Oracle Cloud Infrastructure-Dokumentation

VCN erstellen (Flannel-Overlay)

Erstellen Sie auf Compute Cloud@Customer ein VCN, eine öffentliche Route und eine private Route, um OKE zu konfigurieren.

Erstellen Sie die folgenden Ressourcen in der aufgeführten Reihenfolge:

  1. VCN erstellen

  2. Erstellen Sie eine Routentabelle mit den folgenden Routingregeln:

    • Öffentliche Cluster:

      • Internetgateway und eine Routentabelle mit einer Routingregel, die dieses Internetgateway referenziert.

      • NAT-Gateway und eine Routentabelle mit einer Routingregel, die dieses NAT-Gateway referenziert.

    • Private Cluster:

      • Routentabelle ohne Routingregeln.

      • (Optional) Dynamisches Routinggateway (DRG) und eine Routentabelle mit einer Routingregel, die dieses DRG referenziert. Siehe Private Cluster.

      • (Optional) Lokales Peering-Gateway (LPG) und eine Routentabelle mit einer Routingregel, die dieses LPG referenziert. Siehe Private Cluster.

  3. VCN-Standardsicherheitsliste ändern

Ressourcennamen und CIDR-Blöcke sind Beispielwerte.

VCN erstellen

Um das VCN zu erstellen, befolgen Sie die Anweisungen unter VCN erstellen, und verwenden Sie die in diesem Abschnitt aufgeführten Parameter. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte für Netzwerkressourcen (Flannel-Overlay).

Hinweis

Subnetze werden später erstellt und in den nachfolgenden Abschnitten beschrieben.

Verwenden Sie in diesem Beispiel die folgende Eingabe, um das VCN zu erstellen. Das VCN deckt einen zusammenhängenden CIDR-Block ab. Der CIDR-Block kann nach dem Erstellen des VCN nicht mehr geändert werden.

Eigenschaft Compute Cloud@Customer-Konsole

CLI-Eigenschaft

  • Name: oketest-vcn

  • CIDR-Block: vcn_cidr

  • DNS-Label: oketest

    Dieses Label muss für alle VCNs im Mandanten eindeutig sein.

  • --display-name: oketest-vcn

  • --cidr-blocks: '["vcn_cidr"]'

  • --dns-label: oketest

    Dieses Label muss für alle VCNs im Mandanten eindeutig sein.

Beachten Sie die OCID des neuen VCN zur späteren Verwendung. In den Beispielen in dieser Dokumentation lautet diese VCN-OCID ocid1.vcn.oke_vcn_id.

Nächste Schritte

  • Öffentlicher Internetzugang. Erstellen Sie für Traffic in einem öffentlichen Subnetz, das über öffentliche IP-Adressen eine Verbindung zum Internet herstellt, ein Internetgateway und eine Routingregel, die dieses Internetgateway referenziert.

  • Privater Internetzugang. Erstellen Sie für Traffic in einem privaten Subnetz, der eine Verbindung zum Internet herstellen muss, ohne private IP-Adressen verfügbar zu machen, ein NAT-Gateway und eine Routingregel, die dieses NAT-Gateway referenziert.

  • Nur VCN-Zugriff. Um die Kommunikation nur auf andere Ressourcen in demselben VCN zu beschränken, verwenden Sie die Standardroutentabelle, die keine Routingregeln enthält.

  • Instanzen in einem anderen VCN. Um die Kommunikation zwischen dem Cluster und einer Instanz zu ermöglichen, die auf einem anderen VCN ausgeführt wird, erstellen Sie ein lokales Peering-Gateway (LPG) und eine Routingregel, die dieses LPG referenziert.

  • On-Premise-IP-Adressbereich. Um die Kommunikation zwischen dem Cluster und dem IP-Adressraum des On-Premise-Netzwerks zu aktivieren, erstellen Sie ein dynamisches Routinggateway (DRG), hängen das OKE-VCN an dieses DRG an, und erstellen Sie eine Routingregel, die dieses DRG referenziert.

Private VCN-Routentabelle bearbeiten

Bearbeiten Sie die Standardroutentabelle, die beim Erstellen des VCN erstellt wurde. Ändern Sie den Namen der Routentabelle in vcn_private. Diese Routentabelle enthält keine Routingregeln. Fügen Sie keine Routingregeln hinzu.

Private NAT-Routentabelle erstellen

Erstellen Sie ein NAT-Gateway und eine Routentabelle mit einer Routingregel, die das NAT-Gateway referenziert.

