1. コンテナ化されたアプリケーションをデプロイするためのKubernetesトポロジの設計
  2. トポロジのコンポーネントの設計

トポロジのコンポーネントの設計

Kubernetesトポロジに対応するネットワークを設計するためのアーキテクチャ・オプションを確認し、ベース・ホストと管理ホストが必要かどうかを判断して、ノード・プールを設計します。

ネットワークの設計

コンテナ化されたアプリケーションの空間的要件を判断し、必要なネットワーク・リソースを判断します。

ネットワーク・サイズ(VCNおよびサブネットのCIDR範囲)を決定する場合、ワークロードのスケーリング要件を考慮してください。

VCN内の個別のサブネットにワーカー・ノードをアタッチします。ロード・バランサ・ノード、ベース・ホストおよび管理ホストなどの他のリソースには、個別のサブネットを使用します。

Kubernetesワーカー・ノードをプライベート・サブネットにアタッチする方法をお薦めします。各ワーカー・ノードには、プライベートIPアドレスのみがあります。ロード・バランサ(内部またはパブリック)を使用して、就業者ノードにトラフィックを分散します。就業者ノードがパブリック・インターネットのホストへのアクセスを開始できるようにするには、NATゲートウェイを使用します。

NodePortタイプのサービスを作成する場合は、Kubernetesワーカー・ノードをパブリック・サブネットにアタッチします。ノードとの間のトラフィックは、インターネット・ゲートウェイを介してルーティングされます。各ワーカー・ノードには、パブリックIPアドレスとプライベート・アドレスがあります。パブリック・インターネットから就業者ノードへのアクセスを許可するようにセキュリティ・ルールを明示的に構成する必要があります。

サービス・ゲートウェイを使用して、就業者ノードからリージョン内の他のOracle Cloudサービス(Oracle Cloud Infrastructure Object Storageなど)にトラフィックをルーティングできます。

管理アクセスの制限

クラウド内のトポロジにアクセスして管理するために、ベース・ホストと管理ホストの使用を検討してください。

クラウドの外部からの不正なアクセスからKubernetes就業者ノードを保護するには、パブリック・インターネットへのルートがないサブネットにそれらを分離します。

ベース・ホストをデプロイし、就業者ノードを含め、トポロジ内の他の計算インスタンスへのSSH接続の唯一のエントリ・ポイントとして使用します。セキュリティを強化するために、SSHアクセスを基本ホストに許可し、クラウド外部の既知のIPアドレス・セットにのみ許可することを検討してください。

クラウドでのKubernetesトポロジに対する管理操作については、kubectlOracle Cloud Infrastructure CLIがインストールされた必要なツールを使用して、クラウドで管理ホストを作成することを検討してください。管理ホストへのSSH接続のジャンプ ・サーバーとしてベース・ホストを使用します。

ノード・プールの設計

ノード・プールは、Kubernetesクラスタ内で同様に構成されたコンピュート・インスタンスのグループです。ノード・プールを使用すると、異なるリソース要件を持つアプリケーションを効率的にデプロイおよび管理できます。たとえば、コンテナ化されたアプリケーションまたはサービスごとに個別のノード・プールを作成できます。

作成するノード・プール数およびコンテナ化されたワークロードの数とサイズに基づいて、各プールの就業者ノードの数を決定します。各プールで最低3つの就業者ノードが作成されます。指定したプール内のすべての就業者ノードは、指定したものと同じ形状を使用して作成されます。

高可用性の確認

クラウド内のコンテナ化済ワークロードがデータ・センターでの停止の影響を受けないようにします。

Oracle Cloud Infrastructureリージョンには、1つ以上のフォルト・トレラント可用性ドメインが含まれます。可用性ドメインは、電源、冷却、内部ネットワークなどのインフラストラクチャを共有しません。1つの可用性ドメインで障害が発生しても、同じリージョン内の他のドメインには影響しません。複数の可用性ドメインが含まれるリージョンでは、就業者ノードは可用性ドメイン間で分散されます。すべての可用性ドメインにまたがるリージョナル・サブネットにノードをアタッチできます。

すべての可用性ドメインには3つの障害ドメインがあり、それぞれのドメインがハードウェアとインフラストラクチャの独立したグループ化されています。1つのフォルト・ドメインに影響するハードウェア障害またはメンテナンス・イベントは、他のフォルト・ドメインのリソースには影響しません。単一の可用性ドメインがあるリージョンでは、就業者ノードはデータ・センターのフォルト・ドメイン間で分散されます。