ネットワーク・リソース構成例

新しいクラスタを作成する場合、クイック作成ワークフローを使用して、新しいネットワーク・リソースを自動的に作成できます。または、カスタム作成ワークフローを使用して、既存のネットワーク・リソースを明示的に指定できます。必要なネットワーク・リソースの詳細は、クラスタの作成とデプロイメントのためのネットワーク・リソース構成を参照してください。

このトピックでは、カスタム作成ワークフローを使用して可用性ドメインが3つあるリージョンに高可用性クラスタを作成する場合に、ネットワーク・リソースを構成する方法の例を示します:

紹介のチュートリアルは、Oracle Cloud Infrastructure Container Engine for Kubernetesを使用したクラスタの作成を参照してください。関連する開発者チュートリアルも多数用意されています。

ノート

この項の例では、クラスタへのアクセスを制御するためのセキュリティ・リストでのセキュリティ・ルールの使用を示します。セキュリティ・リスト上でネットワーク・セキュリティ・グループを優先する場合は、ネットワーク・セキュリティ・グループに同じセキュリティ・ルールを指定できます。

例1: パブリックKubernetes APIエンドポイント、パブリック・ワーカー・ノードおよびパブリック・ロード・バランサを含むクラスタ

この例では、Kubernetes APIエンドポイント、ワーカー・ノードおよびロード・バランサにインターネットから直接アクセスできるようにすることを前提としています。

この図は、パブリックKubernetes APIエンドポイント・サブネット、パブリック・ワーカー・ノード・サブネットおよびパブリック・ロード・バランサ・サブネットを含むクラスタ構成の例を示しています。サブネットへのアクセスは、それぞれseclist-KubernetesAPIendpoint、seclist-workernodesおよびseclist-loadbalancersセキュリティ・リストによって制御されます。Kubernetes APIエンドポイント・サブネットはVNICによってクラスタ・コントロール・プレーンに接続されます。この構成例のその他の機能については、前後のテキストで説明しています。

VCN

リソース
VCN
  • 名前: acme-dev-vcn
  • CIDRブロック: 10.0.0.0/16
  • DNS解決: 選択済
インターネット・ゲートウェイ
  • 名前: internet-gateway-0
DHCPオプション
  • DNSタイプ インターネットおよびVCNリゾルバに設定

サブネット

リソース
Kubernetes APIエンドポイントのパブリック・サブネット

名前: KubernetesAPIendpoint。次のプロパティを使用します:

  • タイプ: リージョナル
  • CIDRブロック: 10.0.0.0/30
  • ルート表: routetable-KubernetesAPIendpoint
  • サブネット・アクセス: パブリック
  • DNS解決: 選択済
  • DHCPオプション: デフォルト
  • セキュリティ・リスト: seclist-KubernetesAPIendpoint
ワーカー・ノードのパブリック・サブネット

名前: workernodes。次のプロパティを使用します:

  • タイプ: リージョナル
  • CIDRブロック: 10.0.1.0/24
  • ルート表: routetable-workernodes
  • サブネット・アクセス: パブリック
  • DNS解決: 選択済
  • DHCPオプション: デフォルト
  • セキュリティ・リスト: seclist-workernodes
ロード・バランサのパブリック・サブネット

名前: loadbalancers。プロパティは次のとおりです:

  • タイプ: リージョナル
  • CIDRブロック: 10.0.2.0/24
  • ルート表: routetable-serviceloadbalancers
  • サブネット・アクセス: パブリック
  • DNS解決: 選択済
  • DHCPオプション: デフォルト
  • セキュリティ・リスト: seclist-loadbalancers

ルート表

リソース
パブリックKubernetes APIエンドポイント・サブネットのルート表

名前: routetable-KubernetesAPIendpoint。次のように定義されたルート・ルールを使用します:

  • 宛先CIDRブロック: 0.0.0.0/0
  • ターゲット・タイプ: インターネット・ゲートウェイ
  • ターゲット・インターネット・ゲートウェイ: internet-gateway-0
パブリック・ワーカー・ノード・サブネットのルート表

名前: routetable-workernodes。次のように定義されたルート・ルールを使用します:

