 1, Ready: 1/1, Available: 1/1
Deployment             cilium-operator          Desired: 2, Ready: 2/2, Available: 2/2
Deployment             clustermesh-apiserver    Desired: 1, Ready: 1/1, Available: 1/1
DaemonSet              cilium                   Desired: 3, Ready: 3/3, Available: 3/3
Deployment             hubble-relay             Desired: 1, Ready: 1/1, Available: 1/1
Containers:            cilium                   Running: 3
                    hubble-ui                Running: 1
                    hubble-relay             Running: 1
                    cilium-operator          Running: 2
                    clustermesh-apiserver    Running: 1
Cluster Pods:          7/7 managed by Cilium
Helm chart version:    1.15.2
Image versions         hubble-ui                quay.io/cilium/hubble-ui:v0.13.0@sha256:7d663dc16538dd6e29061abd1047013a645e6e69c115e008bee9ea9fef9a6666: 1
                    hubble-ui                quay.io/cilium/hubble-ui-backend:v0.13.0@sha256:1e7657d997c5a48253bb8dc91ecee75b63018d16ff5e5797e5af367336bc8803: 1
                    hubble-relay             quay.io/cilium/hubble-relay:v1.15.2@sha256:48480053930e884adaeb4141259ff1893a22eb59707906c6d38de2fe01916cb0: 1
                    cilium-operator          quay.io/cilium/operator-generic:v1.15.2@sha256:4dd8f67630f45fcaf58145eb81780b677ef62d57632d7e4442905ad3226a9088: 2
                    clustermesh-apiserver    quay.io/cilium/clustermesh-apiserver:v1.15.2@sha256:478c77371f34d6fe5251427ff90c3912567c69b2bdc87d72377e42a42054f1c2: 2
                    cilium                   quay.io/cilium/cilium:v1.15.2@sha256:bfeb3f1034282444ae8c498dca94044df2b9c9c8e7ac678e0b43c849f0b31746: 3
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$       

Notez que tous les pods de cluster sont gérés par Cilium.

Vérifiez les plugiciels CNI actuellement déployés.

Exécutez la commande suivante pour vérifier les plugiciels CNI actuellement déployés (Flannel et Cilium).

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get all -n kube-system 
NAME                                         READY   STATUS    RESTARTS      AGE
pod/cilium-operator-5995454695-8c6m4         1/1     Running   0             33m
pod/cilium-operator-5995454695-s28sl         1/1     Running   0             33m
pod/cilium-v8phg                             1/1     Running   0             33m
pod/cilium-vnfng                             1/1     Running   0             33m
pod/cilium-w8qq9                             1/1     Running   0             33m
pod/clustermesh-apiserver-664b6c9c84-4gvrp   1/2     Error     1 (77s ago)   2m29s
pod/coredns-69c9994dbb-c2v77                 1/1     Running   0             33m
pod/coredns-69c9994dbb-kjdxp                 1/1     Running   0             33m
pod/coredns-69c9994dbb-sqv8t                 1/1     Running   0             32m
pod/csi-oci-node-h57qv                       1/1     Running   1 (22h ago)   22h
pod/csi-oci-node-nfrnw                       1/1     Running   0             22h
pod/csi-oci-node-pjqwk                       1/1     Running   0             22h
pod/hubble-relay-58d6b4cc94-lrjls            1/1     Running   0             2m29s
pod/hubble-ui-6548d56557-hnt2d               2/2     Running   0             2m29s
pod/kube-dns-autoscaler-d8d55cddd-n5zv5      1/1     Running   0             2m29s
pod/kube-flannel-ds-9tc92                    1/1     Running   1 (22h ago)   22h
pod/kube-flannel-ds-b8dch                    1/1     Running   1 (22h ago)   22h
pod/kube-flannel-ds-lbvw9                    1/1     Running   0             22h
pod/kube-proxy-2stzh                         1/1     Running   0             22h
pod/kube-proxy-8t6j4                         1/1     Running   0             22h
pod/kube-proxy-jxx6c                         1/1     Running   0             22h
pod/proxymux-client-cmmxv                    1/1     Running   0             22h
pod/proxymux-client-kk9bh                    1/1     Running   0             22h
pod/proxymux-client-mn4k9                    1/1     Running   0             22h

