VPC サブネットの構成
Virtual Private Cloud
Red Hat® OpenShift® on IBM Cloud® VPC クラスターにサブネットを追加して、使用可能なポータブル・パブリック IP アドレスまたはポータブル・プライベート IP アドレスのプールを変更します。
このページの内容は、VPC クラスター固有のものです。 クラシック・クラスターについては、クラシック・クラスターのサブネットと IP アドレスの構成を参照してください。
Red Hat OpenShift on IBM Cloud での VPC ネットワーキングの概要
Red Hat OpenShift on IBM Cloud クラスターでの VPC ネットワーキングの基本概念について説明します。
Subnets
VPC クラスタを初めて作成する前に、ワーカーノードを配置する各ゾーンに VPC サブネットを作成する必要があります。 VPC サブネットとは、指定したプライベート IP アドレス範囲 (CIDR ブロック) のことであり、ワーカー・ノードとポッドのグループを、物理的に同じ線に接続したかのように構成できるものです。
クラスターを作成する場合、ゾーンごとに既存の VPC サブネットを 1 つだけ指定できます。 クラスターに追加する各ワーカー・ノードは、そのゾーンの VPC サブネットのプライベート IP アドレスを使用してデプロイされます。 ワーカー・ノードがプロビジョンされた後は、ワーカー・ノードの IP アドレスは reboot
操作を実行しても変わりませんが、replace
操作および update
操作を実行すると変わります。
クラスターの作成時にクラスターに接続したサブネットや、ゾーンにワーカー・ノードを追加するときにクラスターに接続したサブネットは削除しないでください。 クラスターで使用されている VPC サブネットを削除すると、そのサブネットの IP アドレスを使用しているロード・バランサーで問題が発生するだけでなく、ロード・バランサーの新規作成もできなくなる可能性があります。
VPCサブネットにはいくつのIPアドレスが必要ですか?
VPCサブネットを作成する際は、クラスタに十分なIPアドレス(256など)を持つサブネットを作成してください。 後で VPC サブネットの IP アドレスの数を変更することはできません。
以下の IP アドレスの予約に注意してください。
- デフォルトでは、各サブネットから 5 つの IP アドレスが VPC によって予約されます。
- 仮想プライベートエンドポイント(VPE)ゲートウェイには、クラスタのワーカーノードがある各ゾーンの1つのサブネットから1つのIPアドレスが必要です。
- クラスター内のワーカー・ノードごとに、1 つの IP アドレスが必要です。
- ワーカー・ノードを更新または置換するたびに、1 つの IP アドレスが必要です。 これらの IP アドレスは、最終的には回収されて再利用可能になります。
- パブリックまたはプライベートのロード・バランサーを作成するたびに、2 つの IP アドレスが使用されます。 複数ゾーン・クラスターの場合は、これらの 2 つの IP アドレスはゾーン間に分散されるため、サブネットの IP アドレスが予約されないこともあります。
- クラスターにセットアップしたその他のネットワーキング・リソース (VPNaaS や LBaaS の自動スケーリングなど) のために、追加の IP アドレスが必要になったり、他のサービス制限が生じたりする場合があります。 例えば、LBaaS の自動スケーリングを拡張できるのは、ロード・バランサーごとに IP アドレス 16 個までです。
VPCサブネットに使用できるIP範囲は?