  • 宛先CIDRブロック: 0.0.0.0/0
  • ターゲット・タイプ: インターネット・ゲートウェイ
  • ターゲット・インターネット・ゲートウェイ: internet-gateway-0
パブリック・ロード・バランサ・サブネットのルート表

名前: routetable-serviceloadbalancers。次のように定義されたルート・ルールを使用します:

  • 宛先CIDRブロック: 0.0.0.0/0
  • ターゲット・タイプ: インターネット・ゲートウェイ
  • ターゲット・インターネット・ゲートウェイ: internet-gateway-0

パブリックKubernetes APIエンドポイント・サブネットのセキュリティ・リスト・ルール

seclist-KubernetesAPIendpointセキュリティ・リストには、ここに示すイングレス・ルールおよびエグレス・ルールがあります。

イングレス・ルール:

状態 ソース プロトコル/宛先ポート 説明
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) TCP/6443 KubernetesワーカーからKubernetes APIエンドポイントへの通信。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) TCP/12250 Kubernetesワーカーからコントロール・プレーンへの通信。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) ICMP 3,4 パス検出。
ステートフル 0.0.0.0/0または特定のCIDR TCP/6443 (オプション)Kubernetes APIエンドポイントへの外部アクセス。

エグレス・ルール:

状態: 宛先 プロトコル/宛先ポート 説明:
ステートフル

Oracle Services Networkのすべての<region>サービス

TCP/443 Kubernetesコントロール・プレーンがOKEと通信することを許可します。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) TCP/すべて ワーカー・ノードへのすべてのトラフィック。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) ICMP 3,4 パス検出。

パブリック・ワーカー・ノード・サブネットのセキュリティ・リスト・ルール

seclist-workernodesセキュリティ・リストには、ここに示すイングレス・ルールとエグレス・ルールがあります。

イングレス・ルール:

状態: ソース プロトコル/宛先ポート 説明:
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) すべて/すべて あるワーカー・ノードのポッドが他のワーカー・ノードのポッドと通信することを許可します。
ステートフル 10.0.0.0/30 (Kubernetes APIエンドポイントCIDR) TCP/すべて Kubernetesコントロール・プレーンがワーカー・ノードと通信することを許可します。
ステートフル 0.0.0.0/0 ICMP 3,4 パス検出。
ステートフル 0.0.0.0/0またはサブネットCIDR TCP/22 (オプション)ワーカー・ノードへのインバウンドSSHトラフィックを許可します。

エグレス・ルール:

状態: 宛先 プロトコル/宛先ポート 説明:
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) すべて/すべて あるワーカー・ノードのポッドが他のワーカー・ノードのポッドと通信することを許可します。
ステートフル 0.0.0.0/0 ICMP 3,4 パス検出。
ステートフル Oracle Services Networkのすべての<region>サービス TCP/すべて ワーカー・ノードがOKEと通信することを許可します。
ステートフル 10.0.0.0/30 (Kubernetes APIエンドポイントCIDR) TCP/6443 KubernetesワーカーからKubernetes APIエンドポイントへの通信。
ステートフル 10.0.0.0/30 (Kubernetes APIエンドポイントCIDR) TCP/12250 Kubernetesワーカーからコントロール・プレーンへの通信。
ステートフル 0.0.0.0/0 TCP/すべて (オプション)ワーカー・ノードがインターネットと通信することを許可します。

パブリック・ロード・バランサ・サブネットのセキュリティ・リスト・ルール

seclist-loadbalancersセキュリティ・リストには、ここに示すイングレス・ルールおよびエグレス・ルールがあります。

イングレス・ルール: なし

エグレス・ルール: なし

例2: パブリックKubernetes APIエンドポイント、プライベート・ワーカー・ノードおよびパブリック・ロード・バランサを含むクラスタ

この例では、Kubernetes APIエンドポイントおよびロード・バランサにインターネットから直接アクセスできるようにすることを前提としています。ワーカー・ノードは、VCN内からアクセスできます。