NAME                                    TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)                  AGE
service/clustermesh-apiserver           NodePort    10.96.181.249   <none>        2379:32379/TCP           33m
service/clustermesh-apiserver-metrics   ClusterIP   None            <none>        9962/TCP,9963/TCP        33m
service/hubble-peer                     ClusterIP   10.96.249.93    <none>        80/TCP                   33m
service/hubble-relay                    ClusterIP   10.96.172.180   <none>        80/TCP                   33m
service/hubble-ui                       ClusterIP   10.96.119.250   <none>        80/TCP                   33m
service/kube-dns                        ClusterIP   10.96.5.5       <none>        53/UDP,53/TCP,9153/TCP   22h

NAME                                      DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR                                 AGE
daemonset.apps/cilium                     3         3         3       3            3           kubernetes.io/os=linux                        33m
daemonset.apps/csi-oci-node               3         3         3       3            3           <none>                                        22h
daemonset.apps/kube-flannel-ds            3         3         3       3            3           <none>                                        22h
daemonset.apps/kube-proxy                 3         3         3       3            3           beta.kubernetes.io/os=linux                   22h
daemonset.apps/node-termination-handler   0         0         0       0            0           oci.oraclecloud.com/oke-is-preemptible=true   22h
daemonset.apps/nvidia-gpu-device-plugin   0         0         0       0            0           <none>                                        22h
daemonset.apps/proxymux-client            3         3         3       3            3           node.info.ds_proxymux_client=true             22h

NAME                                    READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/cilium-operator         2/2     2            2           33m
deployment.apps/clustermesh-apiserver   0/1     1            0           33m
deployment.apps/coredns                 3/3     3            3           22h
deployment.apps/hubble-relay            1/1     1            1           33m
deployment.apps/hubble-ui               1/1     1            1           33m
deployment.apps/kube-dns-autoscaler     1/1     1            1           22h

NAME                                               DESIRED   CURRENT   READY   AGE
replicaset.apps/cilium-operator-5995454695         2         2         2       33m
replicaset.apps/clustermesh-apiserver-664b6c9c84   1         1         0       33m
replicaset.apps/coredns-69c9994dbb                 3         3         3       22h
replicaset.apps/hubble-relay-58d6b4cc94            1         1         1       33m
replicaset.apps/hubble-ui-6548d56557               1         1         1       33m
replicaset.apps/kube-dns-autoscaler-d8d55cddd      1         1         1       22h
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Notez que le plugin Cilium CNI est présent.
Notez que le plugin Flannel CNI est également présent.

Il s'agit d'une représentation visuelle des noeuds de travail Kubernetes avec le plugiciel CNI Flannel et Cilium installé.

Supprimez le plugin Flannel CNI.

Exécutez la commande suivante pour supprimer le plugiciel CNI Flannel.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete -n kube-system daemonset kube-flannel-ds
daemonset.apps "kube-flannel-ds" deleted
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Notez le message indiquant que le plugiciel CNI Flannel a été supprimé.

Vérifiez les plugiciels CNI actuellement déployés.

Exécutez la commande suivante pour vérifier les plugiciels CNI actuellement déployés (Cilium).

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get all -n kube-system 
NAME                                         READY   STATUS    RESTARTS      AGE
pod/cilium-operator-5995454695-8c6m4         1/1     Running   0             35m
pod/cilium-operator-5995454695-s28sl         1/1     Running   0             35m
pod/cilium-v8phg                             1/1     Running   0             35m
pod/cilium-vnfng                             1/1     Running   0             35m
pod/cilium-w8qq9                             1/1     Running   0             35m
pod/clustermesh-apiserver-664b6c9c84-4gvrp   2/2     Running   3 (50s ago)   4m28s
pod/coredns-69c9994dbb-c2v77                 1/1     Running   0             35m
pod/coredns-69c9994dbb-kjdxp                 1/1     Running   0             35m
pod/coredns-69c9994dbb-sqv8t                 1/1     Running   0             34m
pod/csi-oci-node-h57qv                       1/1     Running   1 (22h ago)   22h
pod/csi-oci-node-nfrnw                       1/1     Running   0             22h
pod/csi-oci-node-pjqwk                       1/1     Running   0             22h
pod/hubble-relay-58d6b4cc94-lrjls            1/1     Running   0             4m28s
pod/hubble-ui-6548d56557-hnt2d               2/2     Running   0             4m28s
pod/kube-dns-autoscaler-d8d55cddd-n5zv5      1/1     Running   0             4m28s
pod/kube-proxy-2stzh                         1/1     Running   0             22h
pod/kube-proxy-8t6j4                         1/1     Running   0             22h
pod/kube-proxy-jxx6c                         1/1     Running   0             22h
pod/proxymux-client-cmmxv                    1/1     Running   0             22h
pod/proxymux-client-kk9bh                    1/1     Running   0             22h
pod/proxymux-client-mn4k9                    1/1     Running   0             22h

