Nota

Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriverti a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.

Usa Cilium per fornire servizi di networking in Oracle Cloud Infrastructure Container Engine for Kubernetes

Introduzione

Quando distribuiamo un nuovo cluster Kubernetes utilizzando Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE), il plugin CNI (Container Network Interface) predefinito installato è il plugin CNI nativo VCN OCI. Con il cloud native computing sei flessibile nel scegliere il tuo metodo di fornitura di servizi di rete (sicurezza) alla tua piattaforma di container semplicemente scegliendo un altro plugin CNI. In questa esercitazione verrà distribuito un nuovo cluster Kubernetes utilizzando OKE con il plugin CNI Flannel e verrà modificato in plugin CNI Cilium. Cilium offre altre funzioni di rete (sicurezza) rispetto al plugin CNI nativo VCN OCI e a Flannel.

immagine

Obiettivi

Implementa un nuovo cluster Kubernetes sulla piattaforma Oracle Cloud Infrastructure Container Engine for Kubernetes utilizzando il metodo di creazione personalizzato. Durante questa distribuzione, selezioneremo il plugin Flannel CNI, quindi distribuiremo il plugin Cilium CNI e rimuoveremo il plugin Flannel CNI in modo che Cilium sia il principale plugin CNI per i servizi di rete (sicurezza) per le nostre applicazioni cloud native e utilizzeremo il plugin Cilium CNI per distribuire e testare un servizio NetworkPolicy e LoadBalancer.

Task 1: distribuire un cluster Kubernetes utilizzando OKE

Per ulteriori informazioni sui diversi modelli di distribuzione OKE, vedere Esempio di configurazioni delle risorse di rete.

Di seguito sono riportati i modelli di distribuzione OKE di esempio.

Esempio 1: cluster con plugin CNI Flannel, endpoint dell'API Kubernetes pubblico, nodi di lavoro privati e load balancer pubblici.
Esempio 2: cluster con plugin CNI Flannel, endpoint dell'API Kubernetes privato, nodi di lavoro privati e load balancer pubblici.
Esempio 3: cluster con plugin CNI OCI, endpoint API Kubernetes pubblico, nodi di lavoro privati e load balancer pubblici.
Esempio 4: cluster con plugin CNI OCI, endpoint API Kubernetes privato, nodi di lavoro privati e load balancer pubblici.

In questa esercitazione verrà selezionato il modello di distribuzione Esempio 1. Abbiamo già spiegato come distribuire l'Esempio 3 qui: Creare un nuovo cluster Kubernetes e verificare i componenti.

Fare clic sul menu hamburger.
1. Fare clic su Servizi per sviluppatori.
2. Fare clic su Cluster Kubernetes (OKE).
Fare clic su Crea cluster.
1. Selezionare Creazione personalizzata.
2. Fare clic su Sottometti.
Immettere le informazioni riportate di seguito.
1. Immettere un nome di cluster.
2. Selezionare un compartimento.
3. Selezionare la versione Kubernetes.
4. Fare clic su Avanti.
In Impostazione della rete, immettere le informazioni riportate di seguito.
1. Selezionare Overlay canale come Tipo di rete.
2. Selezionare una VCN che si desidera utilizzare per distribuire il nuovo cluster Kubernetes. Per creare una VCN, vedere Creare una nuova VCN.
3. Selezionare una subnet all'interno della VCN selezionata per fornire gli indirizzi IP ai servizi Kubernetes. Per creare una subnet, vedere Creare una subnet privata all'interno della VCN.
4. Selezionare una subnet all'interno della VCN selezionata per fornire gli indirizzi IP agli endpoint API Kubernetes.
5. Selezionare Assign a public IP address to the API endpoint.
6. Fare clic su Avanti.
In Pool di nodi (nodi lavoratore), immettere le informazioni riportate di seguito. Possiamo selezionare impostazioni diverse, ma cercheremo di mantenere lo stesso.
1. Selezionare un compartimento.
2. Selezionare la versione Kubernetes.
3. Selezionare un dominio di disponibilità.
4. Selezionare una subnet all'interno della VCN selezionata per fornire gli indirizzi IP ai nodi di lavoro Kubernetes.
5. Selezionare i domini di errore da utilizzare per inserire i nodi di lavoro.
6. Fare clic su Avanti.
1. Esaminare le informazioni di Network.
2. Scorri in basso.
1. Rivedere le informazioni sul cluster.
2. Scorri in basso.
1. Rivedere le informazioni sui pool di nodi.
2. Scorri in basso.
1. Non selezionare Crea un cluster di base.
2. Fare clic su Crea cluster.
1. Esaminare lo stato dei diversi componenti.
2. Fare clic su Chiudi.
Verificare che lo stato sia CREATING.
1. Verificare che lo stato sia ACTIVE.
2. Scorri in basso.
1. Fare clic su Pool di nodi.
2. Si noti che il nodo di lavoro nel pool è ancora creazione.
1. Si noti che il nodo di lavoro nel pool è Attivo.
2. Fare clic sul nome del pool di nodi.
Scorri in basso.
Si noti che tutti i nodi sono Pronto e Attivo.

Una rappresentazione visiva di questa distribuzione è disponibile nel seguente diagramma.
Passare a Developer Services e Kubernetes Clusters (OKE). Fare clic sul cluster Kubernetes appena distribuito.
Fare clic su Accedi a cluster.
1. Selezionare Accesso a Cloud Shell.
2. Fare clic su Copia per copiare il comando e consentire l'accesso al cluster Kubernetes.
3. Fare clic su Avvia Cloud Shell.
Ora verrà avviata Cloud Shell. Alcune informazioni verranno visualizzate in background.
1. Si noti che si dispone dell'accesso a Cloud Shell.
2. Fare clic sull'icona di ingrandimento per ingrandire la finestra di Cloud Shell.

Incollare il comando copiato.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ oci ce cluster create-kubeconfig --cluster-id ocid1.cluster.oc1.eu-amsterdam-1.aaaaaaaaXXX --file $HOME/.kube/config --region eu-amsterdam-1 --token-version 2.0.0  --kube-endpoint PUBLIC_ENDPOINT
Existing Kubeconfig file found at /home/iwan_hooge/.kube/config and new config merged into it

immagine

Eseguire il comando seguente per ottenere le informazioni sui nodi di lavoro.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get nodes
NAME          STATUS   ROLES   AGE   VERSION
10.0.10.132   Ready    node    11m   v1.28.2
10.0.10.178   Ready    node    12m   v1.28.2
10.0.10.79    Ready    node    12m   v1.28.2

Rivedere i nodi di lavoro distribuiti.

immagine

Task 2: installare Cilium come plugin CNI nel cluster Kubernetes distribuito OKE

Verificare il plugin CNI attualmente distribuito (Flannel).