VPC サブネットのデフォルトの IP アドレス範囲は、10.0.0.0 から 10.255.255.255 までです。 VPC ゾーンごとの IP アドレス範囲のリストについては、VPC のデフォルト・アドレス接頭部 を参照してください。
カスタム範囲のサブネットを使用してクラスターを作成する必要がある場合は、カスタムのアドレス接頭部に関するガイダンスを参照してください。 ただし、ワーカー・ノードにカスタム範囲のサブネットを使用する場合は、ワーカー・ノードのサブネットの IP 範囲がクラスターのポッドのサブネットとオーバーラップしないようにする必要があります。
- クラスタ作成時に
--pod-subnet
オプションで独自のポッドサブネットを指定した場合、ポッドにはこの範囲からIPアドレスが割り当てられます。 - クラスターの作成時にカスタムのポッド・サブネットを指定しなかった場合は、クラスターではデフォルトのポッド・サブネットが使用されます。 VPC で作成した最初のクラスターでは、デフォルトのポッド・サブネットは
172.17.0.0/18
です。 第 2 世代 VPC で作成した 2 番目のクラスターでは、デフォルトのポッド・サブネットは172.17.64.0/18
です。 それ以降の各クラスターでは、ポッド・サブネット範囲は、次に使用可能な重複しない/18
サブネットになります。
クラシック・インフラへのアクセス用にサブネットを作成するには?
VPC の作成時にクラシック・アクセスを有効にする場合に、クラシック・アクセス用のデフォルトのアドレス接頭部を使用すると、ユーザーが作成するサブネットの IP 範囲が自動的に決定されます。 しかし、クラシック・アクセス VPC のサブネットのデフォルトの IP 範囲は、Red Hat OpenShift on IBM Cloud のコントロール・プレーンのサブネットと競合しています。 代わりに、 自動デフォルトアドレスプレフィックスなしでVPCを作成し、クラスタ用にその範囲内で独自のアドレスプレフィックスとサブネットを作成 する必要があります。
クラスタ内のポッドやサービスにサブネットを指定できますか?
IBM Cloud Direct Link または VPN サービスを介してクラスターをオンプレミスのネットワークに接続する場合は、カスタムのサブネット CIDR を指定してポッドのプライベート IP アドレス、およびサービスのプライベート IP アドレスを提供することで、サブネットの競合を回避できます。
クラスタ作成時にカスタムポッドとカスタムサービスのサブネットを指定するには、 ibmcloud oc cluster create
CLIコマンドの --pod-subnet
と --service-subnet
オプションを使用します。
クラスターで使用されるポッドとサービスのサブネットを確認するには、Pod Subnet
の出力で、Service Subnet
およびibmcloud oc cluster get
フィールドを探します。
ポッド
- デフォルト範囲
-
VPC で作成した最初のクラスターでは、デフォルトのポッド・サブネットは
172.17.0.0/18
です。 第 2 世代 VPC で作成した 2 番目のクラスターでは、デフォルトのポッド・サブネットは172.17.64.0/18
です。 それ以降の各クラスターでは、ポッド・サブネット範囲は、次に使用可能な重複しない/18
サブネットになります。 - サイズ所要量
-
カスタム・サブネットを指定する場合は、作成する予定のクラスターのサイズと、将来追加する可能性があるワーカー・ノードの数を考慮してください。 少なくとも、クラスター内の最大 4 台のワーカー・ノードに十分なポッド IP を提供できる
/23
の CIDR のサブネットにする必要があります。 これより大きなクラスターの場合は、8 台のワーカー・ノードに十分なポッド IP アドレスを提供できる/22
、16 台のワーカー・ノードに十分なポッド IP アドレスを提供できる/21
というように増やしていきます。 -
VPC クラスターの場合は、サブネット・サイズを
--pod-subnet
オプションに含めることによって指定できます。 例:--pod-subnet 0.0.0.0/X
ここで、X
は必要なポッド・サブネット・サイズです。 その後、ポッド・サブネットが自動的に選択されます。 ポッド・サブネットを自動的に割り振る場合、割り振りは172.17.0.0
から開始され、最大サブネットは13
に制限され、最小サブネット・サイズは23
に制限されます。 -
ワーカーノードにはグローバルな制限があります。 リージョン内のすべてのクラスタで500ワーカーノードを超えることはできません。
