WebLogic Server for OKEの構成を眺めてみる
はじめに
この記事はOracle Cloud Infrastructure (以下OCI) で提供されている、WebLogic Server for Oracle Container Engine for Kubernetes (以下WLS for OKE) のEnterprise Editionがプロビジョニングされた環境を前提にしています。
今回はWLS for OKEの概要やプロビジョニングの方法などについて紹介した以前の記事でプロビジョニングを行った環境を前提に、WLS for OKEでどのようなOCIリソースが構成されるのか、を中心に見ていきたいと思います。
WLS for OKEの全体像
以前の記事でも触れた通り、WLS for OKEはOCIのマーケットプレイスからResource Managerにより利用に必要な全てのOCIリソースがプロビジョニングされます(一部、事前準備で用意するものを除く)。
WLS for OKEの基本的な構成要素、役割は以下の通りです。
- OKEクラスタ
Jenkins、WebLogic Kubernetes OperatorとWebLogicなどを稼働させるためのKubernetsクラスタ - OCIR
利用するWebLogicのコンテナイメージなどを格納するコンテナ・レジストリ - ファイル・ストレージ
JenkinsのHomeやパイプラインで利用するスクリプト、WebLogicドメインのYAMLファイルなどを格納する共有ストレージ領域 - プライベート・ロードバランサ
JenkinsコンソールやWebLogic管理コンソールへのアクセスを集約するエンドポイント - 管理ホストのComputeインスタンス
OKEへの管理アクセスや、FSS上のアセットを手動で編集するなどの管理用途で利用するOS環境 - 踏み台ホストのComputeインスタンス
プライベート・サブネットに構成された管理ホストやOKE上のJenkins環境にアクセスするための踏み台サーバ - WebLogicクラスタ用ロードバランサ
WebLogic上のアプリケーションへのアクセスを外部に提供するエンドポイント
WLS for OKEの全体の構成は以下の図の通りです。
ここではもう少し詳細なネットワークの構成等も含めて作成されたOCIリソースを順に確認していきましょう。
WLS for OKEのネットワーク構成
VCNの構成
まず、ネットワーク構成を理解するために、VCN(仮想クラウド・ネットワーク)から順に確認してみましょう。
今回のプロビジョニングでは wls4okeというリソースのプレフィクスでVCNごとプロビジョニングを行いましたので、<prefix>-vcn ここではwls4oke-vcnという名前のVCNが作成されています。基本的にはこのように作成される各OCIリソース名にはプロビジョニング時に指定したプレフィクスから始まる名前が付けられます。
以降、この記事内では、<prefix>- を wls4oke-で表現します。
サブネットの構成
VCNの詳細からサブネットを確認すると、以下のような6つのサブネットが作成されています。
| サブネット名 | パブリック/プライベート | 用途 |
|---|---|---|
wls4oke-bastion |
パブリック | 踏み台ホストが配置されるサブネット |
wls4oke-admin |
プライベート | 管理ホストが配置されるサブネット |
wls4oke-endpoint |
プライベート | OKEのAPIエンドポイントが配置されるサブネット |
wls4oke-workers |
プライベート | OKEのWorker Nodeが配置されるサブネット |
wls4oke-fss |
プライベート | FSSのマウント・ターゲットが配置されるサブネット |
wls4oke-lb |
パブリック | WebLogicクラスタ用のロードバランサが配置されるサブネット |
また、これらのサブネット対応するセキュリティ・リストが作成され、割り当てられています。
| セキュリティ・リスト | 対応するサブネット |
|---|---|
wls4oke-bastion |
wls4oke-bastion |
wls4oke-admin-seclist |
wls4oke-admin |
wls4oke-endpoint-seclist |
wls4oke-endpoint |
wls4oke-private-workers |
wls4oke-workers |
wls4oke-fss-seclist |
wls4oke-fss |
wls4oke-pub-lb |
wls4oke-lb |
Default Security List for wls4oke-vcn |
未使用 (VCNにデフォルトで作成される) |
ゲートウェイの構成
WLS for OKE のネットワークには以下の3つのゲートウェイが1つずつ構成されます。
- インターネット・ゲートウェイ
インターネットから踏み台ホストのサブネットへの経路、及びWebLogicクラスタ用のロードバランサ・サブネットへの経路のためのゲートウェイ - NATゲートウェイ
管理ホストのサブネットやWorker Nodeのサブネットからインターネットへの経路のためのゲートウェイ - サービス・ゲートウェイ
Worker NodeのサブネットやOKEのAPIエンドポイントのサブネットから、OCIRやOKEのコントロール・プレーンが配置されるサービス・ネットワークへの経路のためのゲートウェイ
これらのゲートウェイを利用するルート表は以下のルート表で利用されています。
- パブリック・サブネットに適用されるルート表
wls4oke-ig-route- インターネット(
0.0.0.0/0)への経路としてインターネットゲートウェイを定義。