NAME                                    TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)                  AGE
service/clustermesh-apiserver           NodePort    10.96.181.249   <none>        2379:32379/TCP           35m
service/clustermesh-apiserver-metrics   ClusterIP   None            <none>        9962/TCP,9963/TCP        35m
service/hubble-peer                     ClusterIP   10.96.249.93    <none>        80/TCP                   35m
service/hubble-relay                    ClusterIP   10.96.172.180   <none>        80/TCP                   35m
service/hubble-ui                       ClusterIP   10.96.119.250   <none>        80/TCP                   35m
service/kube-dns                        ClusterIP   10.96.5.5       <none>        53/UDP,53/TCP,9153/TCP   22h

NAME                                      DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR                                 AGE
daemonset.apps/cilium                     3         3         3       3            3           kubernetes.io/os=linux                        35m
daemonset.apps/csi-oci-node               3         3         3       3            3           <none>                                        22h
daemonset.apps/kube-proxy                 3         3         3       3            3           beta.kubernetes.io/os=linux                   22h
daemonset.apps/node-termination-handler   0         0         0       0            0           oci.oraclecloud.com/oke-is-preemptible=true   22h
daemonset.apps/nvidia-gpu-device-plugin   0         0         0       0            0           <none>                                        22h
daemonset.apps/proxymux-client            3         3         3       3            3           node.info.ds_proxymux_client=true             22h

NAME                                    READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/cilium-operator         2/2     2            2           35m
deployment.apps/clustermesh-apiserver   1/1     1            1           35m
deployment.apps/coredns                 3/3     3            3           22h
deployment.apps/hubble-relay            1/1     1            1           35m
deployment.apps/hubble-ui               1/1     1            1           35m
deployment.apps/kube-dns-autoscaler     1/1     1            1           22h

NAME                                               DESIRED   CURRENT   READY   AGE
replicaset.apps/cilium-operator-5995454695         2         2         2       35m
replicaset.apps/clustermesh-apiserver-664b6c9c84   1         1         1       35m
replicaset.apps/coredns-69c9994dbb                 3         3         3       22h
replicaset.apps/hubble-relay-58d6b4cc94            1         1         1       35m
replicaset.apps/hubble-ui-6548d56557               1         1         1       35m
replicaset.apps/kube-dns-autoscaler-d8d55cddd      1         1         1       22h
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Notez que le plugin Cilium CNI est présent et que le plugin Flannel CNI est supprimé.

Il s'agit d'une représentation visuelle des noeuds de travail Kubernetes avec le plugiciel Cilium CNI installé.

Commande supplémentaire qui peut être utilisée pour vérifier où Cilium est installé.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl -n kube-system get pods -l k8s-app=cilium
NAME           READY   STATUS    RESTARTS   AGE
cilium-v8phg   1/1     Running   0          22h
cilium-vnfng   1/1     Running   0          22h
cilium-w8qq9   1/1     Running   0          22h
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Vérifiez le statut de la grappe Kubernetes avec Cilium.

Exécutez la commande suivante pour vérifier le statut de la grappe Kubernetes avec Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./cilium status
    /¯¯\
/¯¯\__/¯¯\    Cilium:             OK
\__/¯¯\__/    Operator:           OK
/¯¯\__/¯¯\    Envoy DaemonSet:    disabled (using embedded mode)
\__/¯¯\__/    Hubble Relay:       OK
    \__/       ClusterMesh:        OK

Deployment             clustermesh-apiserver    Desired: 1, Ready: 1/1, Available: 1/1
Deployment             cilium-operator          Desired: 2, Ready: 2/2, Available: 2/2
Deployment             hubble-ui                Desired: 1, Ready: 1/1, Available: 1/1
Deployment             hubble-relay             Desired: 1, Ready: 1/1, Available: 1/1
DaemonSet              cilium                   Desired: 3, Ready: 3/3, Available: 3/3
Containers:            cilium                   Running: 3
                    cilium-operator          Running: 2
                    hubble-ui                Running: 1
                    clustermesh-apiserver    Running: 1
                    hubble-relay             Running: 1
Cluster Pods:          7/7 managed by Cilium
Helm chart version:    1.15.2
Image versions         cilium                   quay.io/cilium/cilium:v1.15.2@sha256:bfeb3f1034282444ae8c498dca94044df2b9c9c8e7ac678e0b43c849f0b31746: 3
                    cilium-operator          quay.io/cilium/operator-generic:v1.15.2@sha256:4dd8f67630f45fcaf58145eb81780b677ef62d57632d7e4442905ad3226a9088: 2
                    hubble-ui                quay.io/cilium/hubble-ui:v0.13.0@sha256:7d663dc16538dd6e29061abd1047013a645e6e69c115e008bee9ea9fef9a6666: 1
                    hubble-ui                quay.io/cilium/hubble-ui-backend:v0.13.0@sha256:1e7657d997c5a48253bb8dc91ecee75b63018d16ff5e5797e5af367336bc8803: 1
                    clustermesh-apiserver    quay.io/cilium/clustermesh-apiserver:v1.15.2@sha256:478c77371f34d6fe5251427ff90c3912567c69b2bdc87d72377e42a42054f1c2: 2
                    hubble-relay             quay.io/cilium/hubble-relay:v1.15.2@sha256:48480053930e884adaeb4141259ff1893a22eb59707906c6d38de2fe01916cb0: 1
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Notez que tous les pods de cluster sont gérés par Cilium.

