Oracle Cloud Infrastructure-Dokumentation

Worker-Subnetz erstellen (Flannel-Overlay)

Erfahren Sie, wie Sie ein Mitarbeitersubnetz für Flannel Overlay-Netzwerke auf Compute Cloud@Customer erstellen.

Erstellen Sie die folgenden Ressourcen in der aufgeführten Reihenfolge:

  1. Workersicherheitsliste erstellen.
  2. Erstellen Sie das Worker-Subnetz.

Mitarbeitersicherheitsliste erstellen

Um eine Sicherheitsliste zu erstellen, verwenden Sie die Anweisungen unter Sicherheitsliste erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte für Netzwerkressourcen (Flannel-Overlay).

Diese Sicherheitsliste definiert Traffic, der Mitarbeiterknoten direkt kontaktieren kann.

Verwenden Sie in diesem Beispiel die folgende Eingabe für die Sicherheitsliste des Mitarbeitersubnetzes.

Compute Cloud@Customer-Konsole

CLI-Eigenschaft

  • Name: Worker-Sclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker-seclist

Sieben Ingress-Sicherheitsregeln:

Sieben Ingress-Sicherheitsregeln:

--ingress-security-rules

Ingress-Regel 1

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: vcn_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 22

  • Beschreibung: "Intra-VCN ssh zulassen".

Ingress-Regel 1

  • isStateless: false

  • source: vcn_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description: "Intra-VCN ssh zulassen".

Ingress-Regel 2

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: kube_client_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 30000-32767

  • Beschreibung: "Erlauben Sie Clients, den Knotenportbereich zu kontaktieren."

Ingress-Regel 2

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Zulassen, dass Clients den Knotenportbereich kontaktieren."

Ingress-Regel 3

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: workerlb_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 30000-32767

  • Beschreibung: "Erlauben Sie dem Worker Load Balancer, die Worker-Knoten zu kontaktieren."

Ingress-Regel 3

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Zulassen, dass der Worker Load Balancer die Worker-Knoten kontaktiert."

Ingress-Regel 4

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: workerlb_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 10256

  • Beschreibung: "Erlauben Sie dem Worker Load Balancer, die Worker-Knoten zu kontaktieren."

Ingress-Regel 4

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: "Zulassen, dass der Worker Load Balancer die Worker-Knoten kontaktiert."

Ingress-Regel 5

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: kmi_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 22-65535

  • Beschreibung: "Erlauben Sie der Control Plane, die Worker-Knoten zu kontaktieren."

Ingress-Regel 5

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 65535

    • min: 22

  • description: "Zulassen, dass die Control Plane die Worker-Knoten kontaktiert."

Ingress-Regel 6

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: worker_cidr

  • IP-Protokoll: UDP

    • Zielportbereich: 8285-8472

  • Beschreibung: "Flanellverkehr zulassen".

Ingress-Regel 6

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 17

  • udpOptions

    destinationPortRange

    • max: 8472

    • min: 8285

  • description: "Flannel-Traffic zulassen".

Ingress-Regel 7

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: kmi_cidr

  • IP-Protokoll: UDP

    • Zielportbereich: 8285-8472

  • Beschreibung: "Flanellverkehr zulassen".

Ingress-Regel 7

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 17

  • udpOptions

    destinationPortRange

    • max: 8472

    • min: 8285

  • description: "Flannel-Traffic zulassen".

Worker-Subnetz erstellen

Um ein Subnetz zu erstellen, verwenden Sie die Anweisungen unter Subnetz erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte für Netzwerkressourcen (Flannel-Overlay).

Verwenden Sie in diesem Beispiel die folgende Eingabe für die Sicherheitsliste des Mitarbeitersubnetzes. Verwenden Sie die OCID des VCN, das unter Terraform-Beispielskripte für Netzwerkressourcen (Flannel-Overlay) erstellt wurde. Erstellen Sie das Worker-Subnetz in demselben Compartment, in dem Sie das VCN erstellt haben.

Erstellen Sie entweder ein privates NAT-Worker-Subnetz oder ein privates VCN-Worker-Subnetz. Erstellen Sie ein privates NAT-Worker-Subnetz für die Kommunikation außerhalb des VCN.

Privates NAT-Worker-Subnetz erstellen

Eigenschaft Compute Cloud@Customer-Konsole

CLI-Eigenschaft

  • Name: Mitarbeiter

  • CIDR-Block: worker_cidr

  • Routentabelle: Wählen Sie "nat_private" aus der Liste

  • Privates Subnetz: Aktivieren Sie das Kontrollkästchen

  • DNS-Hostnamen:

    DNS-Hostnamen in diesem Subnetz verwendet: Aktivieren Sie das Kontrollkästchen

    • DNS-Label: Worker

  • Sicherheitslisten: Wählen Sie aus der Liste "worker-seclist" und "Default Security List for oketest-vcn" aus

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID der Routentabelle "nat_private"

  • --security-list-ids: OCIDs der Sicherheitsliste "worker-seclist" und der Sicherheitsliste "Default Security List for oketest-vcn"

Der Unterschied im folgenden privaten Subnetz ist, dass die private VCN-Routentabelle anstelle der privaten NAT-Routentabelle verwendet wird.

Privates VCN-Worker-Subnetz erstellen

Eigenschaft Compute Cloud@Customer-Konsole

CLI-Eigenschaft

  • Name: Mitarbeiter

  • CIDR-Block: worker_cidr

  • Routentabelle: Wählen Sie "vcn_private" aus der Liste

  • Privates Subnetz: Aktivieren Sie das Kontrollkästchen

  • DNS-Hostnamen:

    DNS-Hostnamen in diesem Subnetz verwendet: Kontrollkästchen

    • DNS-Label: Worker

  • Sicherheitslisten: Wählen Sie aus der Liste "worker-seclist" und "Default Security List for oketest-vcn" aus

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID der Routentabelle "vcn_private"

  • --security-list-ids: OCIDs der Sicherheitsliste "worker-seclist" und der Sicherheitsliste "Default Security List for oketest-vcn"

Was kommt als Nächstes:

Worker Load Balancer-Subnetz erstellen (Flannel-Overlay)