[OCI] OKE Cluster 구축(2) - 네트워크 구성

해당 가이드는 아래 네 가지 요건으로 구성되는 OKE Cluster 구축 가이드이며, 이외 다양한 시나리오로 구성 가능합니다.
 - CNI Plugin : VCN-Native Pod Networking
 - Subnet
   1) Kubernetes API Endpoint : Private
   2) Worker Nodes : Private
   3) Pods : Private
   4) Load Balancers : Public
   5) Bastion : Public

 

1. 개요

1.1. 총 5개의 Subnet 구성

1. API Endpoint용 Subnet
2. Worker Nodes용 Subnet
3. Pods용 Subnet
4. LB용 Subnet
5. Bastion용 Subnet

1.2. 각 Subnet의 CIDR 대역

1. API Endpoint용 Subnet : 192.168.0.0/29
2. Worker Nodes용 Subnet : 192.168.1.0/24
3. Pods용 Subnet : 192.168.32.0/19
4. LB용 Subnet : 192.168.2.0/24
5. Bastion용 Subnet : 192.168.3.0/24

 

2. 네트워크 구성

2.1. VCN 생성

1. Name : <적절한 VCN 이름 입력>
2. IPv4 CIDR Blocks : 192.168.0.0/16

 

2.2. Gateway 생성

1. Internet Gateway : <적절한 이름으로 생성>
2. NAT Gateway : <적절한 이름으로 생성>
3. Service Gateway : <적절한 이름으로 생성> / All ICN Service in Oracle Service Network 선택

 

2.3. Route table 생성

2.3.1. API Endpoint Subnet용 Route table

• 0.0.0.0/0 -> Internet Gateway
• All ICN Services In Oracle Services Network -> Service Gateway

2.3.2. Worker Nodes Subnet용 Route table

• 0.0.0.0/0 -> NAT Gateway
• All ICN Services In Oracle Services Network -> Service Gateway

2.3.3. Pods Subnet용 Route table

• 0.0.0.0/0 -> NAT Gateway
• All ICN Service in Oracle Services Network -> Service Gateway

2.3.4. LB Subnet용 Route table

• 0.0.0.0/0 -> Internet Gateway

2.3.5. Bastion Subnet용 Route table

• 0.0.0.0/0 -> Internet Gateway

2.4. Security list

2.4.1. API Endpoint Subnet용 Security list 생성

2.4.2. Worker nodes Subnet용 Security list

(optinal) Access an external Public Image registry for kubelet
 - 네트워크 설계 상, 외부 Public Image registry 사용 불가능
 - Image Full 동작
    -- Pods가 아닌 Worker nodes의 kubelet이 수행 -> Worker nodes 서브넷의 Security list 적용 필요
 - 방화벽 Egress에만 영향 (Ingress x)
    -> 외부 Public Image registry 대역으로의 Egress 443 허용 필요

2.4.3. Pods Subnet용 Security list

2.4.4. LB Subnet용 Security list

2.4.5. Bastion Subnet용 Security list

2.5. Subnet 생성

2.5.1. API Endpoint Subnet 생성

1. Name : <적절한 이름 입력>
2. Type : Regional
3. CIDR Block : 192.168.0.0/29
4. Route table : <API Endpoint Subnet용 Route table 선택>
5. Subnet access : Private
6. DNS Resolution : 체크
7. DHCP Options : Default
8. Security List : <API Endpoint Subnet용 Security list 선택>

2.5.2. Worker Nodes Subnet 생성

1. Name : <적절한 이름 입력>
2. Type : Regional
3. CIDR Block : 192.168.1.0/24
4. Route table : <WorkerNodes Subnet용 Route table 선택>
5. Subnet access : Private
6. DNS Resolution : 체크
7. DHCP Options : Default
8. Security List : <WorkerNodes Subnet용 Security list 선택>

2.5.3. Pods Subnet 생성

1. Name : <적절한 이름 입력>
2. Type : Regional
3. CIDR Block : 192.168.32.0/19
4. Route table : <Pods Subnet용 Route table 선택>
5. Subnet access : Private
6. DNS Resolution : 체크
7. DHCP Options : Default
8. Security List : <Pods Subnet용 Security list 선택>

2.5.4. LB Subnet 생성

1. Name : <적절한 이름 입력>
2. Type : Regional
3. CIDR Block : 192.168.2.0/24
4. Route table : <LB Subnet용 Route table 선택>
5. Subnet access : Private
6. DNS Resolution : 체크
7. DHCP Options : Default
8. Security List : <LB Subnet용 Security list 선택>

2.5.5. Bastion Subnet 생성

1. Name : <적절한 이름 입력>
2. Type : Regional
3. CIDR Block : 192.168.3.0/24
4. Route table : <Bastion Subnet용 Route table 선택>
5. Subnet access : Public
6. DNS Resolution : 체크
7. DHCP Options : Default
8. Security List : <Bastion Subnet용 Security list 선택>

 

---

 

참고 링크

https://docs.oracle.com/en-us/iaas/Content/ContEng/Concepts/contengnetworkconfigexample.htm#example-oci-cni-privatek8sapi_privateworkers_publiclb

Example Network Resource Configurations