- 範囲の条件
-
ポッドとサービス・サブネットは互いにオーバーラップすることはできず、ポッド・サブネットはワーカー・ノードの VPC サブネットとオーバーラップすることはできません。 サブネットは、以下のいずれかの範囲内を選ばなければなりません。
-
172.17.0.0 - 172.17.255.255
-
172.21.0.0 - 172.31.255.255
-
192.168.0.0 - 192.168.254.255
-
198.18.0.0 - 198.19.255.255
-
サービス
- デフォルト範囲
- クラスターにデプロイされるすべてのサービスには、デフォルトで
172.21.0.0/16
範囲のプライベート IP アドレスが割り当てられます。 - サイズ所要量
- カスタム・サブネットを指定する場合は、少なくとも
/24
のサイズの CIDR 形式でサブネットを指定する必要があります。これにより、クラスター内で最大 255 個のサービスを使用できます。 - 範囲の条件
- ポッドとサービス・サブネットは、互いにオーバーラップすることはできません。 サブネットは、以下のいずれかの範囲内を選ばなければなりません。
-
172.17.0.0 - 172.17.255.255
-
172.21.0.0 - 172.31.255.255
-
192.168.0.0 - 192.168.254.255
-
198.18.0.0 - 198.19.255.255
-
パブリック・ゲートウェイ
パブリック・ゲートウェイを使用すると、サブネットとそのサブネットに接続しているすべてのワーカー・ノードがインターネットへのアウトバウンド接続を確立できるようになります。 クラスターでパブリック・クラウド・サービス・エンドポイントとプライベート・クラウド・サービス・エンドポイントの両方が有効になっている場合は、VPC のプライベート・ネットワークに接続せずにデフォルトの Red Hat OpenShift コンポーネントにアクセスするために、ワーカー・ノードがデプロイされている VPC サブネットでパブリック・ゲートウェイを有効にする必要があります。
VPC クラスターを作成し、クラスターの作成中にパブリックおよびプライベート両方のクラウド・サービス・エンドポイントを有効にすると、クラスターの Red Hat OpenShift Web コンソールなどのコンポーネントにアクセスするために、パブリッククラウド・サービス・エンドポイントがデフォルトで使用されます。 コンソール・ポッドが、セキュアなパブリック接続をパブリック・サービス・エンドポイント経由でインターネット上で確立するために、ワーカー・ノードのデプロイ先の VPC サブネットごとに、パブリック・ゲートウェイを有効にする必要があります。
VPC クラスターを作成し、クラスターの作成中にプライベートクラウド・サービス・エンドポイントのみを有効にすると、Red Hat OpenShift Web コンソールや OperatorHub などの Red Hat OpenShift コンポーネントにアクセスするために、プライベートクラウド・サービス・エンドポイントがデフォルトで使用されます。 これらのコンポーネントにアクセスしたり、クラスターで kubectl
コマンドを実行したりするには、VPN
接続経由などでプライベート VPC ネットワークに接続されている必要があります。 また、IBM Cloud サービスがプライベート・クラウド・サービス・エンドポイントをサポートしていない場合は、パブリック・ゲートウェイに接続されたサブネットにワーカー・ノードを接続する必要があります。 このようなワーカー・ノード上のポッドは、サブネットのパブリック・ゲートウェイを介してパブリック・ネットワーク経由で安全にサービスと通信できます。 インターネットから LoadBalancer
サービスまたは ALB へのインバウンド・ネットワーク・トラフィックを可能にするために、サブネット上にパブリック・ゲートウェイを置く必要はないことに注意してください。
1 つの VPC の中では、パブリック・ゲートウェイはゾーンごとに 1 つしか作成できませんが、そのパブリック・ゲートウェイをゾーン内の複数のサブネットに接続できます。 パブリック・ゲートウェイについて詳しくは、VPC 用のネットワーキングの資料を参照してください。
仮想プライベート・エンドポイント (VPE)
ワーカー・ノードは、クラスターの 仮想プライベート・エンドポイント(VPE) を介して Kubernetes マスターと通信できます。
