NetFoundry: Oracle Cloud Infrastructure에서 Kubernetes 통합
NetFoundry의 제로 트러스트 네트워킹은 OCI Kubernetes Engine과 통합되어 프라이빗 엔터프라이즈급 Kubernetes 클러스터 설정 및 관리의 운영 부담을 줄입니다.
NetFoundry 및 Oracle은 Kubernetes 클러스터 및 해당 에코시스템에 연결하는 것이 복잡하다는 것을 인식하고 있습니다. 따라서 NetFoundry를 통해 다음과 같은 Oracle 모범 사례 설계 원칙을 준수하면서 연결할 수 있습니다.
-
기본적으로 보안: OCI Kubernetes Engine은 엔터프라이즈 보안 모범 사례에 따라 Kubernetes 클러스터를 강화합니다.
-
간소화된 Kubernetes 운영: OCI Kubernetes Engine은 클러스터 리소스를 관리하고, 반복적인 Kubernetes 관리 및 확장 작업을 자동화합니다.
-
고성능: 컨테이너화된 애플리케이션은 Oracle Cloud Infrastructure의 비차단 네트워크를 통해 고성능 컴퓨트 리소스에서 실행됩니다.
구조
그런 다음 NetFoundry 네트워크의 끝점을 지정하여 kubectl에서 사용되는 Kubernetes API와 같이 Kubernetes 클러스터 내에서 연결할 수 있는 모든 클러스터 서비스 또는 NetFoundry 클라이언트 끝점에 노출할 클러스터 내부 IP 또는 클러스터 DNS에서 참조하는 모든 Pod 또는 서비스를 호스트할 수 있습니다.
다음 다이어그램은 이 참조 아키텍처를 보여 줍니다.
그림 netfoundry-kubernetes-oci.png에 대한 설명
netfoundry-kubernetes-oci-oracle.zip
- 지역
Oracle Cloud Infrastructure 리전은 하나 이상의 데이터 센터, 호스팅 가용성 도메인을 포함하는 지역화된 지리적 영역입니다. 지역은 다른 지역과 독립적이며, 먼 거리가 그들을 분리 할 수 있습니다 (국가 또는 대륙에 걸쳐).
이 아키텍처의 모든 리소스는 단일 리전에 배포됩니다.
- Identity Cloud Service(사용 안함)
Oracle Identity Cloud Service는 광범위한 SaaS 및 온프레미스 애플리케이션에 대한 ID 관리, SSO(Single Sign-On) 및 ID 거버넌스를 제공합니다.
- Cloud Guard
Oracle Cloud Guard를 사용하여 Oracle Cloud Infrastructure에서 리소스의 보안을 모니터링하고 유지 관리할 수 있습니다. Cloud Guard는 정의 가능한 감지자 레시피를 사용하여 리소스에서 보안 취약점을 검사하고 운영자 및 사용자에게 특정 위험한 작업을 모니터합니다. 잘못 구성되거나 안전하지 않은 작업이 감지되면 Cloud Guard는 정의할 수 있는 응답기 레시피를 기반으로 수정 조치를 권장하고 해당 작업을 수행하는 데 도움을 줍니다.
- 모니터링
Oracle Cloud Infrastructure Monitoring은 클라우드 리소스를 능동적이고 수동적으로 모니터링하며 측정 지표가 지정된 트리거를 충족할 때 알림을 위해 알람을 사용합니다.
- 가용성 도메인
가용성 도메인은 한 지역 내의 독립형 독립 데이터 센터입니다. 각 가용성 도메인의 물리적 리소스는 결함 허용을 제공하는 다른 가용성 도메인의 리소스와 격리됩니다. 가용성 도메인은 전원 또는 냉각과 같은 인프라 또는 내부 가용성 도메인 네트워크를 공유하지 않습니다. 따라서 한 가용성 도메인의 장애가 해당 영역의 다른 가용성 도메인에 영향을 미치지 않아야 합니다.
- VCN 및 서브넷
VCN은 Oracle Cloud Infrastructure 지역에서 설정한 맞춤형 소프트웨어 정의 네트워크입니다. 기존의 데이터 센터 네트워크와 마찬가지로 VCN을 통해 네트워크 환경을 제어할 수 있습니다. VCN에는 VCN 생성 후 변경할 수 있는 겹치지 않는 CIDR 블록이 여러 개 있을 수 있습니다. VCN을 서브넷으로 분할할 수 있습니다. 서브넷은 지역 또는 가용성 도메인으로 범위가 지정될 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속적인 주소 범위로 구성됩니다. 생성 후 서브넷의 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.
이 아키텍처는 로드 밸런서, 웹 서버, 애플리케이션 서버 및 데이터베이스에 대해 별도의 서브넷이 있는 단일 VCN을 사용합니다.
- 인터넷 게이트웨이
인터넷 게이트웨이는 VCN의 공용 서브넷과 공용 인터넷 간의 트래픽을 허용합니다.
- 경로 테이블
가상 라우팅 테이블에는 일반적으로 게이트웨이를 통해 서브넷에서 VCN 외부의 대상으로 트래픽을 라우팅하는 규칙이 포함되어 있습니다.
- 보안 목록
각 서브넷에 대해 서브넷에 들어오고 나가도록 허용되는 트래픽의 소스, 대상 및 유형을 지정하는 보안 규칙을 생성할 수 있습니다.
- Kubernetes Engine
Oracle Cloud Infrastructure Kubernetes Engine(OCI Kubernetes Engine 또는 OKE)는 컨테이너화된 애플리케이션을 클라우드에 배치하는 데 사용할 수 있는 확장 가능한 전담 관리 서비스입니다. 애플리케이션에 필요한 컴퓨트 리소스를 지정하면 Kubernetes Engine이 기존 테넌시의 Oracle Cloud Infrastructure에서 프로비저닝합니다. OKE는 Kubernetes를 사용하여 호스트 클러스터 전반에서 컨테이너화된 애플리케이션의 배포, 확장 및 관리를 자동화합니다.