Cilium dispose d'un test de connectivité intégré capable de tester le réseau dans la grappe Kubernetes. Exécutez la commande suivante pour effectuer les tests de connectivité Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./cilium connectivity test
ℹ️  Monitor aggregation detected, will skip some flow validation steps
✨ [cluster-c6e7ypjgkyq] Creating namespace cilium-test for connectivity check...
✨ [cluster-c6e7ypjgkyq] Deploying echo-same-node service...
✨ [cluster-c6e7ypjgkyq] Deploying DNS test server configmap...
✨ [cluster-c6e7ypjgkyq] Deploying same-node deployment...
✨ [cluster-c6e7ypjgkyq] Deploying client deployment...
✨ [cluster-c6e7ypjgkyq] Deploying client2 deployment...
✨ [cluster-c6e7ypjgkyq] Deploying client3 deployment...
✨ [cluster-c6e7ypjgkyq] Deploying echo-other-node service...
✨ [cluster-c6e7ypjgkyq] Deploying other-node deployment...
✨ [host-netns] Deploying cluster-c6e7ypjgkyq daemonset...
✨ [host-netns-non-cilium] Deploying cluster-c6e7ypjgkyq daemonset...
ℹ️  Skipping tests that require a node Without Cilium
⌛ [cluster-c6e7ypjgkyq] Waiting for deployment cilium-test/client to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for deployment cilium-test/client2 to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for deployment cilium-test/echo-same-node to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for deployment cilium-test/client3 to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for deployment cilium-test/echo-other-node to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client-69748f45d8-pxzz5 to reach DNS server on cilium-test/echo-same-node-66b5db75b9-hxjws pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client2-56896f78f8-5tzsv to reach DNS server on cilium-test/echo-same-node-66b5db75b9-hxjws pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client3-5f56bc568c-xx8kd to reach DNS server on cilium-test/echo-same-node-66b5db75b9-hxjws pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client3-5f56bc568c-xx8kd to reach DNS server on cilium-test/echo-other-node-d8c5659dc-mhpkk pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client-69748f45d8-pxzz5 to reach DNS server on cilium-test/echo-other-node-d8c5659dc-mhpkk pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client2-56896f78f8-5tzsv to reach DNS server on cilium-test/echo-other-node-d8c5659dc-mhpkk pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client-69748f45d8-pxzz5 to reach default/kubernetes service...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client2-56896f78f8-5tzsv to reach default/kubernetes service...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client3-5f56bc568c-xx8kd to reach default/kubernetes service...
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-other-node to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-other-node to be synchronized by Cilium pod kube-system/cilium-v8phg
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-other-node to be synchronized by Cilium pod kube-system/cilium-vnfng
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-same-node to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-same-node to be synchronized by Cilium pod kube-system/cilium-v8phg
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-same-node to be synchronized by Cilium pod kube-system/cilium-vnfng
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.132:31758 (cilium-test/echo-other-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.132:31787 (cilium-test/echo-same-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.178:31758 (cilium-test/echo-other-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.178:31787 (cilium-test/echo-same-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.79:31758 (cilium-test/echo-other-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.79:31787 (cilium-test/echo-same-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for DaemonSet cilium-test/host-netns-non-cilium to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for DaemonSet cilium-test/host-netns to become ready...
ℹ️  Skipping IPCache check
🔭 Enabling Hubble telescope...
⚠️  Unable to contact Hubble Relay, disabling Hubble telescope and flow validation: rpc error: code = Unavailable desc = connection error: desc = "transport: Error while dialing: dial tcp 127.0.0.1:4245: connect: connection refused"
ℹ️  Expose Relay locally with:
   cilium hubble enable
   cilium hubble port-forward&
ℹ️  Cilium version: 1.15.2
🏃 Running 75 tests ...
[=] Test [no-unexpected-packet-drops] [1/75]
...
[=] Test [no-policies] [2/75]
.........................................................
[=] Skipping Test [no-policies-from-outside] [3/75] (skipped by condition)
[=] Test [no-policies-extra] [4/75]
................................................
[=] Test [allow-all-except-world] [5/75]
....................................