VPE は、1 つのエンドポイント・ゲートウェイにバインドされる 1 つの仮想 IP アドレスです。 VPC には、VPE ゲートウェイ・リソースがクラスターごとに 1 つ作成されます。 クラスターにワーカー・ノードがあるゾーンごとに、1 つのサブネット上の 1 つの IP アドレスが自動的に VPE ゲートウェイ用に使用され、このゾーン内のワーカー・ノードはこの IP アドレスを使用して Kubernetes マスターと通信します。 クラスタのVPEゲートウェイの詳細を表示するには、
Virtual Private Endpoint gateways for VPCダッシュボードを開き、 iks-<cluster_ID>
の形式でVPEゲートウェイを探します。
ワーカー・ノードは VPC 内にデフォルトで作成される VPE を自動的に使用することに注意してください。 ただし、クラスターのパブリック・クラウド・サービス・エンドポイントを有効にした場合、パブリック・ネットワークまたはプライベート・ネットワークのいずれかが停止しても保護されるように、ワーカーからマスターへのトラフィックは、パブリック・エンドポイント上と VPE 上に半分ずつ差し向けられます。
VPE に使用されるサブネット上の IP アドレスは削除しないでください。
ネットワーク・セグメンテーション
ネットワーク・セグメンテーションとは、1 つのネットワークを複数のサブネットワークに分割する方式を表すものです。 1 つのサブネットワーク内で実行されるアプリは、別のサブネットワーク内のアプリを表示することも、アクセスすることもできません。 VPC サブネットのネットワーク・セグメンテーションのオプションについて詳しくは、クラスターのセキュリティーに関するこちらのトピックを参照してください。
サブネットは、クラスター内のワーカー・ノード間の接続チャネルとして機能します。 さらに、同じ VPC であれば、どのプライベート・サブネットであろうとプライベート・サブネットに接続したシステムはワーカーと通信できます。 例えば、1 つの VPC 内のすべてのサブネットは、標準装備の VPC ルーターによるレイヤー 3 のプライベートなルーティングを介して通信できます。
複数のクラスターが相互に通信する必要がある場合は、それらのクラスターを同じ VPC 内に作成することができます。 ただし、クラスターが通信する必要がない場合は、別個の VPC にクラスターを作成することで、より優れたネットワーク・セグメンテーションを実現することができます。 また、VPC サブネットのアクセス制御リスト (ACL) を作成して、プライベート・ネットワーク上のトラフィックを調節することもできます。 ACL は、各 VPC サブネットで許可する送受信を定義するインバウンド・ルールとアウトバウンド・ルールで構成されます。
VPC ネットワーキングの制限
クラスターの VPC サブネットを作成する際には、以下の機能と制限に留意してください。
- 各 VPC サブネットのデフォルトの CIDR サイズは
/24
であるため、最大 253 台のワーカー・ノードをサポートできます。 1 つのクラスターでゾーンごとに 250 台を超えるワーカー・ノードをデプロイする場合は、より大きなサイズのサブネットを作成することを検討してください。 - VPC サブネットを作成した後は、そのサイズを変更したり、その IP 範囲を変更したりすることはできません。
- VPC サブネットは同じ VPC 内の複数のクラスターで共有できます。 ただし、カスタム・ポッドとサービス・サブネットを複数のクラスター間で共有することはできません。
- VPCサブネットは1つのキャンパスのマルチゾーン・リージョンにバインドされ、複数のゾーンやリージョンにまたがることはできない。
- サブネットを作成した後、それを別のゾーン、リージョン、または VPC に移動することはできません。
- ゾーン内の既存のサブネットに接続されているワーカー・ノードがある場合は、クラスター内のそのゾーンのサブネットを変更することはできません。
172.16.0.0/16
、172.18.0.0/16
、172.19.0.0/16
、172.20.0.0/16
の範囲は禁止されています。- 1 つの VPC の中では、パブリック・ゲートウェイはゾーンごとに 1 つしか作成できませんが、そのパブリック・ゲートウェイをゾーン内の複数のサブネットに接続できます。
- クラシック・アクセスのデフォルトのアドレス接頭部は、Red Hat OpenShift on IBM Cloud のコントロール・プレーンのサブネットと競合しています。 自動デフォルトアドレスプレフィックスなしでVPCを作成し、クラスタ用にその範囲内で独自のアドレスプレフィックスとサブネットを作成 する必要があります。
