NetFoundry: Oracle Cloud InfrastructureでのKubernetes統合
NetFoundryのゼロトラスト・ネットワーキングは、OCI Kubernetes Engineと統合して、エンタープライズ・グレードのプライベートKubernetesクラスタを設定および管理する運用上の負担を軽減します。
NetFoundryとOracleは、Kubernetesクラスタとそのエコシステムへの接続が複雑であることを認識しているため、NetFoundryでは、次のOracleベスト・プラクティスの設計原則に準拠しながら接続できます。
-
デフォルトで保護: OCI Kubernetes Engineは、エンタープライズ・セキュリティのベストプラクティスに従ってKubernetesクラスタを強化します。
-
Kubernetes操作の簡素化: OCI Kubernetes Engineは、クラスタ・リソースを管理し、定期的なKubernetesの管理およびスケーリング・タスクを自動化します。
-
高パフォーマンス: コンテナ化されたアプリケーションは、Oracle Cloud Infrastructureの非ブロッキング・ネットワークを介して高パフォーマンスのコンピュート・リソースで実行されます。
アーキテクチャ
その後、NetFoundryネットワーク内のエンドポイントを割り当てて、kubectlで使用されるKubernetes APIや、NetFoundryクライアント・エンドポイントに公開するクラスタ内部IPまたはクラスタDNSによって参照されるポッドまたはサービスなど、Kubernetesクラスタ内で到達可能な任意のクラスタ・サービスをホストできます。
次の図は、このリファレンス・アーキテクチャを示しています。

図netfoundry-kubernetes-oci.pngの説明
netfoundry-kubernetes-oci-oracle.zip
- リージョン
Oracle Cloud Infrastructureリージョンは、可用性ドメインをホストする1つ以上のデータ・センターを含むローカライズされた地理的領域です。リージョンは他のリージョンから独立しており、長距離の場合は(国または大陸にまたがって)分離できます。
このアーキテクチャのすべてのリソースは、単一のリージョンにデプロイされます。
- Identity Cloud Service (使用しない)
Oracle Identity Cloud Serviceは、幅広いSaaSおよびオンプレミス・アプリケーションに、アイデンティティ管理、シングル・サインオン(SSO)およびアイデンティティ・ガバナンスを提供します。
- クラウド・ガード
Oracle Cloud Guardを使用して、Oracle Cloud Infrastructure内のリソースのセキュリティをモニターおよびメンテナンスできます。クラウド・ガードでは、ディテクタ・レシピを使用して、リソースでセキュリティの弱点を調べたり、特定のリスクのあるアクティビティについてオペレータおよびユーザーをモニターしたりするために定義できます。構成の誤りやセキュアでないアクティビティが検出されると、クラウド・ガードは修正アクションを推奨し、ユーザーが定義できるレスポンダ・レシピに基づいてそれらのアクションの実行を支援します。
- モニタリング
Oracle Cloud Infrastructure Monitoringは、クラウド・リソースをアクティブおよびパッシブに監視し、メトリックが指定のトリガーを満たしたときに通知するアラームを使用します。
- 可用性ドメイン
可用性ドメインは、リージョン内の独立したスタンドアロン・データ・センターです。各可用性ドメイン内の物理リソースは、他の可用性ドメイン内のリソースから分離されているため、フォルト・トレランスが提供されます。可用性ドメインどうしは、電力や冷却、内部可用性ドメイン・ネットワークなどのインフラを共有しません。そのため、ある可用性ドメインでの障害は、リージョン内の他の可用性ドメインに影響を与えないでください。
- VCNおよびサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義ネットワークです。従来のデータ・センター・ネットワークと同様に、VCNsではネットワーク環境を制御できます。VCNには重複しない複数のCIDRブロックを含めることができ、VCNの作成後にそれらを変更できます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。
このアーキテクチャでは、1つのVCNを使用し、ロード・バランサ、Webサーバー、アプリケーション・サーバーおよびデータベースに別々のサブネットを使用します。
- インターネット・ゲートウェイ
インターネット・ゲートウェイは、VCN内のパブリック・サブネットとパブリック・インターネット間のトラフィックを許可します。
- ルート表
仮想ルート表には、通常ゲートウェイを介して、サブネットからVCN外部の宛先にトラフィックをルーティングするルールが含まれます。
- セキュリティ・リスト
サブネットごとに、サブネット内外で許可されるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。
- Kubernetes Engine
Oracle Cloud Infrastructure Kubernetes Engine (OCI Kubernetes EngineまたはOKE)は、コンテナ化されたアプリケーションをクラウドにデプロイするために使用できる、フル管理のスケーラブルで可用性の高いサービスです。アプリケーションで必要なコンピュート・リソースを指定すると、KubernetesエンジンがそれらをOracle Cloud Infrastructureの既存のテナンシにプロビジョニングします。OKEは、Kubernetesを使用して、ホストのクラスタにわたるコンテナ化されたアプリケーションのデプロイメント、スケーリングおよび管理を自動化します。