[=] Test [client-ingress] [6/75]
......
[=] Test [client-ingress-knp] [7/75]
......
[=] Test [allow-all-with-metrics-check] [8/75]
......
[=] Test [all-ingress-deny] [9/75]
............
[=] Skipping Test [all-ingress-deny-from-outside] [10/75] (skipped by condition)
[=] Test [all-ingress-deny-knp] [11/75]
............
[=] Test [all-egress-deny] [12/75]
........................
[=] Test [all-egress-deny-knp] [13/75]
........................
[=] Test [all-entities-deny] [14/75]
............
[=] Test [cluster-entity] [15/75]
...
[=] Skipping Test [cluster-entity-multi-cluster] [16/75] (skipped by condition)
[=] Test [host-entity-egress] [17/75]
..................
[=] Test [host-entity-ingress] [18/75]
......
[=] Test [echo-ingress] [19/75]
......
[=] Skipping Test [echo-ingress-from-outside] [20/75] (skipped by condition)
[=] Test [echo-ingress-knp] [21/75]
......
[=] Test [client-ingress-icmp] [22/75]
......
[=] Test [client-egress] [23/75]
......
[=] Test [client-egress-knp] [24/75]
......
[=] Test [client-egress-expression] [25/75]
......
[=] Test [client-egress-expression-knp] [26/75]
......
[=] Test [client-with-service-account-egress-to-echo] [27/75]
......
[=] Test [client-egress-to-echo-service-account] [28/75]
......
[=] Test [to-entities-world] [29/75]
.........
[=] Test [to-cidr-external] [30/75]
......
[=] Test [to-cidr-external-knp] [31/75]
......
[=] Skipping Test [from-cidr-host-netns] [32/75] (skipped by condition)
[=] Test [echo-ingress-from-other-client-deny] [33/75]
..........
[=] Test [client-ingress-from-other-client-icmp-deny] [34/75]
............
[=] Test [client-egress-to-echo-deny] [35/75]
............
[=] Test [client-ingress-to-echo-named-port-deny] [36/75]
....
[=] Test [client-egress-to-echo-expression-deny] [37/75]
....
[=] Test [client-with-service-account-egress-to-echo-deny] [38/75]
....
[=] Test [client-egress-to-echo-service-account-deny] [39/75]
..
[=] Test [client-egress-to-cidr-deny] [40/75]
......
[=] Test [client-egress-to-cidr-deny-default] [41/75]
......
[=] Test [health] [42/75]
...
[=] Skipping Test [north-south-loadbalancing] [43/75] (Feature node-without-cilium is disabled)
[=] Test [pod-to-pod-encryption] [44/75]
.
[=] Test [node-to-node-encryption] [45/75]
...
[=] Skipping Test [egress-gateway] [46/75] (skipped by condition)
[=] Skipping Test [egress-gateway-excluded-cidrs] [47/75] (Feature enable-ipv4-egress-gateway is disabled)
[=] Skipping Test [pod-to-node-cidrpolicy] [48/75] (Feature cidr-match-nodes is disabled)
[=] Skipping Test [north-south-loadbalancing-with-l7-policy] [49/75] (Feature node-without-cilium is disabled)
[=] Test [echo-ingress-l7] [50/75]
..................
[=] Test [echo-ingress-l7-named-port] [51/75]
..................
[=] Test [client-egress-l7-method] [52/75]
..................
[=] Test [client-egress-l7] [53/75]
...............
[=] Test [client-egress-l7-named-port] [54/75]
...............
[=] Skipping Test [client-egress-l7-tls-deny-without-headers] [55/75] (Feature secret-backend-k8s is disabled)
[=] Skipping Test [client-egress-l7-tls-headers] [56/75] (Feature secret-backend-k8s is disabled)
[=] Skipping Test [client-egress-l7-set-header] [57/75] (Feature secret-backend-k8s is disabled)
[=] Skipping Test [echo-ingress-auth-always-fail] [58/75] (Feature mutual-auth-spiffe is disabled)
[=] Skipping Test [echo-ingress-mutual-auth-spiffe] [59/75] (Feature mutual-auth-spiffe is disabled)
[=] Skipping Test [pod-to-ingress-service] [60/75] (Feature ingress-controller is disabled)
[=] Skipping Test [pod-to-ingress-service-deny-all] [61/75] (Feature ingress-controller is disabled)
[=] Skipping Test [pod-to-ingress-service-deny-ingress-identity] [62/75] (Feature ingress-controller is disabled)
[=] Skipping Test [pod-to-ingress-service-deny-backend-service] [63/75] (Feature ingress-controller is disabled)
[=] Skipping Test [pod-to-ingress-service-allow-ingress-identity] [64/75] (Feature ingress-controller is disabled)
[=] Skipping Test [outside-to-ingress-service] [65/75] (Feature ingress-controller is disabled)
[=] Skipping Test [outside-to-ingress-service-deny-world-identity] [66/75] (Feature ingress-controller is disabled)
[=] Skipping Test [outside-to-ingress-service-deny-cidr] [67/75] (Feature ingress-controller is disabled)
[=] Skipping Test [outside-to-ingress-service-deny-all-ingress] [68/75] (Feature ingress-controller is disabled)
[=] Test [dns-only] [69/75]
...............
[=] Test [to-fqdns] [70/75]
............
[=] Skipping Test [pod-to-controlplane-host] [71/75] (skipped by condition)
[=] Skipping Test [pod-to-k8s-on-controlplane] [72/75] (skipped by condition)
[=] Skipping Test [pod-to-controlplane-host-cidr] [73/75] (skipped by condition)
[=] Skipping Test [pod-to-k8s-on-controlplane-cidr] [74/75] (skipped by condition)
[=] Test [check-log-errors] [75/75]
.............................