NAT-Gateway

Um das NAT-Gateway zu erstellen, verwenden Sie die Anweisungen unter NAT-Gateway einrichten. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte für Netzwerkressourcen (Flannel-Overlay).

Notieren Sie den Namen und die OCID des NAT-Gateways für die Zuweisung zur privaten Routingregel.

Private Routingregel

Ändern Sie die Standardroutentabelle mit der folgenden Eingabe, um eine private Routingregel zu erstellen, die das im vorherigen Schritt erstellte NAT-Gateway referenziert. Siehe Routentabelle erstellen.

Verwenden Sie in diesem Beispiel die folgende Eingabe, um die Routentabelle mit einer privaten Routingregel zu erstellen, die das NAT-Gateway referenziert, das im vorherigen Schritt erstellt wurde.

Eigenschaft Compute Cloud@Customer-Konsole

CLI-Eigenschaft

  • Name: nat_private

Routingregel

  • Zieltyp: NAT-Gateway

  • NAT-Gateway: Name des NAT-Gateways, das im vorherigen Schritt erstellt wurde

  • CIDR-Block: 0.0.0.0/0

  • Beschreibung: NAT private route rule

  • --display-name: nat_private

--route-rules

  • networkEntityId: OCID des NAT-Gateways, das im vorherigen Schritt erstellt wurde

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: Private NAT-Routingregel

Beachten Sie den Namen und die OCID dieser Routentabelle für die Zuweisung zu privaten Subnetzen.

Lokales Peering-Gateway erstellen

Erstellen Sie ein lokales Peering-Gateway (LPG) und eine Routentabelle mit einer Routingregel, die das LPG referenziert.

Lokales Peering-Gateway

LPG erstellen Siehe VCNs über ein lokales Peering-Gateway (LPG) verbinden.

Notieren Sie sich den Namen und die OCID des LPGs für die Zuweisung zur Private-Routing-Regel.

Private Routingregel

Routentabelle erstellen. Siehe Routentabelle erstellen.

Verwenden Sie in diesem Beispiel die folgende Eingabe, um die Routentabelle mit einer privaten Routingregel zu erstellen, die das LPG referenziert, das im vorherigen Schritt erstellt wurde.

Eigenschaft Compute Cloud@Customer-Konsole

CLI-Eigenschaft

  • Name: lpg_rt

Routingregel

  • Zieltyp: Lokales Peering-Gateway

  • Lokales Peering-Gateway: Name des LPGs, das im vorherigen Schritt erstellt wurde

  • CIDR-Block: CIDR_for_the_second_VCN

  • Beschreibung: Private LPG-Routingregel

  • --display-name: lpg_rt

--route-rules

  • networkEntityId: OCID des LPGs, das im vorherigen Schritt erstellt wurde

  • destinationType: CIDR_BLOCK

  • destination: CIDR_for_the_second_VCN

  • description: Private LPG-Routingregel

Notieren Sie sich den Namen und die OCID dieser Routentabelle für die Zuweisung zum Subnetz "control-plane-endpoint" (OKE-Control-Plane-Load-Balancer-Subnetz erstellen (Flannel Overlay)).

Fügen Sie dieselbe Routingregel im zweiten VCN (dem Peer-VCN) hinzu, und geben Sie das OKE-VCN-CIDR als Ziel an.

Dynamisches Routinggateway erstellen

Erstellen Sie ein dynamisches Routinggateway (DRG) und eine Routentabelle mit einer Routingregel, die das DRG referenziert.

Dynamisches Routinggateway

Informationen zum Erstellen des DRG und Anhängen des OKE-VCN an dieses DRG finden Sie unter Verbindung zum On-Premise-Netzwerk über ein dynamisches Routinggateway (DRG) herstellen. Erstellen Sie das DRG im OKE-VCN-Compartment, und hängen Sie das OKE-VCN an dieses DRG an.

Notieren Sie sich den Namen und die OCID des DRG zur Zuweisung zur Private-Routing-Regel.

Private Routingregel

Routentabelle erstellen. Siehe Routentabelle erstellen.

Verwenden Sie in diesem Beispiel die folgende Eingabe, um die Routentabelle mit einer privaten Routingregel zu erstellen, die das im vorherigen Schritt erstellte DRG referenziert.