eseguire il comando seguente.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get all -n kube-system 
NAME                                      READY   STATUS    RESTARTS      AGE
pod/coredns-69c9994dbb-6b8tk              1/1     Running   0             12m
pod/coredns-69c9994dbb-qxq5j              1/1     Running   0             12m
pod/coredns-69c9994dbb-xdnfc              1/1     Running   0             16m
pod/csi-oci-node-h57qv                    1/1     Running   1 (12m ago)   14m
pod/csi-oci-node-nfrnw                    1/1     Running   0             14m
pod/csi-oci-node-pjqwk                    1/1     Running   0             15m
pod/kube-dns-autoscaler-d8d55cddd-pbfql   1/1     Running   0             16m
pod/kube-flannel-ds-9tc92                 1/1     Running   1 (13m ago)   14m
pod/kube-flannel-ds-b8dch                 1/1     Running   1 (12m ago)   14m
pod/kube-flannel-ds-lbvw9                 1/1     Running   0             15m
pod/kube-proxy-2stzh                      1/1     Running   0             15m
pod/kube-proxy-8t6j4                      1/1     Running   0             14m
pod/kube-proxy-jxx6c                      1/1     Running   0             14m
pod/proxymux-client-cmmxv                 1/1     Running   0             15m
pod/proxymux-client-kk9bh                 1/1     Running   0             14m
pod/proxymux-client-mn4k9                 1/1     Running   0             14m

NAME               TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)                  AGE
service/kube-dns   ClusterIP   10.96.5.5    <none>        53/UDP,53/TCP,9153/TCP   16m

NAME                                      DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR                                 AGE
daemonset.apps/csi-oci-node               3         3         3       3            3           <none>                                        16m
daemonset.apps/kube-flannel-ds            3         3         3       3            3           <none>                                        16m
daemonset.apps/kube-proxy                 3         3         3       3            3           beta.kubernetes.io/os=linux                   16m
daemonset.apps/node-termination-handler   0         0         0       0            0           oci.oraclecloud.com/oke-is-preemptible=true   16m
daemonset.apps/nvidia-gpu-device-plugin   0         0         0       0            0           <none>                                        16m
daemonset.apps/proxymux-client            3         3         3       3            3           node.info.ds_proxymux_client=true             16m

NAME                                  READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/coredns               3/3     3            3           16m
deployment.apps/kube-dns-autoscaler   1/1     1            1           16m

NAME                                            DESIRED   CURRENT   READY   AGE
replicaset.apps/coredns-69c9994dbb              3         3         3       16m
replicaset.apps/kube-dns-autoscaler-d8d55cddd   1         1         1       16m
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Si noti che il plugin CNI Flannel viene distribuito come pod.
Si noti che il plugin CNI Flannel viene distribuito come servizio.

immagine

Rappresentazione visiva dei nodi di lavoro Kubernetes con il plugin CNI Flannel installato.

immagine

Aggiungere il repository Cilium.

Eseguire il comando seguente per aggiungere il repository Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ helm repo add cilium https://helm.cilium.io/
WARNING: Kubernetes configuration file is group-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
WARNING: Kubernetes configuration file is world-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
"cilium" has been added to your repositories

Eseguire il comando seguente per generare il file YAML di distribuzione cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ helm show values cilium/cilium > cilium.yaml
WARNING: Kubernetes configuration file is group-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
WARNING: Kubernetes configuration file is world-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

immagine

Verificare che il file YAML Cilium sia presente utilizzando il comando seguente.
1. eseguire il comando seguente.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ls 
cilium.yaml  ssh-key-2024-02-14.key
```
2. Verificare che il file YAML sia presente.
3. Eseguire il comando seguente per modificare il file YAML con l'editor nano.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ nano cilium.yaml 
```

Il file YAML è un file di grandi dimensioni con molte impostazioni, consente di scorrere il file per trovare le seguenti impostazioni e aggiornare.

containerRuntime:
integration: crio
hubble:
tls:
    enabled: false
hubble:
relay:
    enabled: true
hubble:
ui:
    enabled: true
ipam:
mode: "kubernetes"
clustermesh:
useAPIServer: true

Utilizzare il collegamento CTRL + W per trovare una parola chiave, un'impostazione o una sezione.
1. Individuare la sezione runtime del contenitore.
2. Modificare il tipo di integrazione.
1. Nella sezione Configurazione TLS per Hubble.
2. Disabilita TLS.
1. Nella sezione relay.
2. Abilita relay.
1. Nella sezione *ui.
2. Abilitare l'interfaccia utente.
1. Nella sezione ipam.
2. Impostare la modalità su kubernetes.
1. Nella sezione clustermesh.
2. Impostare useAPIServer su true.
3. Utilizzare il collegamento CTRL + X per uscire dall'editor nano.
Immettere Y (sì) per salvare il file YAML.
Mantenere il nome predefinito del file YAML.
Una volta salvato il file, si tornerà al terminale.

Installare Cilium.

Eseguire il comando riportato di seguito per installare Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ helm install cilium cilium/cilium --namespace=kube-system -f cilium.yaml
WARNING: Kubernetes configuration file is group-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
WARNING: Kubernetes configuration file is world-readable. This is insecure. Location: /home/iwan_hooge/.kube/config
NAME: cilium
LAST DEPLOYED: Thu Mar 21 10:31:04 2024
NAMESPACE: kube-system
STATUS: deployed
REVISION: 1
TEST SUITE: None
NOTES:
You have successfully installed Cilium with Hubble Relay and Hubble UI.

Your release version is 1.15.2.

For any further help, visit https://docs.cilium.io/en/v1.15/gettinghelp
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Si noti il messaggio che Cilium è installato correttamente.

immagine

Per eseguire i comandi Cilium, scaricare l'interfaccia CLI (Command Line Interface) Cilium utilizzando i comandi seguenti.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ CILIUM_CLI_VERSION=$(curl -s https://raw.githubusercontent.com/cilium/cilium-cli/master/stable.txt)

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ CLI_ARCH=amd64

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ if [ "$(uname -m)" = "aarch64" ]; then CLI_ARCH=arm64; fi

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ curl -L --fail --remote-name-all https://github.com/cilium/cilium-cli/releases/download/${CILIUM_CLI_VERSION}/cilium-linux-${CLI_ARCH}.tar.gz{,.sha256sum}
% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                Dload  Upload   Total   Spent    Left  Speed
0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
100 37.5M  100 37.5M    0     0  28.7M      0  0:00:01  0:00:01 --:--:-- 53.3M
% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                Dload  Upload   Total   Spent    Left  Speed
0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
100    92  100    92    0     0    128      0 --:--:-- --:--:-- --:--:--     0
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ sha256sum --check cilium-linux-${CLI_ARCH}.tar.gz.sha256sum
cilium-linux-arm64.tar.gz: OK

immagine

Eseguire il comando riportato di seguito per decomprimere l'applicazione CLI Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ sudo tar xzvf cilium-linux-${CLI_ARCH}.tar.gz

Per confermare la presenza del file CLI Cilium, eseguire il comando seguente.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ls -l
total 138060
-rw-r--r--. 1 iwan_hooge oci 101843096 Mar 18 17:19 cilium
-rw-r--r--. 1 iwan_hooge oci  39388621 Mar 21 10:38 cilium-linux-arm64.tar.gz
-rw-r--r--. 1 iwan_hooge oci        92 Mar 21 10:38 cilium-linux-arm64.tar.gz.sha256sum
-rw-r--r--. 1 iwan_hooge oci    126806 Mar 21 10:29 cilium.yaml
-rw-------. 1 iwan_hooge oci      1671 Feb 14 10:07 ssh-key-2024-02-14.key
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$

Dopo la compressione riuscita, notare un file denominato cillium nell'elenco.

immagine

Eseguire il comando seguente per rimuovere il file compresso scaricato.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ rm cilium-linux-${CLI_ARCH}.tar.gz{,.sha256sum}

Utilizzare la CLI Cilium.