✅ All 47 tests (555 actions) successful, 28 tests skipped, 1 scenarios skipped.
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Notez que le test a déterminé à exécuter 75 tests dans ce cas.
Une fois les tests terminés, un sommaire s'affiche.

Tâche 3 : Déployer un exemple d'application Web et de service

Déployer un exemple d'application et de service Web.
1. Exécutez la commande suivante pour déployer un exemple d'application et de service Web.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl run web --image=nginx --labels="app=web" --expose --port=80
service/web created
pod/web created
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 
```
2. Notez que l'application et le service ont été créés avec succès.

Vérifiez l'application déployée.

Exécutez la commande suivante pour vérifier l'application déployée.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get pods
NAME   READY   STATUS    RESTARTS   AGE
web    1/1     Running   0          56s

Notez que l'application Web est en cours d'exécution.

Exécutez la commande suivante pour vérifier le service déployé.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get deploy,svc
NAME                 TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)             AGE
service/kubernetes   ClusterIP   10.96.0.1      <none>        443/TCP,12250/TCP   44h
service/web          ClusterIP   10.96.199.73   <none>        80/TCP              74s

Notez que le service Web est en cours d'exécution.

Il existe plusieurs façons de tester la connectivité à l'application, une façon est d'ouvrir un navigateur et de tester si nous pouvons accéder à la page Web. mais lorsque nous n'avons pas de navigateur disponible, nous pouvons faire un autre test rapide en déployant un pod temporaire.

Exécutez la commande suivante pour déployer un exemple de pod afin de tester la connectivité de l'application Web.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl run --rm -i -t --image=alpine test-$RANDOM -- sh
If you don't see a command prompt, try pressing enter.
/ # 

Exécutez la commande suivante pour tester la connectivité au serveur Web à l'aide de wget.

/ # wget -qO- http://web
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

Notez le code HTML renvoyé par le serveur Web, confirme le fonctionnement du serveur Web et la connectivité.

Exécutez la commande suivante pour quitter le pod temporaire.

/ # exit
Session ended, resume using 'kubectl attach test-8599 -c test-8599 -i -t' command when the pod is running
pod "test-8599" deleted

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$

Notez que le pod est supprimé immédiatement après la sortie de l'interface de ligne de commande.

Tâche 4 : Configurer les services Kubernetes de type NetworkPolicy

L'un des services de sécurité de réseau offerts par le plugiciel Cilium CNI est le service de type NetworkPolicy. Il s'agit d'un moyen de contrôler la connectivité entre les pods en refusant la connectivité entre deux pods.

Exécutez la commande suivante pour ouvrir l'éditeur nano afin de créer un nouveau fichier YAML pour mettre en oeuvre un fichier NetworkPolicy afin de refuser tout le trafic réseau.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ nano web-deny-all.yaml
```
1. Utilisez le contenu suivant dans le fichier YAML.
```
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: web-deny-all
spec:
podSelector:
    matchLabels:
    app: web
ingress: []
```
2. Utilisez le raccourci CTRL + X pour quitter l'éditeur nano.
Entrez Y (oui) pour enregistrer le fichier YAML.
Conservez la valeur par défaut du nom de fichier YAML.