VPC サブネットの作成とパブリック・ゲートウェイの接続
クラスターの VPC サブネットを作成し、オプションでそのサブネットにパブリック・ゲートウェイを接続します。
コンソールでの VPC サブネットの作成
IBM Cloud コンソールを使用して、クラスターの VPC サブネットを作成し、オプションでそのサブネットにパブリック・ゲートウェイを接続します。
- VPC サブネットのダッシュボードで、**「作成」**をクリックします。
- サブネットの名前を入力し、作成した VPC の名前を選択します。
- サブネットを作成するロケーションとゾーンを選択します。
- 作成する IP アドレスの数を指定します。
- クラスターのワーカー・ノードおよびロード・バランサー・サービスの IP アドレスは VPC サブネットから取得されるので、256 個などの十分な数の IP アドレスが含まれる VPC サブネットを作成してください。 後で VPC サブネットの IP の数を変更することはできません。
- 具体的な IP 範囲を入力する場合は、予約済みの範囲で
172.16.0.0/16
、172.18.0.0/16
、172.19.0.0/16
、172.20.0.0/16
は使用しないでください。
- Red Hat OpenShift のデフォルトのコンポーネント (Web コンソールや OperatorHub など) を実行するには、また、クラスターからパブリック・エンドポイント (別のアプリや、パブリック・クラウド・サービス・エンドポイントしかサポートしていない IBM Cloud サービスのパブリック URL など) にアクセスできるようにするには、サブネットにパブリック・ゲートウェイを接続する必要があります。
- **「サブネットの作成 (Create subnet)」**をクリックします。
- サブネットをクラスターの作成、新規ワーカー・プールの作成、または既存のワーカー・プールにサブネットを追加するに使用します。> クラスターの作成時にクラスターに接続したサブネットや、ゾーンにワーカー・ノードを追加するときにクラスターに接続したサブネットは削除しないでください。 クラスターで使用されている VPC サブネットを削除すると、そのサブネットの IP アドレスを使用しているロード・バランサーで問題が発生するだけでなく、ロード・バランサーの新規作成もできなくなる可能性があります。
CLI での VPC サブネットの作成
IBM Cloud CLI を使用して、クラスターの VPC サブネットを作成し、オプションでそのサブネットにパブリック・ゲートウェイを接続します。
開始前に
- コマンド・ラインで、IBM Cloud アカウントにログインし、VPC クラスターを作成する IBM Cloud リージョンとリソース・グループをターゲットに設定します。 サポートされるリージョンについては、別のリージョンでの VPC の作成を参照してください。 このクラスターのリソース・グループは、VPC リソース・グループとは別にすることができます。
プロンプトが出されたら、IBM Cloud 資格情報を入力します。 連携IDをお持ちの場合は、
--sso
オプションを使用してログインしてください。ibmcloud login -r <region> [-g <resource_group>] [--sso]
- クラスターを作成するのと同じリージョンに VPC を作成します。
VPC サブネットを作成するには、以下の手順を実行します。
-
サブネットを作成する VPC の ID を確認します。
ibmcloud oc vpcs
-
サブネットを作成します。 このコマンドのオプションについて詳しくは、CLI リファレンスを参照してください。
ibmcloud is subnet-create <subnet_name> <vpc_id> --zone <vpc_zone> --ipv4-address-count <number_of_ip_address>
- クラスターのワーカー・ノードおよびロード・バランサー・サービスの IP アドレスは VPC サブネットから取得されるので、256 個などの十分な数の IP アドレスが含まれる VPC サブネットを作成してください。 後で VPC サブネットの IP の数を変更することはできません。
- 以下の予約範囲は使用しないでください:
172.16.0.0/16
172.18.0.0/16
、172.19.0.0/16
、172.20.0.0/16
。
-