Eseguire il comando riportato di seguito per rendere eseguibile il file CLI Cilium.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ chmod 777 cilium
```

Eseguire il comando riportato di seguito per controllare lo stato del cluster Kubernetes con Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./cilium status
    /¯¯\
/¯¯\__/¯¯\    Cilium:             OK
\__/¯¯\__/    Operator:           OK
/¯¯\__/¯¯\    Envoy DaemonSet:    disabled (using embedded mode)
\__/¯¯\__/    Hubble Relay:       1 errors
    \__/       ClusterMesh:        OK

Deployment             clustermesh-apiserver    Desired: 1, Ready: 1/1, Available: 1/1
Deployment             cilium-operator          Desired: 2, Ready: 2/2, Available: 2/2
Deployment             hubble-ui                Desired: 1, Unavailable: 1/1
Deployment             hubble-relay             Desired: 1, Unavailable: 1/1
DaemonSet              cilium                   Desired: 3, Ready: 3/3, Available: 3/3
Containers:            cilium                   Running: 3
                    cilium-operator          Running: 2
                    hubble-ui                Running: 1
                    clustermesh-apiserver    Running: 1
                    hubble-relay             Running: 1
Cluster Pods:          3/7 managed by Cilium
Helm chart version:    1.15.2
Image versions         cilium                   quay.io/cilium/cilium:v1.15.2@sha256:bfeb3f1034282444ae8c498dca94044df2b9c9c8e7ac678e0b43c849f0b31746: 3
                    cilium-operator          quay.io/cilium/operator-generic:v1.15.2@sha256:4dd8f67630f45fcaf58145eb81780b677ef62d57632d7e4442905ad3226a9088: 2
                    hubble-ui                quay.io/cilium/hubble-ui:v0.13.0@sha256:7d663dc16538dd6e29061abd1047013a645e6e69c115e008bee9ea9fef9a6666: 1
                    hubble-ui                quay.io/cilium/hubble-ui-backend:v0.13.0@sha256:1e7657d997c5a48253bb8dc91ecee75b63018d16ff5e5797e5af367336bc8803: 1
                    clustermesh-apiserver    quay.io/cilium/clustermesh-apiserver:v1.15.2@sha256:478c77371f34d6fe5251427ff90c3912567c69b2bdc87d72377e42a42054f1c2: 2
                    hubble-relay             quay.io/cilium/hubble-relay:v1.15.2@sha256:48480053930e884adaeb4141259ff1893a22eb59707906c6d38de2fe01916cb0: 1
Errors:                hubble-ui                hubble-ui       1 pods of Deployment hubble-ui are not ready
                    hubble-relay             hubble-relay    1 pods of Deployment hubble-relay are not ready
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Nota: si verificheranno alcuni errori perché alcuni pod non sono ancora gestiti da Cilium quando il pod è stato avviato prima dell'esecuzione di Cilium.

Questo errore è correlato a ClusterMesh.
Questo errore è correlato all'interfaccia utente Hubble e al relay Hubble.
Si noti che non tutti i pod cluster sono gestiti da Cilium. Solo 3/7 pod sono gestiti da Cilium. Dobbiamo assicurarci che tutti siano gestiti da Cilium.
Si notino alcuni messaggi di errore aggiuntivi relativi agli errori sopra riportati.

immagine

Controllare e allocare i pod attualmente non gestiti da Cilium. Cilium fornisce uno script per aiutarti a identificarli.

Per scaricare lo script, eseguire il comando seguente.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ curl -sLO https://raw.githubusercontent.com/cilium/cilium/master/contrib/k8s/k8s-unmanaged.sh

Eseguire il comando seguente per rendere eseguibile questo script.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ chmod +x k8s-unmanaged.sh

immagine

Eseguire il comando seguente per eseguire questo script e rilevare i pod che richiedono ulteriore attenzione.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./k8s-unmanaged.sh
Skipping pods with host networking enabled or with status not in Running or Pending phase...
kube-system/clustermesh-apiserver-664b6c9c84-p49tr
kube-system/hubble-relay-58d6b4cc94-kdwl4
kube-system/hubble-ui-6548d56557-w9s6t
kube-system/kube-dns-autoscaler-d8d55cddd-pbfql
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Si noti che i pod che richiedono attenzione.

immagine

Eseguire il comando seguente per eliminare i pod che richiedono attenzione.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl -n kube-system delete pod clustermesh-apiserver-664b6c9c84-p49tr hubble-relay-58d6b4cc94-kdwl4 hubble-ui-6548d56557-w9s6t kube-dns-autoscaler-d8d55cddd-pbfql
pod "clustermesh-apiserver-664b6c9c84-p49tr" deleted
pod "hubble-relay-58d6b4cc94-kdwl4" deleted
pod "hubble-ui-6548d56557-w9s6t" deleted
pod "kube-dns-autoscaler-d8d55cddd-pbfql" deleted
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

La conferma dei pod eliminati.

immagine

Eseguire il comando seguente per eseguire questo script e rilevare i pod che richiedono ulteriore attenzione.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./k8s-unmanaged.sh
Skipping pods with host networking enabled or with status not in Running or Pending phase...
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Si noti che non ci sono pod che richiedono più attenzione, il che significa che i pod sono ora ricreati con il networking Cilium abilitato.

Controlla lo stato del cluster Kubernetes con Cilium.

Eseguire il comando riportato di seguito per controllare lo stato del cluster Kubernetes con Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./cilium status
    /¯¯\
/¯¯\__/¯¯\    Cilium:             OK
\__/¯¯\__/    Operator:           OK
/¯¯\__/¯¯\    Envoy DaemonSet:    disabled (using embedded mode)
\__/¯¯\__/    Hubble Relay:       OK
    \__/       ClusterMesh:        OK

Deployment             hubble-ui                Desired: 1, Ready: 1/1, Available: 1/1
Deployment             cilium-operator          Desired: 2, Ready: 2/2, Available: 2/2
Deployment             clustermesh-apiserver    Desired: 1, Ready: 1/1, Available: 1/1
DaemonSet              cilium                   Desired: 3, Ready: 3/3, Available: 3/3
Deployment             hubble-relay             Desired: 1, Ready: 1/1, Available: 1/1
Containers:            cilium                   Running: 3
                    hubble-ui                Running: 1
                    hubble-relay             Running: 1
                    cilium-operator          Running: 2
                    clustermesh-apiserver    Running: 1
Cluster Pods:          7/7 managed by Cilium
Helm chart version:    1.15.2
Image versions         hubble-ui                quay.io/cilium/hubble-ui:v0.13.0@sha256:7d663dc16538dd6e29061abd1047013a645e6e69c115e008bee9ea9fef9a6666: 1
                    hubble-ui                quay.io/cilium/hubble-ui-backend:v0.13.0@sha256:1e7657d997c5a48253bb8dc91ecee75b63018d16ff5e5797e5af367336bc8803: 1
                    hubble-relay             quay.io/cilium/hubble-relay:v1.15.2@sha256:48480053930e884adaeb4141259ff1893a22eb59707906c6d38de2fe01916cb0: 1
                    cilium-operator          quay.io/cilium/operator-generic:v1.15.2@sha256:4dd8f67630f45fcaf58145eb81780b677ef62d57632d7e4442905ad3226a9088: 2
                    clustermesh-apiserver    quay.io/cilium/clustermesh-apiserver:v1.15.2@sha256:478c77371f34d6fe5251427ff90c3912567c69b2bdc87d72377e42a42054f1c2: 2
                    cilium                   quay.io/cilium/cilium:v1.15.2@sha256:bfeb3f1034282444ae8c498dca94044df2b9c9c8e7ac678e0b43c849f0b31746: 3
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$       

Si noti che tutti i pod cluster sono gestiti da Cilium.

immagine

Verificare i plugin CNI distribuiti.

Eseguire il comando seguente per verificare i plugin CNI attualmente distribuiti (Flannel e Cilium).

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get all -n kube-system 
NAME                                         READY   STATUS    RESTARTS      AGE
pod/cilium-operator-5995454695-8c6m4         1/1     Running   0             33m
pod/cilium-operator-5995454695-s28sl         1/1     Running   0             33m
pod/cilium-v8phg                             1/1     Running   0             33m
