VPC サブネットの構成

Virtual Private Cloud

Red Hat® OpenShift® on IBM Cloud® VPC クラスターにサブネットを追加して、使用可能なポータブル・パブリック IP アドレスまたはポータブル・プライベート IP アドレスのプールを変更します。

このページの内容は、VPC クラスター固有のものです。クラシック・クラスターについては、クラシック・クラスターのサブネットと IP アドレスの構成を参照してください。

Red Hat OpenShift on IBM Cloud での VPC ネットワーキングの概要

Red Hat OpenShift on IBM Cloud クラスターでの VPC ネットワーキングの基本概念について説明します。

Subnets

VPC クラスタを初めて作成する前に、ワーカーノードを配置する各ゾーンに VPC サブネットを作成する必要があります。 VPC サブネットとは、指定したプライベート IP アドレス範囲 (CIDR ブロック) のことであり、ワーカー・ノードとポッドのグループを、物理的に同じ線に接続したかのように構成できるものです。

クラスターを作成する場合、ゾーンごとに既存の VPC サブネットを 1 つだけ指定できます。クラスターに追加する各ワーカー・ノードは、そのゾーンの VPC サブネットのプライベート IP アドレスを使用してデプロイされます。ワーカー・ノードがプロビジョンされた後は、ワーカー・ノードの IP アドレスは reboot 操作を実行しても変わりませんが、replace 操作および update 操作を実行すると変わります。

クラスターの作成時にクラスターに接続したサブネットや、ゾーンにワーカー・ノードを追加するときにクラスターに接続したサブネットは削除しないでください。クラスターで使用されている VPC サブネットを削除すると、そのサブネットの IP アドレスを使用しているロード・バランサーで問題が発生するだけでなく、ロード・バランサーの新規作成もできなくなる可能性があります。

VPCサブネットにはいくつのIPアドレスが必要ですか？

VPCサブネットを作成する際は、クラスタに十分なIPアドレス（256など）を持つサブネットを作成してください。後で VPC サブネットの IP アドレスの数を変更することはできません。

以下の IP アドレスの予約に注意してください。

デフォルトでは、各サブネットから 5 つの IP アドレスが VPC によって予約されます。
仮想プライベートエンドポイント(VPE)ゲートウェイには、クラスタのワーカーノードがある各ゾーンの1つのサブネットから1つのIPアドレスが必要です。
クラスター内のワーカー・ノードごとに、1 つの IP アドレスが必要です。
ワーカー・ノードを更新または置換するたびに、1 つの IP アドレスが必要です。これらの IP アドレスは、最終的には回収されて再利用可能になります。
パブリックまたはプライベートのロード・バランサーを作成するたびに、2 つの IP アドレスが使用されます。複数ゾーン・クラスターの場合は、これらの 2 つの IP アドレスはゾーン間に分散されるため、サブネットの IP アドレスが予約されないこともあります。
クラスターにセットアップしたその他のネットワーキング・リソース (VPNaaS や LBaaS の自動スケーリングなど) のために、追加の IP アドレスが必要になったり、他のサービス制限が生じたりする場合があります。例えば、LBaaS の自動スケーリングを拡張できるのは、ロード・バランサーごとに IP アドレス 16 個までです。

VPCサブネットに使用できるIP範囲は？

VPC サブネットのデフォルトの IP アドレス範囲は、10.0.0.0 から 10.255.255.255 までです。 VPC ゾーンごとの IP アドレス範囲のリストについては、VPC のデフォルト・アドレス接頭部を参照してください。

カスタム範囲のサブネットを使用してクラスターを作成する必要がある場合は、カスタムのアドレス接頭部に関するガイダンスを参照してください。ただし、ワーカー・ノードにカスタム範囲のサブネットを使用する場合は、ワーカー・ノードのサブネットの IP 範囲がクラスターのポッドのサブネットとオーバーラップしないようにする必要があります。

クラスタ作成時に --pod-subnet オプションで独自のポッドサブネットを指定した場合、ポッドにはこの範囲からIPアドレスが割り当てられます。
クラスターの作成時にカスタムのポッド・サブネットを指定しなかった場合は、クラスターではデフォルトのポッド・サブネットが使用されます。 VPC で作成した最初のクラスターでは、デフォルトのポッド・サブネットは 172.17.0.0/18 です。第 2 世代 VPC で作成した 2 番目のクラスターでは、デフォルトのポッド・サブネットは 172.17.64.0/18 です。それ以降の各クラスターでは、ポッド・サブネット範囲は、次に使用可能な重複しない /18 サブネットになります。

