OKEネットワーク・リソースの作成
Compute Cloud@Customer上のKubernetes Engine (OKE)に必要なネットワーク・リソースについて学習します。
次の項のリソース定義では、ワークロード・クラスタのネットワーク・リソースの作業例セットを作成します。これらのリソースを作成するときに、この構成をガイドとして使用します。CIDRブロックやIPアドレスなどのプロパティの値を変更できます。ネットワーク・プロトコル、ステートフル設定、プライベート/パブリック設定などのプロパティの値は変更しないでください。
特定の目的のためにオープンする必要がある特定のポートについては、ワークロード・クラスタ・ネットワーク・ポート(Flannel Overlay)およびワークロード・クラスタ・ネットワーク・ポート(VCNネイティブ・ポッド)を参照してください。
次の2つのネットワーキング・タイプのネットワーク・リソースを作成できます。
パブリック・クラスタとプライベート・クラスタには、パブリック・クラスタを作成するために必要なネットワーク・リソースと、プライベート・クラスタを作成するために必要なネットワーク・リソースがまとめられています。
ポッド・ネットワーク
Kubernetesネットワーキング・モデルは、コンテナ(ポッド)にクラスタ内で一意のルーティング可能なIPアドレスがあることを前提としています。Kubernetesネットワーキング・モデルでは、ポッドはこれらのIPアドレスを使用して、クラスタ内の同じノードまたは別のノード上の他のポッドと通信し、他のクラスタ上のポッド、クラスタのコントロール・プレーン・ノード、他のサービス(ストレージ・サービスなど)、およびインターネットと通信します。
デフォルトでは、ポッドは任意のソースからトラフィックを受け入れます。クラスタ・セキュリティを強化するには、ネットワーク・セキュリティ・グループ(推奨)またはセキュリティ・リストの一部として定義されたセキュリティ・ルールを使用して、ポッドとの間のアクセスを制御します。セキュリティ・ルールは、ノード・プールに指定されたポッド・サブネットに接続されているすべてのワーカー・ノードのすべてのポッドに適用されます。ネットワーク・セキュリティ・グループを使用したトラフィックの制御およびセキュリティ・リストを使用したトラフィックの制御を参照してください。