Eigenschaft Compute Cloud@Customer-Konsole

CLI-Eigenschaft

  • Name: drg_rt

Routingregel

  • Zieltyp: Dynamisches Routinggateway

  • Dynamisches Routing: Name des DRG, das im vorherigen Schritt erstellt wurde

  • CIDR-Block: 0.0.0.0/0

  • Beschreibung: Regel für private DRG-Routen

  • --display-name: drg_rt

--route-rules

  • networkEntityId: OCID des DRG, das im vorherigen Schritt erstellt wurde

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: Regel für private DRG-Routen

Notieren Sie sich den Namen und die OCID dieser Routentabelle für die Zuweisung zum Subnetz "control-plane-endpoint" (OKE-Control-Plane-Load-Balancer-Subnetz erstellen (Flannel Overlay)).

Öffentliche Routentabelle erstellen

Erstellen Sie ein Internetgateway und eine Routentabelle mit einer Routingregel, die das Internetgateway referenziert. Dadurch wird der Internetzugriff für OKE-Knoten aktiviert.

Internetgateway erstellen

Um das Internetgateway zu erstellen, verwenden Sie die Anweisungen unter Internetgateway konfigurieren. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte für Netzwerkressourcen (Flannel-Overlay).

Notieren Sie den Namen und die OCID des Internetgateways für die Zuweisung zur öffentlichen Routingregel.

Öffentliche Routingregel erstellen

Erstellen Sie eine öffentliche Routingregel für das soeben erstellte Internetgateway. Um eine Routentabelle zu erstellen, verwenden Sie die Anweisungen unter Routentabelle erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte für Netzwerkressourcen (Flannel-Overlay).

Verwenden Sie in diesem Beispiel die folgende Eingabe, um die Routentabelle mit einer öffentlichen Routingregel zu erstellen, die das Internetgateway referenziert, das im vorherigen Schritt erstellt wurde.

Eigenschaft Compute Cloud@Customer-Konsole

CLI-Eigenschaft

  • Name: öffentlich

Routingregel

  • Zieltyp: Internetgateway

  • Internetgateway: Name des Internetgateways, das im vorherigen Schritt erstellt wurde

  • CIDR-Block: 0.0.0.0/0

  • Beschreibung: OKE public route rule

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: öffentlich

--route-rules

  • networkEntityId: OCID des Internetgateways, das im vorherigen Schritt erstellt wurde

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: OKE-Regel für öffentliche Route

VCN-Standardsicherheitsliste ändern

Informationen zum Ändern einer Sicherheitsliste finden Sie unter Sicherheitslisten aktualisieren. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte für Netzwerkressourcen (Flannel-Overlay).

Löschen Sie alle Standardregeln, und erstellen Sie die in der folgenden Tabelle angezeigten Regeln.

Eigenschaft Compute Cloud@Customer-Konsole

CLI-Eigenschaft

  • Name: Standard

--security-list-id: ocid1.securitylist.default_securitylist_id

Eine Egress-Sicherheitsregel:

  • Zustandslos: die Box löschen

  • Egress-CIDR: 0.0.0.0/0

  • IP-Protokoll: Alle Protokolle

  • Beschreibung: "Alle ausgehenden Datenverkehr zulassen".

Eine Egress-Sicherheitsregel:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: "Alle ausgehenden Traffic zulassen".

Drei Ingress-Sicherheitsregeln:

Drei Ingress-Sicherheitsregeln:

--ingress-security-rules

Ingress-Regel 1

  • Zustandslos: die Box löschen

  • Ingress-CIDR: vcn_cidr

  • IP-Protokoll: ICMP

    • Parametertyp: 8: Echo

  • Beschreibung: "Ping aus VCN zulassen".

Ingress-Regel 1

  • isStateless: false

  • source: vcn_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 8

  • description: "Ping aus VCN zulassen".

Ingress-Regel 2

  • Zustandslos: die Box löschen

  • Ingress-CIDR: 0.0.0.0/0

  • IP-Protokoll: ICMP

    • Parametertyp: 3: Ziel nicht erreichbar

  • Beschreibung: "Blockiert eingehende Anfragen von jeder Quelle."

Ingress-Regel 2

  • isStateless: false

  • source: 0.0.0.0/0

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 3

  • description: "Blockiert eingehende Anforderungen aus einer beliebigen Quelle."

Ingress-Regel 3

  • Zustandslos: die Box löschen

  • Ingress-CIDR: 0.0.0.0/0

  • IP-Protokoll: ICMP

    • Parametertyp: 11: Zeit überschritten

  • Beschreibung: "Zeit überschritten".

Ingress-Regel 3

  • isStateless: false

  • source: 0.0.0.0/0

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 11

  • description: "Zeit überschritten".

Beachten Sie den Namen und die OCID dieser Standardsicherheitsliste für die Zuweisung zu Subnetzen.

Weitere Schritte:

Worker-Subnetz erstellen (Flannel-Overlay)