クラスターを作成するゾーン内にパブリック・ゲートウェイがあるかどうかを確認します。 1 つの VPC の中では、パブリック・ゲートウェイはゾーンごとに 1 つしか作成できませんが、そのパブリック・ゲートウェイをゾーン内の複数のサブネットに接続できます。
ibmcloud is public-gateways
出力例
ID Name VPC Zone Floating IP Created Status Resource group 26426426-6065-4716-a90b-ac7ed7917c63 test-pgw testvpc(36c8f522-.) us-south-1 169.xx.xxx.xxx(26466378-.) 2019-09-20T16:27:32-05:00 available - 2ba2ba2b-fffa-4b0c-bdca-7970f09f9b8a pgw-73b62bc0-b53a-11e9-9838-f3f4efa02374 team3(ff537d43-.) us-south-2 169.xx.xxx.xxx(2ba9a280-.) 2019-08-02T10:30:29-05:00 available -
- 各ゾーンにパブリック・ゲートウェイが既に存在する場合は、パブリック・ゲートウェイの ID をメモします。
- 各ゾーンにパブリック・ゲートウェイがない場合、パブリック・ゲートウェイを作成します。 パブリック・ゲートウェイに
<cluster>-<zone>-gateway
という形式の名前を付けることを考慮してください。 出力にあるパブリック・ゲートウェイの ID をメモします。
ibmcloud is public-gateway-create <gateway_name> <VPC_ID> <zone>
出力例
ID 26466378-6065-4716-a90b-ac7ed7917c63 Name mycluster-us-south-1-gateway Floating IP 169.xx.xx.xxx(26466378-6065-4716-a90b-ac7ed7917c63) Status pending Created 2019-09-20T16:27:32-05:00 Zone us-south-1 VPC myvpc(36c8f522-4f0d-400c-8226-299f0b8198cf) Resource group -
-
パブリック・ゲートウェイとサブネットの ID を使用して、パブリック・ゲートウェイをサブネットに接続します。
ibmcloud is subnet-update <subnet_ID> --public-gateway-id <gateway_ID>
出力例
ID 91e946b4-7094-46d0-9223-5c2dea2e5023 Name mysubnet1 IPv4 CIDR 10.240.xx.xx/24 Address available 250 Address total 256 ACL allow-all-network-acl-36c8f522-4f0d-400c-8226-299f0b8198cf(585bc142-5392-45d4-afdd-d9b59ef2d906) Gateway mycluster-us-south-1-gateway(26466378-6065-4716-a90b-ac7ed7917c63) Created 2019-08-21T09:43:11-05:00 Status available Zone us-south-1 VPC myvpc(36c8f522-4f0d-400c-8226-299f0b8198cf)
-
サブネットを使用して、クラスターを作成したり、ワーカー・プールを新規作成したり、サブネットを既存のワーカー・プールに追加したりします。 クラスターの作成時にクラスターに接続したサブネットや、ゾーンにワーカー・ノードを追加するときにクラスターに接続したサブネットは削除しないでください。 クラスターで使用されている VPC サブネットを削除すると、そのサブネットの IP アドレスを使用しているロード・バランサーで問題が発生するだけでなく、ロード・バランサーの新規作成もできなくなる可能性があります。
クラシック・アクセス用の VPC サブネットの作成
VPC の作成時にクラシック・アクセスを有効にする場合に、クラシック・アクセス用のデフォルトのアドレス接頭部を使用すると、ユーザーが作成するサブネットの IP 範囲が自動的に決定されます。 しかし、クラシック・アクセス VPC のサブネットのデフォルトの IP 範囲は、Red Hat OpenShift on IBM Cloud のコントロール・プレーンのサブネットと競合しています。 代わりに、自動のデフォルト・アドレス接頭部を使用せずに VPC を作成してから、独自のアドレス接頭部を作成する必要があります。 その後、クラスターにサブネットを作成するときに常に、作成したアドレス接頭部の範囲内にサブネットを作成するようにします。