この図は、パブリックKubernetes APIエンドポイント・サブネット、パブリック・ワーカー・ノード・サブネットおよびパブリック・ロード・バランサ・サブネットを含むクラスタ構成の例を示しています。サブネットへのアクセスは、それぞれseclist-KubernetesAPIendpoint、seclist-workernodesおよびseclist-loadbalancersセキュリティ・リストによって制御されます。Kubernetes APIエンドポイント・サブネットはVNICによってクラスタ・コントロール・プレーンに接続されます。この構成例のその他の機能については、前後のテキストで説明しています。

VCN

リソース
VCN
  • 名前: acme-dev-vcn
  • CIDRブロック: 10.0.0.0/16
  • DNS解決: 選択済
インターネット・ゲートウェイ
  • 名前: internet-gateway-0
NATゲートウェイ
  • 名前: nat-gateway-0
サービス・ゲートウェイ
  • 名前: service-gateway-0
  • サービス: Oracle Services Networkのすべての<region>サービス
DHCPオプション
  • DNSタイプ インターネットおよびVCNリゾルバに設定

サブネット

リソース
Kubernetes APIエンドポイントのパブリック・サブネット

名前: KubernetesAPIendpoint。次のプロパティを使用します:

  • タイプ: リージョナル
  • CIDRブロック: 10.0.0.0/30
  • ルート表: routetable-KubernetesAPIendpoint
  • サブネット・アクセス: パブリック
  • DNS解決: 選択済
  • DHCPオプション: デフォルト
  • セキュリティ・リスト: seclist-KubernetesAPIendpoint
ワーカー・ノードのプライベート・サブネット

名前: workernodes。次のプロパティを使用します:

  • タイプ: リージョナル
  • CIDRブロック: 10.0.1.0/24
  • ルート表: routetable-workernodes
  • サブネット・アクセス: プライベート
  • DNS解決: 選択済
  • DHCPオプション: デフォルト
  • セキュリティ・リスト: seclist-workernodes
サービス・ロード・バランサのパブリック・サブネット

名前: loadbalancers。プロパティは次のとおりです:

  • タイプ: リージョナル
  • CIDRブロック: 10.0.2.0/24
  • ルート表: routetable-serviceloadbalancers
  • サブネット・アクセス: パブリック
  • DNS解決: 選択済
  • DHCPオプション: デフォルト
  • セキュリティ・リスト: seclist-loadbalancers

ルート表

リソース
パブリックKubernetes APIエンドポイント・サブネットのルート表

名前: routetable-KubernetesAPIendpoint。次のように定義されたルート・ルールを使用します:

  • 宛先CIDRブロック: 0.0.0.0/0
  • ターゲット・タイプ: インターネット・ゲートウェイ
  • ターゲット: internet-gateway-0
プライベート・ワーカー・ノード・サブネットのルート表

名前: routetable-workernodes。次のように定義された2つのルート・ルールを使用します:

  • インターネットへのトラフィックのルール:
    • 宛先CIDRブロック: 0.0.0.0/0
    • ターゲット・タイプ: NATゲートウェイ
    • ターゲット: nat-gateway-0
  • OCIサービスへのトラフィックのルール:
    • 宛先: Oracle Services Networkのすべての<region>サービス
    • ターゲット・タイプ: サービス・ゲートウェイ
    • ターゲット: service-gateway-0
パブリック・ロード・バランサ・サブネットのルート表

名前: routetable-serviceloadbalancers。次のように定義されたルート・ルールを使用します:

  • 宛先CIDRブロック: 0.0.0.0/0
  • ターゲット・タイプ: インターネット・ゲートウェイ
  • ターゲット: internet-gateway-0

パブリックKubernetes APIエンドポイント・サブネットのセキュリティ・リスト・ルール

seclist-KubernetesAPIendpointセキュリティ・リストには、ここに示すイングレス・ルールおよびエグレス・ルールがあります。

イングレス・ルール:

状態 ソース プロトコル/宛先ポート 説明
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) TCP/6443 KubernetesワーカーからKubernetes APIエンドポイントへの通信。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) TCP/12250 Kubernetesワーカーからコントロール・プレーンへの通信。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) ICMP 3,4 パス検出。
ステートフル 0.0.0.0/0または特定のCIDR TCP/6443 (オプション)Kubernetes APIエンドポイントへの外部アクセス。

エグレス・ルール:

状態: 宛先 プロトコル/宛先ポート 説明:
ステートフル

Oracle Services Networkのすべての<region>サービス

TCP/443 Kubernetesコントロール・プレーンがOKEと通信することを許可します。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) TCP/すべて ワーカー・ノードへのすべてのトラフィック。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) ICMP 3,4 パス検出。

プライベート・ワーカー・ノード・サブネットのセキュリティ・リスト・ルール

seclist-workernodesセキュリティ・リストには、ここに示すイングレス・ルールとエグレス・ルールがあります。

イングレス・ルール:

状態: ソース プロトコル/宛先ポート 説明:
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) すべて/すべて あるワーカー・ノードのポッドが他のワーカー・ノードのポッドと通信することを許可します。
ステートフル 10.0.0.0/30 (Kubernetes APIエンドポイントCIDR) TCP/すべて Kubernetesコントロール・プレーンがワーカー・ノードと通信することを許可します。
ステートフル 0.0.0.0/0 ICMP 3,4 パス検出。
ステートフル 0.0.0.0/0またはサブネットCIDR TCP/22 (オプション)ワーカー・ノードへのインバウンドSSHトラフィックを許可します。

エグレス・ルール:

状態: 宛先 プロトコル/宛先ポート 説明:
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) すべて/すべて あるワーカー・ノードのポッドが他のワーカー・ノードのポッドと通信することを許可します。
ステートフル 0.0.0.0/0 ICMP 3,4 パス検出。
ステートフル Oracle Services Networkのすべての<region>サービス TCP/すべて ワーカー・ノードがOKEと通信することを許可します。
ステートフル 10.0.0.0/30 (Kubernetes APIエンドポイントCIDR) TCP/6443 KubernetesワーカーからKubernetes APIエンドポイントへの通信。
ステートフル 10.0.0.0/30 (Kubernetes APIエンドポイントCIDR) TCP/12250 Kubernetesワーカーからコントロール・プレーンへの通信。
ステートフル 0.0.0.0/0 TCP/すべて (オプション)ワーカー・ノードがインターネットと通信することを許可します。

パブリック・ロード・バランサ・サブネットのセキュリティ・リスト・ルール

seclist-loadbalancersセキュリティ・リストには、ここに示すイングレス・ルールおよびエグレス・ルールがあります。

イングレス・ルール: なし

エグレス・ルール: なし

例3: プライベートKubernetes APIエンドポイント、プライベート・ワーカー・ノードおよびパブリック・ロード・バランサを含むクラスタ

この例では、インターネットから直接アクセスできるのはロード・バランサのみであることを前提としています。Kubernetes APIエンドポイントおよびワーカー・ノードには、VCN内からアクセスできます。

この図は、パブリックKubernetes APIエンドポイント・サブネット、パブリック・ワーカー・ノード・サブネットおよびパブリック・ロード・バランサ・サブネットを含むクラスタ構成の例を示しています。サブネットへのアクセスは、それぞれseclist-KubernetesAPIendpoint、seclist-workernodesおよびseclist-loadbalancersセキュリティ・リストによって制御されます。Kubernetes APIエンドポイント・サブネットはVNICによってクラスタ・コントロール・プレーンに接続されます。この構成例のその他の機能については、前後のテキストで説明しています。

VCN

リソース
VCN
  • 名前: acme-dev-vcn
  • CIDRブロック: 10.0.0.0/16
  • DNS解決: 選択済
インターネット・ゲートウェイ
  • 名前: internet-gateway-0
NATゲートウェイ
  • 名前: nat-gateway-0
サービス・ゲートウェイ
  • 名前: service-gateway-0
  • サービス: Oracle Services Networkのすべての<region>サービス
DHCPオプション
  • DNSタイプ インターネットおよびVCNリゾルバに設定

サブネット

リソース
Kubernetes APIエンドポイントのプライベート・サブネット

名前: KubernetesAPIendpoint。次のプロパティを使用します:

  • タイプ: リージョナル
  • CIDRブロック: 10.0.0.0/30
  • ルート表: routetable-KubernetesAPIendpoint
  • サブネット・アクセス: プライベート
  • DNS解決: 選択済
  • DHCPオプション: デフォルト
  • セキュリティ・リスト: seclist-KubernetesAPIendpoint
ワーカー・ノードのプライベート・サブネット

