Oracle Cloud Infrastructureドキュメント

OKEコントロール・プレーン・ロード・バランサ・サブネットの作成(フランネル・オーバーレイ)

Compute Cloud@CustomerでFlannel Overlayネットワーキングのコントロール・プレーン・ロード・バランサ・サブネットを作成する方法について学習します。

次のリソースをリストされた順序で作成します。

  1. コントロール・プレーンLoad Balancerセキュリティ・リストの作成
  2. コントロール・プレーンLoad Balancerサブネットを作成します

コントロール・プレーンLoad Balancerセキュリティ・リストの作成

セキュリティ・リストを作成するには、「セキュリティ・リストの作成」の手順を使用します。Terraformの入力については、ネットワーク・リソース用のTerraformスクリプトの例(Flannel Overlay)を参照してください。

コントロール・プレーン・ロード・バランサは、ポート6443でトラフィックを受け入れます。この手順では、kubernetes_api_portとも呼ばれます。このセキュリティ・リストを調整して、ネットワークの実行が予想される場所からの接続のみを受け入れます。ポート6443は、クラスタ・コントロール・プレーン・インスタンスおよびワーカー・インスタンスからの接続を受け入れる必要があります。

この例では、コントロール・プレーン・ロード・バランサ・サブネット・セキュリティ・リストに次の入力を使用します。

「Compute Cloud@Customerコンソール」プロパティ

CLIのプロパティー

  • 名前: kmilb-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: kmilb-seclist

4つのイングレス・セキュリティ・ルール:

4つのイングレス・セキュリティ・ルール:

--ingress-security-rules

イングレス・ルール1:

  • ステートレス: ボックスをクリア

  • イングレスCIDR:

    kube_internal_cidr

    この値は必須です。このCIDR値は変更できません。

  • IPプロトコル: TCP

    • 宛先ポート範囲: kubernetes_api_port

  • 説明: 「コントロール・プレーン・ロード・バランサへのインバウンド接続を許可します。」

イングレス・ルール1:

  • isStateless: false

  • source:

    kube_internal_cidr

    この値は必須です。このCIDR値は変更できません。

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: 「コントロール・プレーン・ロード・バランサへのインバウンド接続を許可します。」

イングレス・ルール2:

  • ステートレス: ボックスをクリア

  • イングレスCIDR: kube_client_cidr

  • IPプロトコル: TCP

    • 宛先ポート範囲: kubernetes_api_port

  • 説明: 「コントロール・プレーン・ロード・バランサへのインバウンド接続を許可します。」

イングレス・ルール2:

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: 「コントロール・プレーン・ロード・バランサへのインバウンド接続を許可します。」

イングレス・ルール3:

  • ステートレス: ボックスをクリア

  • イングレスCIDR: vcn_cidr

  • IPプロトコル: TCP

    • 宛先ポート範囲: kubernetes_api_port

  • 説明: 「コントロール・プレーン・ロード・バランサへのインバウンド接続を許可します。」

イングレス・ルール3:

  • isStateless: false

  • source: vcn_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: 「コントロール・プレーン・ロード・バランサへのインバウンド接続を許可します。」

イングレス・ルール4: パブリック・エンドポイント

  • ステートレス: ボックスをクリア

  • イングレスCIDR: public_ip_cidr

  • IPプロトコル: TCP

    • 宛先ポートの範囲: kubernetes_api_port

  • 説明: パブリックCIDRからコントロール・プレーン・エンドポイントにアクセスするために使用されます。パブリックIP CIDRが何であるかわからない場合は、サポート・リクエストを開きます。「サポート・リクエストの作成」を参照してください。サポートにアクセスするには、OCIコンソールへのサインインの説明に従ってOracle Cloudコンソールにサインインします。」

イングレス・ルール4: パブリック・エンドポイント

  • isStateless: false

  • source: public_ip_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: パブリックCIDRからコントロール・プレーン・エンドポイントにアクセスするために使用されます。パブリックIP CIDRが何であるかわからない場合は、サポート・リクエストを開きます。「サポート・リクエストの作成」を参照してください。サポートにアクセスするには、OCIコンソールへのサインインの説明に従ってOracle Cloudコンソールにサインインします。」