クラシック・インフラへのアクセス用にサブネットを作成するには？

VPC の作成時にクラシック・アクセスを有効にする場合に、クラシック・アクセス用のデフォルトのアドレス接頭部を使用すると、ユーザーが作成するサブネットの IP 範囲が自動的に決定されます。しかし、クラシック・アクセス VPC のサブネットのデフォルトの IP 範囲は、Red Hat OpenShift on IBM Cloud のコントロール・プレーンのサブネットと競合しています。代わりに、自動デフォルトアドレスプレフィックスなしでVPCを作成し、クラスタ用にその範囲内で独自のアドレスプレフィックスとサブネットを作成する必要があります。

クラスタ内のポッドやサービスにサブネットを指定できますか？

IBM Cloud Direct Link または VPN サービスを介してクラスターをオンプレミスのネットワークに接続する場合は、カスタムのサブネット CIDR を指定してポッドのプライベート IP アドレス、およびサービスのプライベート IP アドレスを提供することで、サブネットの競合を回避できます。

クラスタ作成時にカスタムポッドとカスタムサービスのサブネットを指定するには、 ibmcloud oc cluster create CLIコマンドの --pod-subnet と --service-subnet オプションを使用します。

クラスターで使用されるポッドとサービスのサブネットを確認するには、Pod Subnet の出力で、Service Subnetおよびibmcloud oc cluster getフィールドを探します。

ポッド

デフォルト範囲

VPC で作成した最初のクラスターでは、デフォルトのポッド・サブネットは 172.17.0.0/18 です。第 2 世代 VPC で作成した 2 番目のクラスターでは、デフォルトのポッド・サブネットは 172.17.64.0/18 です。それ以降の各クラスターでは、ポッド・サブネット範囲は、次に使用可能な重複しない /18 サブネットになります。

サイズ所要量

カスタム・サブネットを指定する場合は、作成する予定のクラスターのサイズと、将来追加する可能性があるワーカー・ノードの数を考慮してください。少なくとも、クラスター内の最大 4 台のワーカー・ノードに十分なポッド IP を提供できる /23 の CIDR のサブネットにする必要があります。これより大きなクラスターの場合は、8 台のワーカー・ノードに十分なポッド IP アドレスを提供できる /22、16 台のワーカー・ノードに十分なポッド IP アドレスを提供できる /21 というように増やしていきます。

VPC クラスターの場合は、サブネット・サイズを --pod-subnet オプションに含めることによって指定できます。例: --pod-subnet 0.0.0.0/X ここで、 X は必要なポッド・サブネット・サイズです。その後、ポッド・サブネットが自動的に選択されます。ポッド・サブネットを自動的に割り振る場合、割り振りは 172.17.0.0 から開始され、最大サブネットは 13 に制限され、最小サブネット・サイズは 23 に制限されます。

ワーカーノードにはグローバルな制限があります。リージョン内のすべてのクラスタで500ワーカーノードを超えることはできません。

範囲の条件

ポッドとサービス・サブネットは互いにオーバーラップすることはできず、ポッド・サブネットはワーカー・ノードの VPC サブネットとオーバーラップすることはできません。サブネットは、以下のいずれかの範囲内を選ばなければなりません。

172.17.0.0 - 172.17.255.255
172.21.0.0 - 172.31.255.255
192.168.0.0 - 192.168.254.255
198.18.0.0 - 198.19.255.255

サービス

デフォルト範囲

クラスターにデプロイされるすべてのサービスには、デフォルトで172.21.0.0/16範囲のプライベート IP アドレスが割り当てられます。

サイズ所要量

カスタム・サブネットを指定する場合は、少なくとも/24のサイズの CIDR 形式でサブネットを指定する必要があります。これにより、クラスター内で最大 255 個のサービスを使用できます。

範囲の条件

ポッドとサービス・サブネットは、互いにオーバーラップすることはできません。サブネットは、以下のいずれかの範囲内を選ばなければなりません。

172.17.0.0 - 172.17.255.255
172.21.0.0 - 172.31.255.255
192.168.0.0 - 192.168.254.255
198.18.0.0 - 198.19.255.255