Vérifiez le fichier YAML.

Exécutez la commande suivante pour vérifier le nouveau fichier YAML.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ls -l
total 138068
-rwxrwxrwx. 1 iwan_hooge oci 101843096 Mar 18 17:19 cilium
-rw-r--r--. 1 iwan_hooge oci  39388621 Mar 21 10:38 cilium-linux-arm64.tar.gz
-rw-r--r--. 1 iwan_hooge oci        92 Mar 21 10:38 cilium-linux-arm64.tar.gz.sha256sum
-rw-r--r--. 1 iwan_hooge oci    126806 Mar 21 10:29 cilium.yaml
-rwxr-xr-x. 1 iwan_hooge oci       574 Mar 21 10:58 k8s-unmanaged.sh
-rw-------. 1 iwan_hooge oci      1671 Feb 14 10:07 ssh-key-2024-02-14.key
-rw-r--r--. 1 iwan_hooge oci       151 Mar 22 09:11 web-deny-all.yaml

Notez que le fichier web-deny-all.yaml est présent.

Mettez en oeuvre la politique de sécurité.

Exécutez la commande suivante pour mettre en oeuvre la politique de sécurité.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl apply -f web-deny-all.yaml
networkpolicy.networking.k8s.io/web-deny-all created
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$

Notez que la stratégie de sécurité est créée.