pod/cilium-vnfng                             1/1     Running   0             33m
pod/cilium-w8qq9                             1/1     Running   0             33m
pod/clustermesh-apiserver-664b6c9c84-4gvrp   1/2     Error     1 (77s ago)   2m29s
pod/coredns-69c9994dbb-c2v77                 1/1     Running   0             33m
pod/coredns-69c9994dbb-kjdxp                 1/1     Running   0             33m
pod/coredns-69c9994dbb-sqv8t                 1/1     Running   0             32m
pod/csi-oci-node-h57qv                       1/1     Running   1 (22h ago)   22h
pod/csi-oci-node-nfrnw                       1/1     Running   0             22h
pod/csi-oci-node-pjqwk                       1/1     Running   0             22h
pod/hubble-relay-58d6b4cc94-lrjls            1/1     Running   0             2m29s
pod/hubble-ui-6548d56557-hnt2d               2/2     Running   0             2m29s
pod/kube-dns-autoscaler-d8d55cddd-n5zv5      1/1     Running   0             2m29s
pod/kube-flannel-ds-9tc92                    1/1     Running   1 (22h ago)   22h
pod/kube-flannel-ds-b8dch                    1/1     Running   1 (22h ago)   22h
pod/kube-flannel-ds-lbvw9                    1/1     Running   0             22h
pod/kube-proxy-2stzh                         1/1     Running   0             22h
pod/kube-proxy-8t6j4                         1/1     Running   0             22h
pod/kube-proxy-jxx6c                         1/1     Running   0             22h
pod/proxymux-client-cmmxv                    1/1     Running   0             22h
pod/proxymux-client-kk9bh                    1/1     Running   0             22h
pod/proxymux-client-mn4k9                    1/1     Running   0             22h

NAME                                    TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)                  AGE
service/clustermesh-apiserver           NodePort    10.96.181.249   <none>        2379:32379/TCP           33m
service/clustermesh-apiserver-metrics   ClusterIP   None            <none>        9962/TCP,9963/TCP        33m
service/hubble-peer                     ClusterIP   10.96.249.93    <none>        80/TCP                   33m
service/hubble-relay                    ClusterIP   10.96.172.180   <none>        80/TCP                   33m
service/hubble-ui                       ClusterIP   10.96.119.250   <none>        80/TCP                   33m
service/kube-dns                        ClusterIP   10.96.5.5       <none>        53/UDP,53/TCP,9153/TCP   22h

NAME                                      DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR                                 AGE
daemonset.apps/cilium                     3         3         3       3            3           kubernetes.io/os=linux                        33m
daemonset.apps/csi-oci-node               3         3         3       3            3           <none>                                        22h
daemonset.apps/kube-flannel-ds            3         3         3       3            3           <none>                                        22h
daemonset.apps/kube-proxy                 3         3         3       3            3           beta.kubernetes.io/os=linux                   22h
daemonset.apps/node-termination-handler   0         0         0       0            0           oci.oraclecloud.com/oke-is-preemptible=true   22h
daemonset.apps/nvidia-gpu-device-plugin   0         0         0       0            0           <none>                                        22h
daemonset.apps/proxymux-client            3         3         3       3            3           node.info.ds_proxymux_client=true             22h

NAME                                    READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/cilium-operator         2/2     2            2           33m
deployment.apps/clustermesh-apiserver   0/1     1            0           33m
deployment.apps/coredns                 3/3     3            3           22h
deployment.apps/hubble-relay            1/1     1            1           33m
deployment.apps/hubble-ui               1/1     1            1           33m
deployment.apps/kube-dns-autoscaler     1/1     1            1           22h

NAME                                               DESIRED   CURRENT   READY   AGE
replicaset.apps/cilium-operator-5995454695         2         2         2       33m
replicaset.apps/clustermesh-apiserver-664b6c9c84   1         1         0       33m
replicaset.apps/coredns-69c9994dbb                 3         3         3       22h
replicaset.apps/hubble-relay-58d6b4cc94            1         1         1       33m
replicaset.apps/hubble-ui-6548d56557               1         1         1       33m
replicaset.apps/kube-dns-autoscaler-d8d55cddd      1         1         1       22h
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Si noti che è presente il plugin Cilium CNI.
Si noti che è presente anche il plugin Flannel CNI.

immagine

Si tratta di una rappresentazione visiva dei nodi di lavoro Kubernetes con i plugin Flannel e Cilium CNI installati.

immagine

Eliminare il plugin CNI Flannel.

Eseguire il comando seguente per eliminare il plugin CNI Flannel.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete -n kube-system daemonset kube-flannel-ds
daemonset.apps "kube-flannel-ds" deleted
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Si noti il messaggio che il plugin CNI Flannel è stato eliminato correttamente.

immagine

Verificare i plugin CNI distribuiti.

Eseguire il comando seguente per verificare i plugin CNI attualmente distribuiti (Cilium).

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get all -n kube-system 
NAME                                         READY   STATUS    RESTARTS      AGE
pod/cilium-operator-5995454695-8c6m4         1/1     Running   0             35m
pod/cilium-operator-5995454695-s28sl         1/1     Running   0             35m
pod/cilium-v8phg                             1/1     Running   0             35m
pod/cilium-vnfng                             1/1     Running   0             35m
pod/cilium-w8qq9                             1/1     Running   0             35m
pod/clustermesh-apiserver-664b6c9c84-4gvrp   2/2     Running   3 (50s ago)   4m28s
pod/coredns-69c9994dbb-c2v77                 1/1     Running   0             35m
pod/coredns-69c9994dbb-kjdxp                 1/1     Running   0             35m
pod/coredns-69c9994dbb-sqv8t                 1/1     Running   0             34m
pod/csi-oci-node-h57qv                       1/1     Running   1 (22h ago)   22h
pod/csi-oci-node-nfrnw                       1/1     Running   0             22h
pod/csi-oci-node-pjqwk                       1/1     Running   0             22h
pod/hubble-relay-58d6b4cc94-lrjls            1/1     Running   0             4m28s
pod/hubble-ui-6548d56557-hnt2d               2/2     Running   0             4m28s
pod/kube-dns-autoscaler-d8d55cddd-n5zv5      1/1     Running   0             4m28s
pod/kube-proxy-2stzh                         1/1     Running   0             22h
pod/kube-proxy-8t6j4                         1/1     Running   0             22h
pod/kube-proxy-jxx6c                         1/1     Running   0             22h
pod/proxymux-client-cmmxv                    1/1     Running   0             22h
pod/proxymux-client-kk9bh                    1/1     Running   0             22h
pod/proxymux-client-mn4k9                    1/1     Running   0             22h

NAME                                    TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)                  AGE
service/clustermesh-apiserver           NodePort    10.96.181.249   <none>        2379:32379/TCP           35m
service/clustermesh-apiserver-metrics   ClusterIP   None            <none>        9962/TCP,9963/TCP        35m
service/hubble-peer                     ClusterIP   10.96.249.93    <none>        80/TCP                   35m
service/hubble-relay                    ClusterIP   10.96.172.180   <none>        80/TCP                   35m