パブリック・ゲートウェイ

パブリック・ゲートウェイを使用すると、サブネットとそのサブネットに接続しているすべてのワーカー・ノードがインターネットへのアウトバウンド接続を確立できるようになります。クラスターでパブリック・クラウド・サービス・エンドポイントとプライベート・クラウド・サービス・エンドポイントの両方が有効になっている場合は、VPC のプライベート・ネットワークに接続せずにデフォルトの Red Hat OpenShift コンポーネントにアクセスするために、ワーカー・ノードがデプロイされている VPC サブネットでパブリック・ゲートウェイを有効にする必要があります。

VPC クラスターを作成し、クラスターの作成中にパブリックおよびプライベート両方のクラウド・サービス・エンドポイントを有効にすると、クラスターの Red Hat OpenShift Web コンソールなどのコンポーネントにアクセスするために、パブリッククラウド・サービス・エンドポイントがデフォルトで使用されます。コンソール・ポッドが、セキュアなパブリック接続をパブリック・サービス・エンドポイント経由でインターネット上で確立するために、ワーカー・ノードのデプロイ先の VPC サブネットごとに、パブリック・ゲートウェイを有効にする必要があります。

VPC クラスターを作成し、クラスターの作成中にプライベートクラウド・サービス・エンドポイントのみを有効にすると、Red Hat OpenShift Web コンソールや OperatorHub などの Red Hat OpenShift コンポーネントにアクセスするために、プライベートクラウド・サービス・エンドポイントがデフォルトで使用されます。これらのコンポーネントにアクセスしたり、クラスターで kubectl コマンドを実行したりするには、VPN 接続経由などでプライベート VPC ネットワークに接続されている必要があります。また、IBM Cloud サービスがプライベート・クラウド・サービス・エンドポイントをサポートしていない場合は、パブリック・ゲートウェイに接続されたサブネットにワーカー・ノードを接続する必要があります。このようなワーカー・ノード上のポッドは、サブネットのパブリック・ゲートウェイを介してパブリック・ネットワーク経由で安全にサービスと通信できます。インターネットから LoadBalancer サービスまたは ALB へのインバウンド・ネットワーク・トラフィックを可能にするために、サブネット上にパブリック・ゲートウェイを置く必要はないことに注意してください。

1 つの VPC の中では、パブリック・ゲートウェイはゾーンごとに 1 つしか作成できませんが、そのパブリック・ゲートウェイをゾーン内の複数のサブネットに接続できます。パブリック・ゲートウェイについて詳しくは、VPC 用のネットワーキングの資料を参照してください。

仮想プライベート・エンドポイント (VPE)

ワーカー・ノードは、クラスターの仮想プライベート・エンドポイント(VPE) を介して Kubernetes マスターと通信できます。

VPE は、1 つのエンドポイント・ゲートウェイにバインドされる 1 つの仮想 IP アドレスです。 VPC には、VPE ゲートウェイ・リソースがクラスターごとに 1 つ作成されます。クラスターにワーカー・ノードがあるゾーンごとに、1 つのサブネット上の 1 つの IP アドレスが自動的に VPE ゲートウェイ用に使用され、このゾーン内のワーカー・ノードはこの IP アドレスを使用して Kubernetes マスターと通信します。クラスタのVPEゲートウェイの詳細を表示するには、 Virtual Private Endpoint gateways for VPCダッシュボードを開き、 iks-<cluster_ID> の形式でVPEゲートウェイを探します。

ワーカー・ノードは VPC 内にデフォルトで作成される VPE を自動的に使用することに注意してください。ただし、クラスターのパブリック・クラウド・サービス・エンドポイントを有効にした場合、パブリック・ネットワークまたはプライベート・ネットワークのいずれかが停止しても保護されるように、ワーカーからマスターへのトラフィックは、パブリック・エンドポイント上と VPE 上に半分ずつ差し向けられます。

VPE に使用されるサブネット上の IP アドレスは削除しないでください。

ネットワーク・セグメンテーション

ネットワーク・セグメンテーションとは、1 つのネットワークを複数のサブネットワークに分割する方式を表すものです。 1 つのサブネットワーク内で実行されるアプリは、別のサブネットワーク内のアプリを表示することも、アクセスすることもできません。 VPC サブネットのネットワーク・セグメンテーションのオプションについて詳しくは、クラスターのセキュリティーに関するこちらのトピックを参照してください。