Déployez un exemple de pod pour tester à nouveau la connectivité de l'application Web après le déploiement de NetworkPolicy.
1. Exécutez la commande suivante pour déployer un exemple de pod afin de tester la connectivité de l'application Web.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl run --rm -i -t --image=alpine test-$RANDOM -- sh
If you don't see a command prompt, try pressing Enter.
```
2. Exécutez la commande suivante pour tester la connectivité au serveur Web à l'aide de wget.
```
/ # wget -qO- --timeout=2 http://web
wget: download timed out
```
3. Notez que la demande expire.
4. Exécutez la commande suivante pour quitter le pod temporaire.
```
/ # exit
Session ended, resume using 'kubectl attach test-26867 -c test-26867 -i -t' command when the pod is running
pod "test-26867" deleted
```
Supprimez la stratégie de sécurité et réexécutez les tests.
1. Exécutez la commande suivante pour supprimer la politique de sécurité.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete -f web-deny-all.yaml
```
2. Notez que la stratégie de sécurité est supprimée.
3. Exécutez la commande suivante pour déployer un exemple de pod afin de tester la connectivité de l'application Web.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl run --rm -i -t --image=alpine test-$RANDOM -- sh
If you don't see a command prompt, try pressing enter.
```
4. Exécutez la commande suivante pour tester la connectivité au serveur Web à l'aide de wget.
5. Notez le code HTML retourné par le serveur Web, ce qui confirme le fonctionnement du serveur Web et la connectivité.
6. Exécutez la commande suivante pour quitter le pod temporaire.
```
/ # exit
Session ended, resume using 'kubectl attach test-26248 -c test-26248 -i -t' command when the pod is running
pod "test-26248" deleted
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 
```
7. Notez que le pod est supprimé immédiatement après la sortie de l'interface de ligne de commande.

Tâche 5 : Supprimer l'exemple d'application Web et de service

Pour supprimer l'application Web déployée, exécutez la commande suivante.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete service web --namespace default
service "web" deleted

Pour supprimer le service Web déployé, exécutez la commande suivante.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete pods -l app=web --namespace default
pod "web" deleted

Tâche 6 : Déployer un exemple d'application et configurer les services Kubernetes de type LoadBalancer

Nous avons testé le service NetworkPolicy à l'aide de Cilium, testons également le service LoadBalancer à l'aide de Cilium.

Déployer un nouvel exemple d'application et de service.

Exécutez la commande suivante pour déployer un nouvel exemple d'application.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl apply -f https://k8s.io/examples/application/deployment.yaml 
deployment.apps/nginx-deployment created

Vérifiez que l'application a été créée.

Exécutez la commande suivante pour obtenir les pods déployés.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get pods
NAME                                READY   STATUS    RESTARTS   AGE
nginx-deployment-86dcfdf4c6-6ncvx   1/1     Running   0          10s
nginx-deployment-86dcfdf4c6-qbhn2   1/1     Running   0          10s

Vérifiez les pods déployés.

Exécutez la commande suivante pour exposer l'application au service LoadBalancer.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl expose deployment nginx-deployment --type=LoadBalancer --name=my-service
service/my-service exposed

Vérifiez que le service a été créé et que l'application a été exposée.

Exécutez la commande suivante pour vérifier les services exposés et les adresses IP.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get svc
NAME         TYPE           CLUSTER-IP    EXTERNAL-IP   PORT(S)             AGE
kubernetes   ClusterIP      10.96.0.1     <none>        443/TCP,12250/TCP   46h
my-service   LoadBalancer   10.96.56.91   <pending>     80:32422/TCP        12s

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get svc
NAME         TYPE           CLUSTER-IP    EXTERNAL-IP   PORT(S)             AGE
kubernetes   ClusterIP      10.96.0.1     <none>        443/TCP,12250/TCP   46h
my-service   LoadBalancer   10.96.56.91   <pending>     80:32422/TCP        23s

Notez que l'adresse IP externe est en attente.

Exécutez la commande suivante et notez que l'adresse IP publique est configurée (se termine par .88).

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get svc
NAME         TYPE           CLUSTER-IP    EXTERNAL-IP     PORT(S)             AGE
kubernetes   ClusterIP      10.96.0.1     <none>          443/TCP,12250/TCP   46h
my-service   LoadBalancer   10.96.56.91   XXX.XXX.XXX.88   80:32422/TCP       37s
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Copiez et collez l'adresse IP publique dans un navigateur Internet et vérifiez si l'application déployée (serveur Web Nginx avec le site Web par défaut) est accessible à l'aide de l'adresse IP publique du service LoadBalancer.

Tâche 7 : Supprimer un exemple d'application et de services Kubernetes de type LoadBalancer

Exécutez la commande suivante pour obtenir les pods déployés.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get pods
NAME                                READY   STATUS    RESTARTS   AGE
nginx-deployment-86dcfdf4c6-6ncvx   1/1     Running   0          2m54s
nginx-deployment-86dcfdf4c6-qbhn2   1/1     Running   0          2m54s

Vérifiez les pods déployés.

Pour supprimer l'application Web déployée, exécutez la commande suivante.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete deployment nginx-deployment --namespace default
deployment.apps "nginx-deployment" deleted

Vérifiez que l'application a été supprimée.

Exécutez la commande suivante pour obtenir les pods déployés.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get pods
No resources found in default namespace.

Notez que les pods ne sont plus déployés et qu'ils ont été supprimés.

Exécutez la commande suivante pour obtenir les services déployés.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get svc
NAME         TYPE           CLUSTER-IP    EXTERNAL-IP     PORT(S)             AGE
kubernetes   ClusterIP      10.96.0.1     <none>          443/TCP,12250/TCP   46h
my-service   LoadBalancer   10.96.56.91   XXX.XXX.XXX.88   80:32422/TCP        2m42s

Vérifiez les services déployés.

Pour supprimer les services LoadBalancer déployés, exécutez la commande suivante.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete service my-service -n default
service "my-service" deleted

Vérifiez que le service est supprimé.

Exécutez la commande suivante pour obtenir les services déployés.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get svc
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)             AGE
kubernetes   ClusterIP   10.96.0.1    <none>        443/TCP,12250/TCP   46h
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Notez que le service LoadBalancer n'est plus déployé et supprimé.

Créer une nouvelle grappe Kubernetes et vérifier les composants

Confirmation

Auteur - Iwan Hoogendoorn (spécialiste du réseau OCI)

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur la page docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal YouTube d'Oracle Learning. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.

Titre et droits d'auteur

Use Cilium to Provide Networking Services in Oracle Cloud Infrastructure Container Engine for Kubernetes

F96023-01

April 2024

Oracle et/ou ses sociétés affiliées.

Utiliser Cilium pour fournir des services de réseau dans Oracle Cloud Infrastructure Container Engine for Kubernetes

Présentation

Objectifs

Tâche 1 : Déployer une grappe Kubernetes à l'aide d'OKE

Tâche 2 : Installer Cilium en tant que plugiciel CNI sur la grappe Kubernetes déployée par OKE

Tâche 3 : Déployer un exemple d'application Web et de service

Tâche 4 : Configurer les services Kubernetes de type NetworkPolicy

Tâche 5 : Supprimer l'exemple d'application Web et de service

Tâche 6 : Déployer un exemple d'application et configurer les services Kubernetes de type LoadBalancer

Tâche 7 : Supprimer un exemple d'application et de services Kubernetes de type LoadBalancer

Liens connexes

Confirmation

Autres ressources d'apprentissage