service/hubble-ui                       ClusterIP   10.96.119.250   <none>        80/TCP                   35m
service/kube-dns                        ClusterIP   10.96.5.5       <none>        53/UDP,53/TCP,9153/TCP   22h

NAME                                      DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR                                 AGE
daemonset.apps/cilium                     3         3         3       3            3           kubernetes.io/os=linux                        35m
daemonset.apps/csi-oci-node               3         3         3       3            3           <none>                                        22h
daemonset.apps/kube-proxy                 3         3         3       3            3           beta.kubernetes.io/os=linux                   22h
daemonset.apps/node-termination-handler   0         0         0       0            0           oci.oraclecloud.com/oke-is-preemptible=true   22h
daemonset.apps/nvidia-gpu-device-plugin   0         0         0       0            0           <none>                                        22h
daemonset.apps/proxymux-client            3         3         3       3            3           node.info.ds_proxymux_client=true             22h

NAME                                    READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/cilium-operator         2/2     2            2           35m
deployment.apps/clustermesh-apiserver   1/1     1            1           35m
deployment.apps/coredns                 3/3     3            3           22h
deployment.apps/hubble-relay            1/1     1            1           35m
deployment.apps/hubble-ui               1/1     1            1           35m
deployment.apps/kube-dns-autoscaler     1/1     1            1           22h

NAME                                               DESIRED   CURRENT   READY   AGE
replicaset.apps/cilium-operator-5995454695         2         2         2       35m
replicaset.apps/clustermesh-apiserver-664b6c9c84   1         1         1       35m
replicaset.apps/coredns-69c9994dbb                 3         3         3       22h
replicaset.apps/hubble-relay-58d6b4cc94            1         1         1       35m
replicaset.apps/hubble-ui-6548d56557               1         1         1       35m
replicaset.apps/kube-dns-autoscaler-d8d55cddd      1         1         1       22h
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Si noti che il plugin Cilium CNI è presente e il plugin Flannel CNI viene rimosso.

immagine

Rappresentazione visiva dei nodi di lavoro Kubernetes con il plugin Cilium CNI installato.

immagine

Comando aggiuntivo che può essere utilizzato per verificare la posizione in cui è installato Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl -n kube-system get pods -l k8s-app=cilium
NAME           READY   STATUS    RESTARTS   AGE
cilium-v8phg   1/1     Running   0          22h
cilium-vnfng   1/1     Running   0          22h
cilium-w8qq9   1/1     Running   0          22h
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Controlla lo stato del cluster Kubernetes con Cilium.

Eseguire il comando riportato di seguito per controllare lo stato del cluster Kubernetes con Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./cilium status
    /¯¯\
/¯¯\__/¯¯\    Cilium:             OK
\__/¯¯\__/    Operator:           OK
/¯¯\__/¯¯\    Envoy DaemonSet:    disabled (using embedded mode)
\__/¯¯\__/    Hubble Relay:       OK
    \__/       ClusterMesh:        OK

Deployment             clustermesh-apiserver    Desired: 1, Ready: 1/1, Available: 1/1
Deployment             cilium-operator          Desired: 2, Ready: 2/2, Available: 2/2
Deployment             hubble-ui                Desired: 1, Ready: 1/1, Available: 1/1
Deployment             hubble-relay             Desired: 1, Ready: 1/1, Available: 1/1
DaemonSet              cilium                   Desired: 3, Ready: 3/3, Available: 3/3
Containers:            cilium                   Running: 3
                    cilium-operator          Running: 2
                    hubble-ui                Running: 1
                    clustermesh-apiserver    Running: 1
                    hubble-relay             Running: 1
Cluster Pods:          7/7 managed by Cilium
Helm chart version:    1.15.2
Image versions         cilium                   quay.io/cilium/cilium:v1.15.2@sha256:bfeb3f1034282444ae8c498dca94044df2b9c9c8e7ac678e0b43c849f0b31746: 3
                    cilium-operator          quay.io/cilium/operator-generic:v1.15.2@sha256:4dd8f67630f45fcaf58145eb81780b677ef62d57632d7e4442905ad3226a9088: 2
                    hubble-ui                quay.io/cilium/hubble-ui:v0.13.0@sha256:7d663dc16538dd6e29061abd1047013a645e6e69c115e008bee9ea9fef9a6666: 1
                    hubble-ui                quay.io/cilium/hubble-ui-backend:v0.13.0@sha256:1e7657d997c5a48253bb8dc91ecee75b63018d16ff5e5797e5af367336bc8803: 1
                    clustermesh-apiserver    quay.io/cilium/clustermesh-apiserver:v1.15.2@sha256:478c77371f34d6fe5251427ff90c3912567c69b2bdc87d72377e42a42054f1c2: 2
                    hubble-relay             quay.io/cilium/hubble-relay:v1.15.2@sha256:48480053930e884adaeb4141259ff1893a22eb59707906c6d38de2fe01916cb0: 1
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Si noti che tutti i pod cluster sono gestiti da Cilium.

immagine

Cilium ha un test di connettività integrato in grado di testare la rete all'interno del cluster Kubernetes. Eseguire il comando seguente per eseguire i test di connettività Cilium.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ./cilium connectivity test
ℹ️  Monitor aggregation detected, will skip some flow validation steps
✨ [cluster-c6e7ypjgkyq] Creating namespace cilium-test for connectivity check...
✨ [cluster-c6e7ypjgkyq] Deploying echo-same-node service...
✨ [cluster-c6e7ypjgkyq] Deploying DNS test server configmap...
✨ [cluster-c6e7ypjgkyq] Deploying same-node deployment...
✨ [cluster-c6e7ypjgkyq] Deploying client deployment...
✨ [cluster-c6e7ypjgkyq] Deploying client2 deployment...
✨ [cluster-c6e7ypjgkyq] Deploying client3 deployment...
✨ [cluster-c6e7ypjgkyq] Deploying echo-other-node service...
✨ [cluster-c6e7ypjgkyq] Deploying other-node deployment...
✨ [host-netns] Deploying cluster-c6e7ypjgkyq daemonset...
✨ [host-netns-non-cilium] Deploying cluster-c6e7ypjgkyq daemonset...
ℹ️  Skipping tests that require a node Without Cilium
⌛ [cluster-c6e7ypjgkyq] Waiting for deployment cilium-test/client to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for deployment cilium-test/client2 to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for deployment cilium-test/echo-same-node to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for deployment cilium-test/client3 to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for deployment cilium-test/echo-other-node to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client-69748f45d8-pxzz5 to reach DNS server on cilium-test/echo-same-node-66b5db75b9-hxjws pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client2-56896f78f8-5tzsv to reach DNS server on cilium-test/echo-same-node-66b5db75b9-hxjws pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client3-5f56bc568c-xx8kd to reach DNS server on cilium-test/echo-same-node-66b5db75b9-hxjws pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client3-5f56bc568c-xx8kd to reach DNS server on cilium-test/echo-other-node-d8c5659dc-mhpkk pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client-69748f45d8-pxzz5 to reach DNS server on cilium-test/echo-other-node-d8c5659dc-mhpkk pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client2-56896f78f8-5tzsv to reach DNS server on cilium-test/echo-other-node-d8c5659dc-mhpkk pod...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client-69748f45d8-pxzz5 to reach default/kubernetes service...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client2-56896f78f8-5tzsv to reach default/kubernetes service...
