Criando Recursos de Rede do OKE
Alguns recursos de rede usados pelo Kubernetes Engine (OKE) no Private Cloud Appliance devem ser configurados de maneiras específicas.
As definições de recursos nas seções a seguir criam um conjunto de exemplos de trabalho de recursos de rede para clusters de carga de trabalho. Use essa configuração como guia ao criar esses recursos. Você pode alterar os valores de propriedades, como blocos CIDR e endereços IP. Não altere os valores de propriedades, como o protocolo de rede, a definição com monitoramento de estado ou a definição privada/pública.
Para sub-redes usadas para criar ou executar um cluster do OKE (incluindo pool de nós, balanceador de carga e sub-redes de pod), não configure servidores DNS personalizados nas opções de DHCP da sub-rede. O OKE depende do resolvedor de DNS padrão para resolução confiável de nomes para os serviços necessários de Kubernetes e plataforma (incluindo o registro de região no rack usado para extrair imagens durante o provisionamento de cluster e nó). O uso de resolvedores de DHCP personalizados pode causar falhas de provisionamento de cluster e problemas contínuos de conectividade de nós ou complementos. Se você precisar de resolução de nome personalizada, use recursos de DNS do OCI suportados (por exemplo, DNS Privado) sem substituir as definições de DNS DHCP da sub-rede.
Consulte Portas de Rede de Clusters de Carga de Trabalho (Sobreposição de Flannel) e Portas de Rede de Clusters de Carga de Trabalho (Pod Nativo da VCN) para obter portas específicas que devem ser abertas para fins específicos.
Se a rede de administração do appliance estiver ativada, peça ao administrador do sistema para verificar se a rede de administração e a rede do data center estão configuradas para permitir tráfego de/para o plano de controle de cluster.
Você pode criar recursos de rede para dois tipos de rede:
Clusters Públicos e Privados resume quais recursos de rede você precisa para criar um cluster público e quais recursos de rede você precisa para criar um cluster privado.
Rede de Pods
O modelo de rede do Kubernetes supõe que os contêineres (pods) tenham endereços IP exclusivos e roteáveis em um cluster. No modelo de rede do Kubernetes, os pods usam esses endereços IP para se comunicar com outros pods no mesmo nó em um cluster ou em outro nó, com pods em outros clusters, com os nós de plano de controle do cluster, com outros serviços (como serviços de armazenamento) e com a internet.
Por padrão, os pods aceitam o tráfego de qualquer origem. Para aprimorar a segurança do cluster, controle o acesso de/para pods usando regras de segurança definidas como parte dos grupos de segurança de rede (recomendado) ou listas de segurança. As regras de segurança se aplicam a todos os pods em todos os nós de trabalho conectados à sub-rede de pod especificada para um pool de nós. Consulte Controlando o Tráfego com Grupos de Segurança de Rede e Controlando o Tráfego com Listas de Segurança.