- インターネット(
- プライベート・サブネットに適用されるルート表
wls4oke-nat-route- インターネット(
0.0.0.0/0)への経路としてNATゲートウェイを定義。 - サービス・ネットワークへの経路としてサービス・ゲートウェイを定義。
- インターネット(
6つのサブネットからの外部へのアクセスは、これらのゲートウェイ、ルート表、及びセキュリティ・リストにより、以下の表のようにアクセス可否が構成されています。
| サブネット名 | パブリック/プライベート | インターネット | サービス・ネットワーク |
|---|---|---|---|
wls4oke-bastion |
パブリック | IGW | - |
wls4oke-admin |
プライベート | NATGW | - |
wls4oke-endpoint |
プライベート | - | SGW |
wls4oke-workers |
プライベート | NATGW | SGW |
wls4oke-fss |
プライベート | - | - |
wls4oke-lb |
パブリック | IGW | - |
IGW:インターネット・ゲートウェイ
NATGW:NATゲートウェイ
SGW:サービス・ゲートウェイ
ロードバランサの構成
WLS for OKEのロードバランサはJenkinsコンソールやWebLogic管理コンソールにアクセスするためのプライベート・ロードバランサと、WebLogicクラスタ用に作成されるパブリック・ロードバランサがありますが、いずれも同じパブリック・サブネット (ここでは wls4oke-lb) に配置されます。
また、これらのロードバランサはOKE上のKubernetes Service作成時に構成されるため、ロードバランサの名称はプレフィクスなどを伴う規則的な名前にはなっていません。
プライベート・ロードバランサはWLS for OKEプロビジョニング時に1つ構成されます。
パブリック・ロードバランサは、Jenkinsコンソール上からWebLogicドメインを作成するたびに作成されます。
踏み台ホストと管理ホストの配置
WLS for OKEの環境への接続に利用される踏み台ホストは wls4oke-bastion、管理用途で利用する管理ホストはwls4oke-adminというプレフィクスで始まる名前のComputeインスタンスとして作成されます。
※図中の残りの2つのインスタンスはOKEのWorker Nodeのインスタンスです。
踏み台ホストはパブリック・サブネットのwls4oke-bastionに配置され、パブリックIPを割り当てられます。
管理ホストは、プライベート・サブネットのwls4oke-adminに配置されます。
OKEクラスタの構成
WLS for OKEのOKEクラスタは、wls4oke-cluster-clusterという名称で作成されます。作成されるOKEクラスタのサブネットは以下が指定されます。
| サブネットの種類 | 割り当てられるサブネット |
|---|---|
| Kubernetes APIエンドポイント・サブネット | wls4oke-endpoint |
| サービスLBサブネット1 | wls4oke-lb |
| サービスLBサブネット2 | (未指定) |
WLS for OKEのプロビジョニング時に以下の2つのノード・プールが作成されます。
-
wls4oke-wls-np:WebLogicのPodが稼働するためのノード・プール。 -
wls4oke-non-wls-np:Jenkinsなどの管理コンポーネントが稼働するためのノード・プール。
なお、UCMモデルの場合に発生するWebLogicに対する課金は、wls4oke-wls-npのWorker Node (のOCPU)に対してのみ発生します。
これらのノード・プールはKubernetes APIエンドポイントやサービスLBサブネットとは異なる、Worker Node専用のプライベート・サブネット wls4oke-workersに配置されます。
WebLogic用のノード・プールについては、WLS for OKEのプロビジョニング後に、Jenkinsコンソールから追加で作成することも可能です。この場合、指定が無い場合は同じサブネットに配置されますが、異なるサブネットを指定して配置することも可能です。
ファイル・ストレージの構成
Jenkins Homeなどの用途で利用される共有ストレージのファイル・ストレージは以下の構成で作成されます。
-
マウント・ターゲット
wls4oke-mntTarget -
OKEクラスタや管理ホストからマウントするためのエンドポイントを
wls4oke-fssのサブネットに配置
-
ファイル・システム
wls4oke-fss-
WLS for OKEで利用するファイルシステムを
/wls4okeのパスでマウント・ターゲットwls4oke-mntTargetを介してエクスポート
-
WLS for OKEの全体構成の概観
これまでの構成の内容を図でまとめると、下図のような全体像になります。
今回は記事量の観点からセキュリティ・リストの詳細については割愛していますが、環境を作成できる方は是非一度プロビジョニングしていただいて、設定内容を確認いただくことでより理解が深まると思います。
おわりに
今回の構成はWLS for OKEのプロビジョニング時にVCNごと作成する標準構成としてのネットワーク構成を基準に解説しました。
WLS for OKEは既存のVCNやサブネットに配置する際には、管理ホストとOKEクラスタを同じサブネットに配置する、など柔軟に構成することが可能です。まずはこの標準構成を理解していれば、既存ネットワークに対するゲートウェイやルーティングなどの前提条件も理解しやすくなるかと思いますので、最初に標準構成で作成した環境を眺めて理解していただくことをお薦めします。