クラシック・アクセス用の VPC サブネットをコンソールで作成する
- デフォルトのアドレス接頭部を使用せずにクラシック・アクセス VPC を作成します。
- 「仮想プライベート・クラウド」ダッシュボードで、**「作成」**をクリックします。
- 名前、リソース・グループ、およびタグの詳細を入力します。
- **「クラシック・リソースへのアクセスを有効にします」チェック・ボックスを選択し、「各ゾーンのデフォルト接頭部の作成」**チェック・ボックスの選択を解除します。
- VPC のリージョンを選択します。
- 「仮想プライベート・クラウドの作成」 をクリックします。
- 各ゾーンのアドレス接頭部を作成します。
- VPC の名前をクリックして、詳細を表示します。
- **「アドレス接頭部」タブをクリックし、「作成」**をクリックします。
- サブネットを作成するゾーンごとに、1 つ以上のアドレス接頭部を作成します。 アドレス接頭部は、
10.0.0.0 - 10.255.255.255
、172.17.0.0 - 172.17.255.255
、172.21.0.0 - 172.31.255.255
、192.168.0.0 - 192.168.254.255
のいずれかの範囲内になければなりません。
- アドレス接頭部を使用するサブネットを作成します。
- VPC サブネットのダッシュボードで、**「作成」**をクリックします。
- サブネットの名前を入力し、クラシック・アクセス VPC の名前を選択します。
- サブネットを作成するロケーションとゾーンを選択します。
- このゾーンに作成したアドレス接頭部を選択します。
- 作成する IP アドレスの数を指定します。 クラスターのワーカー・ノードおよびロード・バランサー・サービスの IP アドレスは VPC サブネットから取得されるので、256 個などの十分な数の IP アドレスが含まれる VPC サブネットを作成してください。 後で VPC サブネットの IP の数を変更することはできません。
- Red Hat OpenShift のデフォルトのコンポーネント (Web コンソールや OperatorHub など) を実行するには、また、クラスターからパブリック・エンドポイント (別のアプリや、パブリック・クラウド・サービス・エンドポイントしかサポートしていない IBM Cloud サービスのパブリック URL など) にアクセスできるようにするには、サブネットにパブリック・ゲートウェイを接続する必要があります。
- **「サブネットの作成 (Create subnet)」**をクリックします。
- サブネットを使用してクラスターを作成します。 クラスターの作成時にクラスターに接続したサブネットや、ゾーンにワーカー・ノードを追加するときにクラスターに接続したサブネットは削除しないでください。 クラスターで使用されている VPC サブネットを削除すると、そのサブネットの IP アドレスを使用しているロード・バランサーで問題が発生するだけでなく、ロード・バランサーの新規作成もできなくなる可能性があります。
クラシック・アクセス用の VPC サブネットを CLI で作成する
- コマンド・ラインで、IBM Cloud アカウントにログインし、VPC クラスターを作成する IBM Cloud リージョンとリソース・グループをターゲットに設定します。 サポートされるリージョンについては、別のリージョンでの VPC の作成を参照してください。 このクラスターのリソース・グループは、VPC リソース・グループとは別にすることができます。
プロンプトが出されたら、IBM Cloud 資格情報を入力します。 連携IDをお持ちの場合は、
--sso
オプションを使用してログインしてください。ibmcloud login -r <region> [-g <resource_group>] [--sso]
- デフォルトのアドレス接頭部を使用せずにクラシック・アクセス VPC を作成します。 出力で、VPC の ID をコピーします。
ibmcloud is vpc-create <name> --classic-access --address-prefix-management manual
- サブネットを作成するゾーンごとに、1 つ以上のアドレス接頭部を作成します。 アドレス接頭部は、