サブネットは、クラスター内のワーカー・ノード間の接続チャネルとして機能します。さらに、同じ VPC であれば、どのプライベート・サブネットであろうとプライベート・サブネットに接続したシステムはワーカーと通信できます。例えば、1 つの VPC 内のすべてのサブネットは、標準装備の VPC ルーターによるレイヤー 3 のプライベートなルーティングを介して通信できます。

複数のクラスターが相互に通信する必要がある場合は、それらのクラスターを同じ VPC 内に作成することができます。ただし、クラスターが通信する必要がない場合は、別個の VPC にクラスターを作成することで、より優れたネットワーク・セグメンテーションを実現することができます。また、VPC サブネットのアクセス制御リスト (ACL) を作成して、プライベート・ネットワーク上のトラフィックを調節することもできます。 ACL は、各 VPC サブネットで許可する送受信を定義するインバウンド・ルールとアウトバウンド・ルールで構成されます。

VPC ネットワーキングの制限

クラスターの VPC サブネットを作成する際には、以下の機能と制限に留意してください。

各 VPC サブネットのデフォルトの CIDR サイズは /24 であるため、最大 253 台のワーカー・ノードをサポートできます。 1 つのクラスターでゾーンごとに 250 台を超えるワーカー・ノードをデプロイする場合は、より大きなサイズのサブネットを作成することを検討してください。
VPC サブネットを作成した後は、そのサイズを変更したり、その IP 範囲を変更したりすることはできません。
VPC サブネットは同じ VPC 内の複数のクラスターで共有できます。ただし、カスタム・ポッドとサービス・サブネットを複数のクラスター間で共有することはできません。
VPCサブネットは1つのキャンパスのマルチゾーン・リージョンにバインドされ、複数のゾーンやリージョンにまたがることはできない。
サブネットを作成した後、それを別のゾーン、リージョン、または VPC に移動することはできません。
ゾーン内の既存のサブネットに接続されているワーカー・ノードがある場合は、クラスター内のそのゾーンのサブネットを変更することはできません。
172.16.0.0/16、172.18.0.0/16、172.19.0.0/16、172.20.0.0/16 の範囲は禁止されています。
1 つの VPC の中では、パブリック・ゲートウェイはゾーンごとに 1 つしか作成できませんが、そのパブリック・ゲートウェイをゾーン内の複数のサブネットに接続できます。
クラシック・アクセスのデフォルトのアドレス接頭部は、Red Hat OpenShift on IBM Cloud のコントロール・プレーンのサブネットと競合しています。自動デフォルトアドレスプレフィックスなしでVPCを作成し、クラスタ用にその範囲内で独自のアドレスプレフィックスとサブネットを作成する必要があります。

VPC サブネットの作成とパブリック・ゲートウェイの接続

クラスターの VPC サブネットを作成し、オプションでそのサブネットにパブリック・ゲートウェイを接続します。

コンソールでの VPC サブネットの作成

IBM Cloud コンソールを使用して、クラスターの VPC サブネットを作成し、オプションでそのサブネットにパブリック・ゲートウェイを接続します。

VPC サブネットのダッシュボードで、**「作成」**をクリックします。
サブネットの名前を入力し、作成した VPC の名前を選択します。
サブネットを作成するロケーションとゾーンを選択します。
作成する IP アドレスの数を指定します。
- クラスターのワーカー・ノードおよびロード・バランサー・サービスの IP アドレスは VPC サブネットから取得されるので、256 個などの十分な数の IP アドレスが含まれる VPC サブネットを作成してください。後で VPC サブネットの IP の数を変更することはできません。
- 具体的な IP 範囲を入力する場合は、予約済みの範囲で 172.16.0.0/16、172.18.0.0/16、172.19.0.0/16、172.20.0.0/16 は使用しないでください。
Red Hat OpenShift のデフォルトのコンポーネント (Web コンソールや OperatorHub など) を実行するには、また、クラスターからパブリック・エンドポイント (別のアプリや、パブリック・クラウド・サービス・エンドポイントしかサポートしていない IBM Cloud サービスのパブリック URL など) にアクセスできるようにするには、サブネットにパブリック・ゲートウェイを接続する必要があります。
**「サブネットの作成 (Create subnet)」**をクリックします。
サブネットをクラスターの作成、新規ワーカー・プールの作成、または既存のワーカー・プールにサブネットを追加するに使用します。> クラスターの作成時にクラスターに接続したサブネットや、ゾーンにワーカー・ノードを追加するときにクラスターに接続したサブネットは削除しないでください。クラスターで使用されている VPC サブネットを削除すると、そのサブネットの IP アドレスを使用しているロード・バランサーで問題が発生するだけでなく、ロード・バランサーの新規作成もできなくなる可能性があります。