⌛ [cluster-c6e7ypjgkyq] Waiting for pod cilium-test/client3-5f56bc568c-xx8kd to reach default/kubernetes service...
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-other-node to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-other-node to be synchronized by Cilium pod kube-system/cilium-v8phg
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-other-node to be synchronized by Cilium pod kube-system/cilium-vnfng
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-same-node to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-same-node to be synchronized by Cilium pod kube-system/cilium-v8phg
⌛ [cluster-c6e7ypjgkyq] Waiting for Service cilium-test/echo-same-node to be synchronized by Cilium pod kube-system/cilium-vnfng
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.132:31758 (cilium-test/echo-other-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.132:31787 (cilium-test/echo-same-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.178:31758 (cilium-test/echo-other-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.178:31787 (cilium-test/echo-same-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.79:31758 (cilium-test/echo-other-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for NodePort 10.0.10.79:31787 (cilium-test/echo-same-node) to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for DaemonSet cilium-test/host-netns-non-cilium to become ready...
⌛ [cluster-c6e7ypjgkyq] Waiting for DaemonSet cilium-test/host-netns to become ready...
ℹ️  Skipping IPCache check
🔭 Enabling Hubble telescope...
⚠️  Unable to contact Hubble Relay, disabling Hubble telescope and flow validation: rpc error: code = Unavailable desc = connection error: desc = "transport: Error while dialing: dial tcp 127.0.0.1:4245: connect: connection refused"
ℹ️  Expose Relay locally with:
   cilium hubble enable
   cilium hubble port-forward&
ℹ️  Cilium version: 1.15.2
🏃 Running 75 tests ...
[=] Test [no-unexpected-packet-drops] [1/75]
...
[=] Test [no-policies] [2/75]
.........................................................
[=] Skipping Test [no-policies-from-outside] [3/75] (skipped by condition)
[=] Test [no-policies-extra] [4/75]
................................................
[=] Test [allow-all-except-world] [5/75]
....................................
[=] Test [client-ingress] [6/75]
......
[=] Test [client-ingress-knp] [7/75]
......
[=] Test [allow-all-with-metrics-check] [8/75]
......
[=] Test [all-ingress-deny] [9/75]
............
[=] Skipping Test [all-ingress-deny-from-outside] [10/75] (skipped by condition)
[=] Test [all-ingress-deny-knp] [11/75]
............
[=] Test [all-egress-deny] [12/75]
........................
[=] Test [all-egress-deny-knp] [13/75]
........................
[=] Test [all-entities-deny] [14/75]
............
[=] Test [cluster-entity] [15/75]
...
[=] Skipping Test [cluster-entity-multi-cluster] [16/75] (skipped by condition)
[=] Test [host-entity-egress] [17/75]
..................
[=] Test [host-entity-ingress] [18/75]
......
[=] Test [echo-ingress] [19/75]
......
[=] Skipping Test [echo-ingress-from-outside] [20/75] (skipped by condition)
[=] Test [echo-ingress-knp] [21/75]
......
[=] Test [client-ingress-icmp] [22/75]
......
[=] Test [client-egress] [23/75]
......
[=] Test [client-egress-knp] [24/75]
......
[=] Test [client-egress-expression] [25/75]
......
[=] Test [client-egress-expression-knp] [26/75]
......
[=] Test [client-with-service-account-egress-to-echo] [27/75]
......
[=] Test [client-egress-to-echo-service-account] [28/75]
......
[=] Test [to-entities-world] [29/75]
.........
[=] Test [to-cidr-external] [30/75]
......
[=] Test [to-cidr-external-knp] [31/75]
......
[=] Skipping Test [from-cidr-host-netns] [32/75] (skipped by condition)
[=] Test [echo-ingress-from-other-client-deny] [33/75]
..........
[=] Test [client-ingress-from-other-client-icmp-deny] [34/75]
............
[=] Test [client-egress-to-echo-deny] [35/75]
............
[=] Test [client-ingress-to-echo-named-port-deny] [36/75]
....
[=] Test [client-egress-to-echo-expression-deny] [37/75]
....
[=] Test [client-with-service-account-egress-to-echo-deny] [38/75]
....
[=] Test [client-egress-to-echo-service-account-deny] [39/75]
..
[=] Test [client-egress-to-cidr-deny] [40/75]
......
[=] Test [client-egress-to-cidr-deny-default] [41/75]
......
[=] Test [health] [42/75]
...
[=] Skipping Test [north-south-loadbalancing] [43/75] (Feature node-without-cilium is disabled)
[=] Test [pod-to-pod-encryption] [44/75]
.
[=] Test [node-to-node-encryption] [45/75]
...
[=] Skipping Test [egress-gateway] [46/75] (skipped by condition)
[=] Skipping Test [egress-gateway-excluded-cidrs] [47/75] (Feature enable-ipv4-egress-gateway is disabled)
[=] Skipping Test [pod-to-node-cidrpolicy] [48/75] (Feature cidr-match-nodes is disabled)
[=] Skipping Test [north-south-loadbalancing-with-l7-policy] [49/75] (Feature node-without-cilium is disabled)
[=] Test [echo-ingress-l7] [50/75]
..................
[=] Test [echo-ingress-l7-named-port] [51/75]
..................
[=] Test [client-egress-l7-method] [52/75]
..................
[=] Test [client-egress-l7] [53/75]
...............
[=] Test [client-egress-l7-named-port] [54/75]
...............
[=] Skipping Test [client-egress-l7-tls-deny-without-headers] [55/75] (Feature secret-backend-k8s is disabled)
[=] Skipping Test [client-egress-l7-tls-headers] [56/75] (Feature secret-backend-k8s is disabled)
[=] Skipping Test [client-egress-l7-set-header] [57/75] (Feature secret-backend-k8s is disabled)
[=] Skipping Test [echo-ingress-auth-always-fail] [58/75] (Feature mutual-auth-spiffe is disabled)
[=] Skipping Test [echo-ingress-mutual-auth-spiffe] [59/75] (Feature mutual-auth-spiffe is disabled)
[=] Skipping Test [pod-to-ingress-service] [60/75] (Feature ingress-controller is disabled)
[=] Skipping Test [pod-to-ingress-service-deny-all] [61/75] (Feature ingress-controller is disabled)
[=] Skipping Test [pod-to-ingress-service-deny-ingress-identity] [62/75] (Feature ingress-controller is disabled)
[=] Skipping Test [pod-to-ingress-service-deny-backend-service] [63/75] (Feature ingress-controller is disabled)
[=] Skipping Test [pod-to-ingress-service-allow-ingress-identity] [64/75] (Feature ingress-controller is disabled)
[=] Skipping Test [outside-to-ingress-service] [65/75] (Feature ingress-controller is disabled)
[=] Skipping Test [outside-to-ingress-service-deny-world-identity] [66/75] (Feature ingress-controller is disabled)
[=] Skipping Test [outside-to-ingress-service-deny-cidr] [67/75] (Feature ingress-controller is disabled)
[=] Skipping Test [outside-to-ingress-service-deny-all-ingress] [68/75] (Feature ingress-controller is disabled)
[=] Test [dns-only] [69/75]
...............
[=] Test [to-fqdns] [70/75]
............
[=] Skipping Test [pod-to-controlplane-host] [71/75] (skipped by condition)
[=] Skipping Test [pod-to-k8s-on-controlplane] [72/75] (skipped by condition)
[=] Skipping Test [pod-to-controlplane-host-cidr] [73/75] (skipped by condition)
[=] Skipping Test [pod-to-k8s-on-controlplane-cidr] [74/75] (skipped by condition)
[=] Test [check-log-errors] [75/75]
.............................

✅ All 47 tests (555 actions) successful, 28 tests skipped, 1 scenarios skipped.
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

immagine

Si noti che il test ha determinato l'esecuzione di 75 test in questo caso.
Al termine dei test, verrà visualizzato un riepilogo.

Task 3: Distribuire un'applicazione Web e un servizio Web di esempio

Consente di distribuire un'applicazione e un servizio Web di esempio.
1. Eseguire il comando riportato di seguito per distribuire un'applicazione Web e un servizio di esempio.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl run web --image=nginx --labels="app=web" --expose --port=80
service/web created
pod/web created
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 
```
2. Si noti che l'applicazione e il servizio sono stati creati correttamente.