コントロール・プレーンLoad Balancerサブネットの作成

サブネットを作成するには、サブネットの作成の手順を使用します。Terraformの入力については、ネットワーク・リソース用のTerraformスクリプトの例(Flannel Overlay)を参照してください。

この例では、次の入力を使用してコントロール・プレーン・ロード・バランサ・サブネットを作成します。VCNの作成(フランネル・オーバーレイ)で作成したVCNのOCIDを使用します。VCNを作成したのと同じコンパートメントにコントロール・プレーン・ロード・バランサ・サブネットを作成します。

プライベート・コントロール・プレーン・ロード・バランサまたはパブリック・コントロール・プレーン・ロード・バランサ・サブネットを作成します。パブリック・クラスタで使用するパブリック・コントロール・プレーン・ロード・バランサ・サブネットを作成します。プライベート・クラスタで使用するプライベート・コントロール・プレーン・ロード・バランサ・サブネットを作成します。

ローカル・ピアリング・ゲートウェイを使用してプライベート・クラスタをCompute Cloud@Customer上の他のインスタンスに接続し、Dynamic Routing Gatewaysを使用してプライベート・クラスタをオンプレミスIPアドレス領域に接続する方法の詳細は、プライベート・クラスタを参照してください。プライベート・コントロール・プレーン・ロード・バランサ・サブネットを作成するには、次のいずれかのルート表を指定します(VCNの作成(フランネル・オーバーレイ)を参照)。

  • vcn_private

  • lpg_rt

  • drg_rt

パブリック・コントロール・プレーン・ロード・バランサ・サブネットの作成

「Compute Cloud@Customerコンソール」プロパティ

CLIのプロパティー

  • 名前: control-plane-endpoint

  • CIDRブロック: kmilb_cidr

  • ルート表: リストから「public」を選択します。

  • パブリック・サブネット: チェック・ボックスを選択します。

  • DNSホスト名:

    「Use DNS Hostnames in this Subnet: 」ボックスにチェックマークを入れます。

    • DNSラベル: kmilb

  • セキュリティ・リスト: リストから「kmilb-seclist」および「Default Security List for oketest-vcn」を選択します。

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane-endpoint

  • --cidr-block: kmilb_cidr

  • --dns-label: kmilb

  • --prohibit-public-ip-on-vnic: false

  • --route-table-id: パブリック・ルート表のOCID

  • --security-list-ids: "kmilb-seclist"セキュリティ・リストのOCIDsおよび"oketest-vcnのデフォルト・セキュリティ・リスト"

次のプライベート・サブネットの違いは、パブリック・ルート表のかわりにVCNプライベート・ルート表が使用されることです。ニーズに応じて、かわりにLPGルート表またはDRGルート表を指定できます。

プライベート・コントロール・プレーン・ロード・バランサ・サブネットの作成

「Compute Cloud@Customer Console」プロパティ

CLIプロパティー

  • 名前: control-plane-endpoint

  • CIDRブロック: kmilb_cidr

  • ルート表: リストから「vcn_private」を選択します。

  • Private Subnet: チェックボックスをオンにします。

  • DNSホスト名:

    このサブネットでDNSホスト名を使用: チェック・ボックスを選択します

    • DNSラベル: kmilb

  • セキュリティ・リスト: リストから「kmilb-seclist」および「oketest-vcnのデフォルト・セキュリティ・リスト」を選択します。

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane-endpoint

  • --cidr-block: kmilb_cidr

  • --dns-label: kmilb

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: vcn_privateルート表のOCID

  • --security-list-ids: 「kmilb-seclist」セキュリティ・リストおよび「oketest-vcnのデフォルト・セキュリティ・リスト」セキュリティ・リストのOCIDs

次の手順:

OKEクラスタの作成