CLI での VPC サブネットの作成

IBM Cloud CLI を使用して、クラスターの VPC サブネットを作成し、オプションでそのサブネットにパブリック・ゲートウェイを接続します。

開始前に

コマンド・ラインで、IBM Cloud アカウントにログインし、VPC クラスターを作成する IBM Cloud リージョンとリソース・グループをターゲットに設定します。サポートされるリージョンについては、別のリージョンでの VPC の作成を参照してください。このクラスターのリソース・グループは、VPC リソース・グループとは別にすることができます。プロンプトが出されたら、IBM Cloud 資格情報を入力します。連携IDをお持ちの場合は、 --sso オプションを使用してログインしてください。
```
ibmcloud login -r <region> [-g <resource_group>] [--sso]
```
クラスターを作成するのと同じリージョンに VPC を作成します。

VPC サブネットを作成するには、以下の手順を実行します。

サブネットを作成する VPC の ID を確認します。
```
ibmcloud oc vpcs
```
サブネットを作成します。このコマンドのオプションについて詳しくは、CLI リファレンスを参照してください。
```
ibmcloud is subnet-create <subnet_name> <vpc_id> --zone <vpc_zone> --ipv4-address-count <number_of_ip_address>
```
- クラスターのワーカー・ノードおよびロード・バランサー・サービスの IP アドレスは VPC サブネットから取得されるので、256 個などの十分な数の IP アドレスが含まれる VPC サブネットを作成してください。後で VPC サブネットの IP の数を変更することはできません。
- 以下の予約範囲は使用しないでください： 172.16.0.0/16 172.18.0.0/16、 172.19.0.0/16、 172.20.0.0/16。

クラスターを作成するゾーン内にパブリック・ゲートウェイがあるかどうかを確認します。 1 つの VPC の中では、パブリック・ゲートウェイはゾーンごとに 1 つしか作成できませんが、そのパブリック・ゲートウェイをゾーン内の複数のサブネットに接続できます。

ibmcloud is public-gateways

出力例

ID                                     Name                                       VPC                          Zone         Floating IP                  Created                     Status      Resource group
26426426-6065-4716-a90b-ac7ed7917c63   test-pgw                                   testvpc(36c8f522-.)          us-south-1   169.xx.xxx.xxx(26466378-.)   2019-09-20T16:27:32-05:00   available   -
2ba2ba2b-fffa-4b0c-bdca-7970f09f9b8a   pgw-73b62bc0-b53a-11e9-9838-f3f4efa02374   team3(ff537d43-.)            us-south-2   169.xx.xxx.xxx(2ba9a280-.)   2019-08-02T10:30:29-05:00   available   -

各ゾーンにパブリック・ゲートウェイが既に存在する場合は、パブリック・ゲートウェイの ID をメモします。
各ゾーンにパブリック・ゲートウェイがない場合、パブリック・ゲートウェイを作成します。パブリック・ゲートウェイに<cluster>-<zone>-gatewayという形式の名前を付けることを考慮してください。出力にあるパブリック・ゲートウェイの ID をメモします。

ibmcloud is public-gateway-create <gateway_name> <VPC_ID> <zone>

出力例

ID               26466378-6065-4716-a90b-ac7ed7917c63
Name             mycluster-us-south-1-gateway
Floating IP      169.xx.xx.xxx(26466378-6065-4716-a90b-ac7ed7917c63)
Status           pending
Created          2019-09-20T16:27:32-05:00
Zone             us-south-1
VPC              myvpc(36c8f522-4f0d-400c-8226-299f0b8198cf)
Resource group   -

パブリック・ゲートウェイとサブネットの ID を使用して、パブリック・ゲートウェイをサブネットに接続します。

ibmcloud is subnet-update <subnet_ID> --public-gateway-id <gateway_ID>

出力例

ID                  91e946b4-7094-46d0-9223-5c2dea2e5023
Name                mysubnet1
IPv4 CIDR           10.240.xx.xx/24
Address available   250
Address total       256
ACL                 allow-all-network-acl-36c8f522-4f0d-400c-8226-299f0b8198cf(585bc142-5392-45d4-afdd-d9b59ef2d906)
Gateway             mycluster-us-south-1-gateway(26466378-6065-4716-a90b-ac7ed7917c63)
Created             2019-08-21T09:43:11-05:00
Status              available
Zone                us-south-1
VPC                 myvpc(36c8f522-4f0d-400c-8226-299f0b8198cf)