名前: workernodes。次のプロパティを使用します:

  • タイプ: リージョナル
  • CIDRブロック: 10.0.1.0/24
  • ルート表: routetable-workernodes
  • サブネット・アクセス: プライベート
  • DNS解決: 選択済
  • DHCPオプション: デフォルト
  • セキュリティ・リスト: seclist-workernodes
サービス・ロード・バランサのパブリック・サブネット

名前: loadbalancers。プロパティは次のとおりです:

  • タイプ: リージョナル
  • CIDRブロック: 10.0.2.0/24
  • ルート表: routetable-serviceloadbalancers
  • サブネット・アクセス: パブリック
  • DNS解決: 選択済
  • DHCPオプション: デフォルト
  • セキュリティ・リスト: seclist-loadbalancers

ルート表

リソース
プライベートKubernetes APIエンドポイント・サブネットのルート表

名前: routetable-KubernetesAPIendpoint。次のように定義されたルート・ルールを使用します:

  • インターネットへのトラフィックのルール:
    • 宛先CIDRブロック: 0.0.0.0/0
    • ターゲット・タイプ: NATゲートウェイ
    • ターゲット: nat-gateway-0
  • OCIサービスへのトラフィックのルール:
    • 宛先: Oracle Services Networkのすべての<region>サービス
    • ターゲット・タイプ: サービス・ゲートウェイ
    • ターゲット: service-gateway-0
プライベート・ワーカー・ノード・サブネットのルート表

名前: routetable-workernodes。次のように定義された2つのルート・ルールを使用します:

  • インターネットへのトラフィックのルール:
    • 宛先CIDRブロック: 0.0.0.0/0
    • ターゲット・タイプ: NATゲートウェイ
    • ターゲット: nat-gateway-0
  • OCIサービスへのトラフィックのルール:
    • 宛先: Oracle Services Networkのすべての<region>サービス
    • ターゲット・タイプ: サービス・ゲートウェイ
    • ターゲット: service-gateway-0
パブリック・ロード・バランサ・サブネットのルート表

名前: routetable-serviceloadbalancers。次のように定義されたルート・ルールを使用します:

  • 宛先CIDRブロック: 0.0.0.0/0
  • ターゲット・タイプ: インターネット・ゲートウェイ
  • ターゲット・インターネット・ゲートウェイ: internet-gateway-0

プライベートKubernetes APIエンドポイント・サブネットのセキュリティ・リスト・ルール

seclist-KubernetesAPIendpointセキュリティ・リストには、ここに示すイングレス・ルールおよびエグレス・ルールがあります。

イングレス・ルール:

状態 ソース プロトコル/宛先ポート 説明
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) TCP/6443 KubernetesワーカーからKubernetes APIエンドポイントへの通信。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) TCP/12250 Kubernetesワーカーからコントロール・プレーンへの通信。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) ICMP 3,4 パス検出。
ステートフル 0.0.0.0/0または特定のCIDR TCP/6443 (オプション)Kubernetes APIエンドポイントへの外部アクセス。

エグレス・ルール:

状態: 宛先 プロトコル/宛先ポート 説明:
ステートフル

Oracle Services Networkのすべての<region>サービス

TCP/443 Kubernetesコントロール・プレーンがOKEと通信することを許可します。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) TCP/すべて ワーカー・ノードへのすべてのトラフィック。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) ICMP 3,4 パス検出。

プライベート・ワーカー・ノード・サブネットのセキュリティ・リスト・ルール

seclist-workernodesセキュリティ・リストには、ここに示すイングレス・ルールとエグレス・ルールがあります。

イングレス・ルール:

状態: ソース プロトコル/宛先ポート 説明:
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) すべて/すべて あるワーカー・ノードのポッドが他のワーカー・ノードのポッドと通信することを許可します。
ステートフル 10.0.0.0/30 (Kubernetes APIエンドポイントCIDR) TCP/すべて Kubernetesコントロール・プレーンがワーカー・ノードと通信することを許可します。
ステートフル 0.0.0.0/0 ICMP 3,4 パス検出。
ステートフル 0.0.0.0/0またはサブネットCIDR TCP/22 (オプション)ワーカー・ノードへのインバウンドSSHトラフィックを許可します。