Verificare l'applicazione distribuita.

Eseguire il comando seguente per verificare l'applicazione distribuita.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get pods
NAME   READY   STATUS    RESTARTS   AGE
web    1/1     Running   0          56s

Si noti che l'applicazione Web è in esecuzione.

Eseguire il comando riportato di seguito per verificare il servizio distribuito.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get deploy,svc
NAME                 TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)             AGE
service/kubernetes   ClusterIP   10.96.0.1      <none>        443/TCP,12250/TCP   44h
service/web          ClusterIP   10.96.199.73   <none>        80/TCP              74s

Si noti che il servizio Web è in esecuzione.

immagine

Esistono diversi modi per testare la connettività all'applicazione, un modo è aprire un browser e verificare se possiamo accedere alla pagina Web. ma quando non abbiamo un browser disponibile, possiamo eseguire un altro test rapido distribuendo un pod temporaneo.

Eseguire il comando riportato di seguito per distribuire un pod di esempio per eseguire il test della connettività dell'applicazione Web.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl run --rm -i -t --image=alpine test-$RANDOM -- sh
If you don't see a command prompt, try pressing enter.
/ # 

Eseguire il comando seguente per eseguire il test della connettività al server Web utilizzando wget.

/ # wget -qO- http://web
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

Si noti il codice HTML restituito dal server Web, conferma il server Web e la connettività funziona.

Eseguire il comando seguente per uscire dal pod temporaneo.

/ # exit
Session ended, resume using 'kubectl attach test-8599 -c test-8599 -i -t' command when the pod is running
pod "test-8599" deleted

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$

Si noti che il pod viene eliminato immediatamente dopo l'uscita dall'interfaccia CLI.

immagine

Task 4: configurare i servizi Kubernetes di tipo NetworkPolicy

Uno dei servizi di sicurezza di rete che il plugin Cilium CNI offre è il servizio di tipo NetworkPolicy. Questo è un modo per controllare la connettività tra i pod negando la connettività tra due pod.