サブネットを使用して、クラスターを作成したり、ワーカー・プールを新規作成したり、サブネットを既存のワーカー・プールに追加したりします。クラスターの作成時にクラスターに接続したサブネットや、ゾーンにワーカー・ノードを追加するときにクラスターに接続したサブネットは削除しないでください。クラスターで使用されている VPC サブネットを削除すると、そのサブネットの IP アドレスを使用しているロード・バランサーで問題が発生するだけでなく、ロード・バランサーの新規作成もできなくなる可能性があります。

クラシック・アクセス用の VPC サブネットの作成

VPC の作成時にクラシック・アクセスを有効にする場合に、クラシック・アクセス用のデフォルトのアドレス接頭部を使用すると、ユーザーが作成するサブネットの IP 範囲が自動的に決定されます。しかし、クラシック・アクセス VPC のサブネットのデフォルトの IP 範囲は、Red Hat OpenShift on IBM Cloud のコントロール・プレーンのサブネットと競合しています。代わりに、自動のデフォルト・アドレス接頭部を使用せずに VPC を作成してから、独自のアドレス接頭部を作成する必要があります。その後、クラスターにサブネットを作成するときに常に、作成したアドレス接頭部の範囲内にサブネットを作成するようにします。

クラシック・アクセス用の VPC サブネットをコンソールで作成する

デフォルトのアドレス接頭部を使用せずにクラシック・アクセス VPC を作成します。
1. 「仮想プライベート・クラウド」ダッシュボードで、**「作成」**をクリックします。
2. 名前、リソース・グループ、およびタグの詳細を入力します。
3. **「クラシック・リソースへのアクセスを有効にします」チェック・ボックスを選択し、「各ゾーンのデフォルト接頭部の作成」**チェック・ボックスの選択を解除します。
4. VPC のリージョンを選択します。
5. 「仮想プライベート・クラウドの作成」 をクリックします。
各ゾーンのアドレス接頭部を作成します。
1. VPC の名前をクリックして、詳細を表示します。
2. **「アドレス接頭部」タブをクリックし、「作成」**をクリックします。
3. サブネットを作成するゾーンごとに、1 つ以上のアドレス接頭部を作成します。アドレス接頭部は、10.0.0.0 - 10.255.255.255、172.17.0.0 - 172.17.255.255、172.21.0.0 - 172.31.255.255、192.168.0.0 - 192.168.254.255 のいずれかの範囲内になければなりません。
アドレス接頭部を使用するサブネットを作成します。
1. VPC サブネットのダッシュボードで、**「作成」**をクリックします。
2. サブネットの名前を入力し、クラシック・アクセス VPC の名前を選択します。
3. サブネットを作成するロケーションとゾーンを選択します。
4. このゾーンに作成したアドレス接頭部を選択します。
5. 作成する IP アドレスの数を指定します。クラスターのワーカー・ノードおよびロード・バランサー・サービスの IP アドレスは VPC サブネットから取得されるので、256 個などの十分な数の IP アドレスが含まれる VPC サブネットを作成してください。後で VPC サブネットの IP の数を変更することはできません。
6. Red Hat OpenShift のデフォルトのコンポーネント (Web コンソールや OperatorHub など) を実行するには、また、クラスターからパブリック・エンドポイント (別のアプリや、パブリック・クラウド・サービス・エンドポイントしかサポートしていない IBM Cloud サービスのパブリック URL など) にアクセスできるようにするには、サブネットにパブリック・ゲートウェイを接続する必要があります。
7. **「サブネットの作成 (Create subnet)」**をクリックします。
サブネットを使用してクラスターを作成します。クラスターの作成時にクラスターに接続したサブネットや、ゾーンにワーカー・ノードを追加するときにクラスターに接続したサブネットは削除しないでください。クラスターで使用されている VPC サブネットを削除すると、そのサブネットの IP アドレスを使用しているロード・バランサーで問題が発生するだけでなく、ロード・バランサーの新規作成もできなくなる可能性があります。