エグレス・ルール:

状態: 宛先 プロトコル/宛先ポート 説明:
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) すべて/すべて あるワーカー・ノードのポッドが他のワーカー・ノードのポッドと通信することを許可します。
ステートフル 0.0.0.0/0 ICMP 3,4 パス検出。
ステートフル Oracle Services Networkのすべての<region>サービス TCP/すべて ワーカー・ノードがOKEと通信することを許可します。
ステートフル 10.0.0.0/30 (Kubernetes APIエンドポイントCIDR) TCP/6443 KubernetesワーカーからKubernetes APIエンドポイントへの通信。
ステートフル 10.0.0.0/30 (Kubernetes APIエンドポイントCIDR) TCP/12250 Kubernetesワーカーからコントロール・プレーンへの通信。
ステートフル 0.0.0.0/0 TCP/すべて (オプション)ワーカー・ノードがインターネットと通信することを許可します。

パブリック・ロード・バランサ・サブネットのセキュリティ・リスト・ルール

seclist-loadbalancersセキュリティ・リストには、ここに示すイングレス・ルールおよびエグレス・ルールがあります。

イングレス・ルール: なし

エグレス・ルール: なし

例4: プライベートKubernetes APIエンドポイント、プライベート・ワーカー・ノードおよびプライベート・ロード・バランサを含むクラスタ

この例では、インターネットから直接アクセスできるクラスタ・リソースがないことを前提としています。Kubernetes APIエンドポイント、ワーカー・ノードおよびロード・バランサは、VCN内でアクセスできます。

この図は、パブリックKubernetes APIエンドポイント・サブネット、パブリック・ワーカー・ノード・サブネットおよびパブリック・ロード・バランサ・サブネットを含むクラスタ構成の例を示しています。サブネットへのアクセスは、それぞれseclist-KubernetesAPIendpoint、seclist-workernodesおよびseclist-loadbalancersセキュリティ・リストによって制御されます。Kubernetes APIエンドポイント・サブネットはVNICによってクラスタ・コントロール・プレーンに接続されます。この構成例のその他の機能については、前後のテキストで説明しています。

VCN

リソース
VCN
  • 名前: acme-dev-vcn
  • CIDRブロック: 10.0.0.0/16
  • DNS解決: 選択済
インターネット・ゲートウェイ
  • 名前: internet-gateway-0
NATゲートウェイ
  • 名前: nat-gateway-0
サービス・ゲートウェイ
  • 名前: service-gateway-0
  • サービス: Oracle Services Networkのすべての<region>サービス
DHCPオプション
  • DNSタイプ インターネットおよびVCNリゾルバに設定

サブネット

リソース
Kubernetes APIエンドポイントのプライベート・サブネット

名前: KubernetesAPIendpoint。次のプロパティを使用します:

  • タイプ: リージョナル
  • CIDRブロック: 10.0.0.0/30
  • ルート表: routetable-KubernetesAPIendpoint
  • サブネット・アクセス: プライベート
  • DNS解決: 選択済
  • DHCPオプション: デフォルト
  • セキュリティ・リスト: seclist-KubernetesAPIendpoint
ワーカー・ノードのプライベート・サブネット

名前: workernodes。次のプロパティを使用します:

  • タイプ: リージョナル
  • CIDRブロック: 10.0.1.0/24
  • ルート表: routetable-workernodes
  • サブネット・アクセス: プライベート
  • DNS解決: 選択済
  • DHCPオプション: デフォルト
  • セキュリティ・リスト: seclist-workernodes
サービス・ロード・バランサのプライベート・サブネット

名前: loadbalancers。プロパティは次のとおりです:

  • タイプ: リージョナル
  • CIDRブロック: 10.0.2.0/24
  • ルート表:
  • サブネット・アクセス: プライベート
  • DNS解決: 選択済
  • DHCPオプション: デフォルト
  • セキュリティ・リスト: seclist-loadbalancers

ルート表

リソース
プライベートKubernetes APIエンドポイント・サブネットのルート表

名前: routetable-KubernetesAPIendpoint。次のように定義されたルート・ルールを使用します:

  • インターネットへのトラフィックのルール:
    • 宛先CIDRブロック: 0.0.0.0/0
    • ターゲット・タイプ: NATゲートウェイ
    • ターゲット: nat-gateway-0
  • OCIサービスへのトラフィックのルール:
    • 宛先: Oracle Services Networkのすべての<region>サービス
    • ターゲット・タイプ: サービス・ゲートウェイ
    • ターゲット: service-gateway-0
プライベート・ワーカー・ノード・サブネットのルート表

名前: routetable-workernodes。次のように定義された2つのルート・ルールを使用します:

  • インターネットへのトラフィックのルール:
    • 宛先CIDRブロック: 0.0.0.0/0
    • ターゲット・タイプ: NATゲートウェイ
    • ターゲット: nat-gateway-0
  • OCIサービスへのトラフィックのルール:
    • 宛先: Oracle Services Networkのすべての<region>サービス
    • ターゲット・タイプ: サービス・ゲートウェイ
    • ターゲット: service-gateway-0
プライベート・ロード・バランサ・サブネットのルート表

なし

プライベートKubernetes APIエンドポイント・サブネットのセキュリティ・リスト・ルール

seclist-KubernetesAPIendpointセキュリティ・リストには、ここに示すイングレス・ルールおよびエグレス・ルールがあります。

イングレス・ルール:

状態 ソース プロトコル/宛先ポート 説明
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) TCP/6443 KubernetesワーカーからKubernetes APIエンドポイントへの通信。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) TCP/12250 Kubernetesワーカーからコントロール・プレーンへの通信。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) ICMP 3,4 パス検出。
ステートフル 0.0.0.0/0または特定のCIDR TCP/6443 (オプション)Kubernetes APIエンドポイントへの外部アクセス。

エグレス・ルール:

状態: 宛先 プロトコル/宛先ポート 説明:
ステートフル

Oracle Services Networkのすべての<region>サービス

TCP/443 Kubernetesコントロール・プレーンがOKEと通信することを許可します。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) TCP/すべて ワーカー・ノードへのすべてのトラフィック。
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) ICMP 3,4 パス検出。

プライベート・ワーカー・ノード・サブネットのセキュリティ・リスト・ルール

seclist-workernodesセキュリティ・リストには、ここに示すイングレス・ルールとエグレス・ルールがあります。

イングレス・ルール:

状態: ソース プロトコル/宛先ポート 説明:
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) すべて/すべて あるワーカー・ノードのポッドが他のワーカー・ノードのポッドと通信することを許可します。
ステートフル 10.0.0.0/30 (Kubernetes APIエンドポイントCIDR) TCP/すべて Kubernetesコントロール・プレーンがワーカー・ノードと通信することを許可します。
ステートフル 0.0.0.0/0 ICMP 3,4 パス検出。
ステートフル 0.0.0.0/0またはサブネットCIDR TCP/22 (オプション)ワーカー・ノードへのインバウンドSSHトラフィックを許可します。

エグレス・ルール:

状態: 宛先 プロトコル/宛先ポート 説明:
ステートフル 10.0.1.0/24(ワーカー・ノードCIDR) すべて/すべて あるワーカー・ノードのポッドが他のワーカー・ノードのポッドと通信することを許可します。
ステートフル 0.0.0.0/0 ICMP 3,4 パス検出。
ステートフル Oracle Services Networkのすべての<region>サービス TCP/すべて ワーカー・ノードがOKEと通信することを許可します。
ステートフル 10.0.0.0/30 (Kubernetes APIエンドポイントCIDR) TCP/6443 KubernetesワーカーからKubernetes APIエンドポイントへの通信。
ステートフル 10.0.0.0/30 (Kubernetes APIエンドポイントCIDR) TCP/12250 Kubernetesワーカーからコントロール・プレーンへの通信。
ステートフル 0.0.0.0/0 TCP/すべて (オプション)ワーカー・ノードがインターネットと通信することを許可します。

プライベート・ロード・バランサ・サブネットのセキュリティ・リスト・ルール

seclist-loadbalancersセキュリティ・リストには、ここに示すイングレス・ルールおよびエグレス・ルールがあります。

イングレス・ルール: なし

エグレス・ルール: なし