Création de ressources réseau OKE
Certaines ressources réseau utilisées par Kubernetes Engine (OKE) sur Private Cloud Appliance doivent être configurées de manière spécifique.
Les définitions de ressource des sections suivantes créent un exemple de travail d'ensemble de ressources réseau pour les clusters de charge globale. Utilisez cette configuration comme guide lorsque vous créez ces ressources. Vous pouvez modifier les valeurs des propriétés telles que les blocs CIDR et les adresses IP. Ne modifiez pas les valeurs des propriétés telles que le protocole réseau, le paramètre avec conservation de statut ou le paramètre privé/public.
Pour les sous-réseaux utilisés pour créer ou exécuter un cluster OKE (y compris le pool de noeuds, l'équilibreur de charge et les sous-réseaux de pod), ne configurez pas de serveurs DNS personnalisés dans les options DHCP du sous-réseau. OKE dépend du résolveur DNS par défaut pour une résolution fiable des noms vers les services de plate-forme et Kubernetes requis (y compris le registre de région en rack utilisé pour extraire les images lors du provisionnement de cluster et de noeud). L'utilisation de résolveurs DHCP personnalisés peut entraîner des échecs de provisionnement de cluster et des problèmes de connectivité de noeud ou d'extension en cours. Si vous avez besoin d'une résolution de nom personnalisée, utilisez les fonctionnalités DNS OCI prises en charge (par exemple, DNS privé) sans remplacer les paramètres DNS DHCP du sous-réseau.
Reportez-vous aux sections Workload Cluster Network Ports (Flannel Overlay) et Workload Cluster Network Ports (VCN-Native Pod) pour connaître les ports spécifiques qui doivent être ouverts à des fins spécifiques.
Si le réseau d'administration de l'appareil est activé, demandez à l'administrateur système de vérifier que le réseau d'administration et le réseau du centre de données sont configurés pour autoriser le trafic vers et depuis le plan de contrôle du cluster.
Vous pouvez créer des ressources réseau pour deux types de réseau :
Clusters publics et privés récapitule les ressources réseau dont vous avez besoin pour créer un cluster public et les ressources réseau dont vous avez besoin pour créer un cluster privé.
Fonctions de réseau de pod
Le modèle Kubernetes de fonctions de réseau suppose que le conteneur (pods) possède des adresses IP uniques et routables au sein d'un cluster. Dans le modèle de réseau Kubernetes, les pods utilisent ces adresses IP pour communiquer avec d'autres pods sur le même noeud d'un cluster ou sur un autre noeud, avec des pods sur d'autres clusters, avec les noeuds de plan de contrôle du cluster, avec d'autres services (tels que les services de stockage) et avec Internet.
Par défaut, les pods acceptent le trafic à partir de n'importe quelle source. Pour améliorer la sécurité du cluster, contrôlez l'accès aux pods et à partir de ceux-ci à l'aide de règles de sécurité définies dans le cadre de groupes de sécurité réseau (recommandé) ou de listes de sécurité. Les règles de sécurité s'appliquent à tous les pods de tous les noeuds de processus actif connectés au sous-réseau de pod indiqué pour un pool de noeuds. Reportez-vous aux sections Controlling Traffic with Network Security Groups et Controlling Traffic with Security Lists.