10.0.0.0 - 10.255.255.255
、172.17.0.0 - 172.17.255.255
、172.21.0.0 - 172.31.255.255
、192.168.0.0 - 192.168.254.255
のいずれかの範囲内になければなりません。ibmcloud is vpc-address-prefix-create <prefix_name> <vpc_id> <zone> <prefix_range>
- アドレス接頭部を使用するサブネットを各ゾーンに作成します。 このコマンドのオプションについて詳しくは、CLI リファレンスを参照してください。 クラスターのワーカー・ノードおよびロード・バランサー・サービスの IP アドレスは VPC サブネットから取得されるので、256
個などの十分な数の IP アドレスが含まれる VPC サブネットを作成してください。 後で VPC サブネットの IP の数を変更することはできません。
ibmcloud is subnet-create <subnet_name> <vpc_id> --zone <vpc_zone> --ipv4-address-count <number_of_ip_address> --ipv4-cidr-block <prefix_range>
- Red Hat OpenShift のデフォルトのコンポーネント (Web コンソールや OperatorHub など) を実行するには、また、クラスターからパブリック・エンドポイント (別のアプリや、パブリック・クラウド・サービス・エンドポイントしかサポートしていない IBM Cloud サービスのパブリック URL など) にアクセスできるようにするには、サブネットにパブリック・ゲートウェイを接続する必要があります。
- 各ゾーンにパブリック・ゲートウェイを作成します。 パブリック・ゲートウェイに
<cluster>-<zone>-gateway
という形式の名前を付けることを考慮してください。 出力にあるパブリック・ゲートウェイの ID をメモします。
出力例ibmcloud is public-gateway-create <gateway_name> <VPC_ID> <zone>
ID 26466378-6065-4716-a90b-ac7ed7917c63 Name mycluster-us-south-1-gateway Floating IP 169.xx.xx.xxx(26466378-6065-4716-a90b-ac7ed7917c63) Status pending Created 2019-09-20T16:27:32-05:00 Zone us-south-1 VPC myvpc(36c8f522-4f0d-400c-8226-299f0b8198cf) Resource group -
- パブリック・ゲートウェイとサブネットの ID を使用して、パブリック・ゲートウェイをサブネットに接続します。
出力例ibmcloud is subnet-update <subnet_ID> --public-gateway-id <gateway_ID>
ID 91e946b4-7094-46d0-9223-5c2dea2e5023 Name mysubnet1 IPv4 CIDR 10.240.xx.xx/24 Address available 250 Address total 256 ACL allow-all-network-acl-36c8f522-4f0d-400c-8226-299f0b8198cf(585bc142-5392-45d4-afdd-d9b59ef2d906) Gateway mycluster-us-south-1-gateway(26466378-6065-4716-a90b-ac7ed7917c63) Created 2019-08-21T09:43:11-05:00 Status available Zone us-south-1 VPC myvpc(36c8f522-4f0d-400c-8226-299f0b8198cf)
- 各ゾーンにパブリック・ゲートウェイを作成します。 パブリック・ゲートウェイに
- サブネットを使用してクラスターを作成します。 クラスターの作成時にクラスターに接続したサブネットや、ゾーンにワーカー・ノードを追加するときにクラスターに接続したサブネットは削除しないでください。 クラスターで使用されている VPC サブネットを削除すると、そのサブネットの IP アドレスを使用しているロード・バランサーで問題が発生するだけでなく、ロード・バランサーの新規作成もできなくなる可能性があります。