Eseguire il comando seguente per aprire l'editor nano e creare un nuovo file YAML per implementare un file NetworkPolicy per negare tutto il traffico di rete.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ nano web-deny-all.yaml
```
1. Utilizzare il contenuto seguente nel file YAML.
```
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: web-deny-all
spec:
podSelector:
    matchLabels:
    app: web
ingress: []
```
2. Utilizzare il collegamento CTRL + X per uscire dall'editor nano.
Immettere Y (sì) per salvare il file YAML.
Mantenere il nome predefinito del file YAML.

Verificare il file YAML.

Eseguire il comando seguente per verificare il nuovo file YAML.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ ls -l
total 138068
-rwxrwxrwx. 1 iwan_hooge oci 101843096 Mar 18 17:19 cilium
-rw-r--r--. 1 iwan_hooge oci  39388621 Mar 21 10:38 cilium-linux-arm64.tar.gz
-rw-r--r--. 1 iwan_hooge oci        92 Mar 21 10:38 cilium-linux-arm64.tar.gz.sha256sum
-rw-r--r--. 1 iwan_hooge oci    126806 Mar 21 10:29 cilium.yaml
-rwxr-xr-x. 1 iwan_hooge oci       574 Mar 21 10:58 k8s-unmanaged.sh
-rw-------. 1 iwan_hooge oci      1671 Feb 14 10:07 ssh-key-2024-02-14.key
-rw-r--r--. 1 iwan_hooge oci       151 Mar 22 09:11 web-deny-all.yaml

Si noti che il file web-deny-all.yaml è presente.

immagine

Implementare i criteri di sicurezza.

Eseguire il comando riportato di seguito per implementare i criteri di sicurezza.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl apply -f web-deny-all.yaml
networkpolicy.networking.k8s.io/web-deny-all created
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$

Si noti che il criterio di sicurezza è stato creato.

immagine

Distribuire un pod di esempio per eseguire nuovamente il test della connettività dell'applicazione Web dopo la distribuzione di NetworkPolicy.
1. Eseguire il comando riportato di seguito per distribuire un pod di esempio per eseguire il test della connettività dell'applicazione Web.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl run --rm -i -t --image=alpine test-$RANDOM -- sh
If you don't see a command prompt, try pressing Enter.
```
2. Eseguire il comando seguente per eseguire il test della connettività al server Web utilizzando wget.
```
/ # wget -qO- --timeout=2 http://web
wget: download timed out
```
3. Si noti che la richiesta è scaduta.
4. Eseguire il comando seguente per uscire dal pod temporaneo.
```
/ # exit
Session ended, resume using 'kubectl attach test-26867 -c test-26867 -i -t' command when the pod is running
pod "test-26867" deleted
```
Rimuovere il criterio di sicurezza ed eseguire di nuovo i test.
1. Eseguire il comando riportato di seguito per eliminare i criteri di sicurezza.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete -f web-deny-all.yaml
```
2. Si noti che il criterio di sicurezza viene rimosso.
3. Eseguire il comando riportato di seguito per distribuire un pod di esempio per eseguire il test della connettività dell'applicazione Web.
```
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl run --rm -i -t --image=alpine test-$RANDOM -- sh
If you don't see a command prompt, try pressing enter.
```
4. Eseguire il comando seguente per eseguire il test della connettività al server Web utilizzando wget.
5. Il codice HTML restituito dal server Web conferma il funzionamento del server Web e della connettività.
6. Eseguire il comando seguente per uscire dal pod temporaneo.
```
/ # exit
Session ended, resume using 'kubectl attach test-26248 -c test-26248 -i -t' command when the pod is running
pod "test-26248" deleted
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 
```
7. Si noti che il pod viene eliminato immediatamente dopo l'uscita dall'interfaccia CLI.

Task 5: rimuovere l'applicazione Web e il servizio di esempio

Per rimuovere l'applicazione Web distribuita, eseguire il comando seguente.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete service web --namespace default
service "web" deleted

Per rimuovere il servizio Web distribuito, eseguire il comando seguente.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete pods -l app=web --namespace default
pod "web" deleted

Task 6: distribuire un'applicazione di esempio e configurare i servizi Kubernetes di tipo LoadBalancer

Abbiamo testato il servizio NetworkPolicy utilizzando Cilium, proviamo anche il servizio LoadBalancer utilizzando Cilium.

Consente di distribuire una nuova applicazione e un nuovo servizio di esempio.

Eseguire il comando seguente per distribuire una nuova applicazione di esempio.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl apply -f https://k8s.io/examples/application/deployment.yaml 
deployment.apps/nginx-deployment created

Verificare che l'applicazione sia stata creata correttamente.

Eseguire il comando seguente per ottenere i pod distribuiti.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get pods
NAME                                READY   STATUS    RESTARTS   AGE
nginx-deployment-86dcfdf4c6-6ncvx   1/1     Running   0          10s
nginx-deployment-86dcfdf4c6-qbhn2   1/1     Running   0          10s

Rivedere i pod distribuiti.

Eseguire il comando seguente per esporre l'applicazione al servizio LoadBalancer.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl expose deployment nginx-deployment --type=LoadBalancer --name=my-service
service/my-service exposed

Verificare che il servizio sia stato creato e che l'applicazione sia stata esposta correttamente.

Eseguire il comando riportato di seguito per esaminare i servizi esposti e gli indirizzi IP.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get svc
NAME         TYPE           CLUSTER-IP    EXTERNAL-IP   PORT(S)             AGE
kubernetes   ClusterIP      10.96.0.1     <none>        443/TCP,12250/TCP   46h
my-service   LoadBalancer   10.96.56.91   <pending>     80:32422/TCP        12s

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get svc
NAME         TYPE           CLUSTER-IP    EXTERNAL-IP   PORT(S)             AGE
kubernetes   ClusterIP      10.96.0.1     <none>        443/TCP,12250/TCP   46h
my-service   LoadBalancer   10.96.56.91   <pending>     80:32422/TCP        23s

Si noti che l'IP esterno è in sospeso.

Eseguire il comando seguente e notare che l'indirizzo IP pubblico è configurato (termina con .88).

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get svc
NAME         TYPE           CLUSTER-IP    EXTERNAL-IP     PORT(S)             AGE
kubernetes   ClusterIP      10.96.0.1     <none>          443/TCP,12250/TCP   46h
my-service   LoadBalancer   10.96.56.91   XXX.XXX.XXX.88   80:32422/TCP       37s
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

immagine

Copiare e incollare l'indirizzo IP pubblico in un browser Internet e verificare se l'applicazione distribuita (server Web Nginx con il sito Web predefinito) è raggiungibile utilizzando l'indirizzo IP pubblico del servizio LoadBalancer.

Task 7: rimuovere un'applicazione di esempio e i servizi Kubernetes di tipo LoadBalancer

Eseguire il comando seguente per ottenere i pod distribuiti.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get pods
NAME                                READY   STATUS    RESTARTS   AGE
nginx-deployment-86dcfdf4c6-6ncvx   1/1     Running   0          2m54s
nginx-deployment-86dcfdf4c6-qbhn2   1/1     Running   0          2m54s

Rivedere i pod distribuiti.

Per rimuovere l'applicazione Web distribuita, eseguire il comando seguente.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete deployment nginx-deployment --namespace default
deployment.apps "nginx-deployment" deleted

Confermare l'eliminazione dell'applicazione.

Eseguire il comando seguente per ottenere i pod distribuiti.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get pods
No resources found in default namespace.

Si noti che i pod non vengono più distribuiti ed eliminati correttamente.

Eseguire il comando riportato di seguito per ottenere i servizi distribuiti.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get svc
NAME         TYPE           CLUSTER-IP    EXTERNAL-IP     PORT(S)             AGE
kubernetes   ClusterIP      10.96.0.1     <none>          443/TCP,12250/TCP   46h
my-service   LoadBalancer   10.96.56.91   XXX.XXX.XXX.88   80:32422/TCP        2m42s

Rivedere i servizi distribuiti.

Per rimuovere i servizi LoadBalancer distribuiti, eseguire il comando seguente.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl delete service my-service -n default
service "my-service" deleted

Verificare che il servizio sia stato eliminato.

Eseguire il comando riportato di seguito per ottenere i servizi distribuiti.

iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ kubectl get svc
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)             AGE
kubernetes   ClusterIP   10.96.0.1    <none>        443/TCP,12250/TCP   46h
iwan_hooge@cloudshell:~ (eu-amsterdam-1)$ 

Si noti che il servizio LoadBalancer non è più distribuito ed è stato eliminato correttamente.

immagine

Creare un nuovo cluster Kubernetes e verificare i componenti

Conferme

Autore - Iwan Hoogendoorn (esperto di rete OCI)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione del prodotto, visita l'Oracle Help Center.

Titolo e informazioni sul copyright

Use Cilium to Provide Networking Services in Oracle Cloud Infrastructure Container Engine for Kubernetes

F96025-01

April 2024

Oracle e/o relative consociate.

Usa Cilium per fornire servizi di networking in Oracle Cloud Infrastructure Container Engine for Kubernetes

Introduzione

Obiettivi

Task 1: distribuire un cluster Kubernetes utilizzando OKE

Task 2: installare Cilium come plugin CNI nel cluster Kubernetes distribuito OKE

Task 3: Distribuire un'applicazione Web e un servizio Web di esempio

Task 4: configurare i servizi Kubernetes di tipo NetworkPolicy

Task 5: rimuovere l'applicazione Web e il servizio di esempio

Task 6: distribuire un'applicazione di esempio e configurare i servizi Kubernetes di tipo LoadBalancer

Task 7: rimuovere un'applicazione di esempio e i servizi Kubernetes di tipo LoadBalancer

Collegamenti correlati

Conferme

Altre risorse di apprendimento