Oracle Cloud Infrastructure-Dokumentation

OKE-Control-Plane-Subnetz erstellen (Flannel-Overlay)

Bei der Konfiguration von OKE in Compute Cloud@Customer müssen Sie externe und interne Zugriffssicherheitslisten und ein Control-Plane-Subnetz erstellen.

Erstellen Sie die folgenden Ressourcen in der aufgeführten Reihenfolge:

  1. Control-Plane-Sicherheitsliste erstellen
  2. Control-Plane-Subnetz erstellen

Control-Plane-Sicherheitsliste erstellen

Um eine Sicherheitsliste zu erstellen, verwenden Sie die Anweisungen unter Sicherheitsliste erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte für Netzwerkressourcen (Flannel-Overlay).

Verwenden Sie in diesem Beispiel die folgende Eingabe für die Sicherheitsliste des Control-Plane-Subnetzes. Verwenden Sie diese Konfiguration als Richtlinie, wenn Sie diese Ressourcen erstellen. Sie können die Werte von Eigenschaften wie CIDR-Blöcken und IP-Adressen ändern. Sie sollten die Werte von Eigenschaften wie das Netzwerkprotokoll, die statusbehaftete Einstellung oder die private/öffentliche Einstellung nicht ändern.

Eigenschaft Compute Cloud@Customer-Konsole

CLI-Eigenschaft

  • Name: kmi-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: kmi-seclist

Vier Ingress-Sicherheitsregeln:

Vier Ingress-Sicherheitsregeln:

--ingress-security-rules

Ingress-Regel 1

  • Statuslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: kube_client_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: kubernetes_api_port

  • Beschreibung: "Eingehende Verbindungen zum Kubernetes-API-Server zulassen".

 Ingress-Regel 1

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Eingehende Verbindungen zum Kubernetes-API-Server zulassen".
Ingress-Regel 2

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: kmilb_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: kubernetes_api_port

  • Beschreibung: "Eingehende Verbindungen vom Control-Plane-Load Balancer zulassen".

 Ingress-Regel 2

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Eingehende Verbindungen vom Control-Plane-Load Balancer zulassen".
Ingress-Regel 3

  • Statuslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: worker_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 1024-65535

  • Beschreibung: "Eingehende Verbindungen von Worker-Knoten zur Control Plane zulassen".

 Ingress-Regel 3

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 65535

    • min: 1024

  • description: "Eingehende Verbindungen von Worker-Knoten zur Control Plane zulassen".
Ingress-Regel 4

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: kmi_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 1024-65535

  • Beschreibung: "Eingehende Verbindungen innerhalb der Control Plane zulassen".

 Ingress-Regel 4

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 65535

    • min: 1024

  • description: "Eingehende Verbindungen innerhalb der Control Plane zulassen".

Control-Plane-Subnetz erstellen

Um ein Subnetz zu erstellen, verwenden Sie die Anweisungen unter Subnetz erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte für Netzwerkressourcen (Flannel-Overlay).

Verwenden Sie die folgende Eingabe, um das Control-Plane-Subnetz zu erstellen. Verwenden Sie die OCID des VCN, das unter VCN erstellen (Flannel-Overlay) erstellt wurde. Erstellen Sie das Control-Plane-Subnetz in demselben Compartment, in dem Sie das VCN erstellt haben.

Erstellen Sie ein privates NAT-Control-Plane-Subnetz oder ein privates VCN-Control-Plane-Subnetz. Erstellen Sie ein privates NAT-Control-Plane-Subnetz für die Kommunikation außerhalb des VCN.

Wichtig

Der Name dieses Subnetzes muss genau control-plane sein.

Privates NAT-Control-Plane-Subnetz erstellen

Eigenschaft Compute Cloud@Customer-Konsole

CLI-Eigenschaft

  • Name: Steuerungsebene

  • CIDR-Block: kmi_cidr

  • Routentabelle: Wählen Sie "nat_private" aus der Liste

  • Privates Subnetz: Aktivieren Sie das Kontrollkästchen

  • DNS-Hostnamen:

    DNS-Hostnamen in diesem Subnetz verwendet: Kontrollkästchen

    • DNS-Label: kmi

  • Sicherheitslisten: Wählen Sie "kmi-seclist" und "Default Security List for oketest-vcn" aus der Liste

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane

  • --cidr-block: kmi_cidr

  • --dns-label: kmi

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID der Routentabelle "nat_private"

  • --security-list-ids: OCIDs der Sicherheitsliste "kmi-seclist" und der Sicherheitsliste "Standardsicherheitsliste für oketest-vcn"
Privates VCN-Control-Plane-Subnetz erstellen

Eigenschaft Compute Cloud@Customer-Konsole

CLI-Eigenschaft

  • Name: Steuerungsebene

  • CIDR-Block: kmi_cidr

  • Routentabelle: Wählen Sie "vcn_private" aus der Liste

  • Privates Subnetz: Aktivieren Sie das Kontrollkästchen

  • DNS-Hostnamen:

    DNS-Hostnamen in diesem Subnetz verwendet: Kontrollkästchen

    • DNS-Label: kmi

  • Sicherheitslisten: Wählen Sie aus der Liste "kmi-seclist" und "Default Security List for oketest-vcn" aus

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane

  • --cidr-block: kmi_cidr

  • --dns-label: kmi

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID der Routentabelle "vcn_private"

  • --security-list-ids: OCIDs der Sicherheitsliste "kmi-seclist" und der Sicherheitsliste "Standardsicherheitsliste für oketest-vcn"

Weitere Schritte:

OKE-Control-Plane-Load-Balancer-Subnetz erstellen (Flannel-Overlay)