クラシック・アクセス用の VPC サブネットを CLI で作成する

コマンド・ラインで、IBM Cloud アカウントにログインし、VPC クラスターを作成する IBM Cloud リージョンとリソース・グループをターゲットに設定します。サポートされるリージョンについては、別のリージョンでの VPC の作成を参照してください。このクラスターのリソース・グループは、VPC リソース・グループとは別にすることができます。プロンプトが出されたら、IBM Cloud 資格情報を入力します。連携IDをお持ちの場合は、 --sso オプションを使用してログインしてください。
```
ibmcloud login -r <region> [-g <resource_group>] [--sso]
```
デフォルトのアドレス接頭部を使用せずにクラシック・アクセス VPC を作成します。出力で、VPC の ID をコピーします。
```
ibmcloud is vpc-create <name> --classic-access --address-prefix-management manual
```
サブネットを作成するゾーンごとに、1 つ以上のアドレス接頭部を作成します。アドレス接頭部は、10.0.0.0 - 10.255.255.255、172.17.0.0 - 172.17.255.255、172.21.0.0 - 172.31.255.255、192.168.0.0 - 192.168.254.255 のいずれかの範囲内になければなりません。
```
ibmcloud is vpc-address-prefix-create <prefix_name> <vpc_id> <zone> <prefix_range>
```
アドレス接頭部を使用するサブネットを各ゾーンに作成します。このコマンドのオプションについて詳しくは、CLI リファレンスを参照してください。クラスターのワーカー・ノードおよびロード・バランサー・サービスの IP アドレスは VPC サブネットから取得されるので、256 個などの十分な数の IP アドレスが含まれる VPC サブネットを作成してください。後で VPC サブネットの IP の数を変更することはできません。
```
ibmcloud is subnet-create <subnet_name> <vpc_id> --zone <vpc_zone> --ipv4-address-count <number_of_ip_address> --ipv4-cidr-block <prefix_range>
```

Red Hat OpenShift のデフォルトのコンポーネント (Web コンソールや OperatorHub など) を実行するには、また、クラスターからパブリック・エンドポイント (別のアプリや、パブリック・クラウド・サービス・エンドポイントしかサポートしていない IBM Cloud サービスのパブリック URL など) にアクセスできるようにするには、サブネットにパブリック・ゲートウェイを接続する必要があります。

各ゾーンにパブリック・ゲートウェイを作成します。パブリック・ゲートウェイに<cluster>-<zone>-gatewayという形式の名前を付けることを考慮してください。出力にあるパブリック・ゲートウェイの ID をメモします。

ibmcloud is public-gateway-create <gateway_name> <VPC_ID> <zone>

出力例

ID               26466378-6065-4716-a90b-ac7ed7917c63
Name             mycluster-us-south-1-gateway
Floating IP      169.xx.xx.xxx(26466378-6065-4716-a90b-ac7ed7917c63)
Status           pending
Created          2019-09-20T16:27:32-05:00
Zone             us-south-1
VPC              myvpc(36c8f522-4f0d-400c-8226-299f0b8198cf)
Resource group   -

パブリック・ゲートウェイとサブネットの ID を使用して、パブリック・ゲートウェイをサブネットに接続します。

ibmcloud is subnet-update <subnet_ID> --public-gateway-id <gateway_ID>

出力例

ID                  91e946b4-7094-46d0-9223-5c2dea2e5023
Name                mysubnet1
IPv4 CIDR           10.240.xx.xx/24
Address available   250
Address total       256
ACL                 allow-all-network-acl-36c8f522-4f0d-400c-8226-299f0b8198cf(585bc142-5392-45d4-afdd-d9b59ef2d906)
Gateway             mycluster-us-south-1-gateway(26466378-6065-4716-a90b-ac7ed7917c63)
Created             2019-08-21T09:43:11-05:00
Status              available
Zone                us-south-1
VPC                 myvpc(36c8f522-4f0d-400c-8226-299f0b8198cf)

サブネットを使用してクラスターを作成します。クラスターの作成時にクラスターに接続したサブネットや、ゾーンにワーカー・ノードを追加するときにクラスターに接続したサブネットは削除しないでください。クラスターで使用されている VPC サブネットを削除すると、そのサブネットの IP アドレスを使用しているロード・バランサーで問題が発生するだけでなく、ロード・バランサーの新規作成もできなくなる可能性があります。