Control-Plane-Load-Balancer-Subnetz (VCN-nativer Pod) erstellen

Erfahren Sie, wie Sie ein Control-Plane-Load-Balancer-Subnetz für VCN-natives Pod-Networking auf Compute Cloud@Customer erstellen.

Erstellen Sie die folgenden Ressourcen in der aufgeführten Reihenfolge:

Control-Plane-Load-Balancer-Sicherheitsliste
Control-Plane-Load-Balancer-Subnetz

Sicherheitsliste für Control-Plane-Load-Balancer erstellen

Erstellen einer Sicherheitsliste. Siehe Sicherheitsliste erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte (VCN-nativer Pod).

Der Control-Plane-Load Balancer akzeptiert Traffic auf Port 6443, der in dieser Dokumentation auch als kubernetes_api_port bezeichnet wird. Passen Sie diese Sicherheitsliste an, um nur Verbindungen zu akzeptieren, von denen Sie erwarten, dass das Netzwerk ausgeführt wird. Port 6443 muss Verbindungen von den Cluster Control Plane-Instanzen und Worker-Instanzen akzeptieren.

Verwenden Sie in diesem Beispiel die folgende Eingabe für die Sicherheitsliste des Control-Plane-Load-Balancer-Subnetzes.


Eigenschaft Compute Cloud@Customer-Konsole	CLI-Eigenschaft
Name: kmilb-seclist	`--vcn-id`: `ocid1.vcn.oke_vcn_id` `--display-name`: kmilb-seclist
Eine Egress-Sicherheitsregel: Zustandslos: Kontrollkästchen deaktivieren Egress-CIDR: 0.0.0.0/0 IP-Protokoll: Alle Protokollen Beschreibung: "Allow outgoing traffic".	Eine Egress-Sicherheitsregel: `--egress-security-rules` `isStateless`: `false` `destination`: `0.0.0.0/0` `destinationType`: `CIDR_BLOCK` `protocol`: `all` `description`: "Alle ausgehenden Datenverkehr zulassen".
Acht Ingress-Sicherheitsregeln:	Acht Ingress-Sicherheitsregeln: `--ingress-security-rules`
Ingress-Regel 1: Zustandslos: Kontrollkästchen deaktivieren Ingress-CIDR: `kube_internal_cidr` Dieser Wert ist obligatorisch. Ändern Sie diesen CIDR-Wert nicht. IP-Protokoll: TCP Zielportbereich: `kubernetes_api_port` Beschreibung: "Erlauben Sie einem Kubernetes-Container die Kommunikation mit Kubernetes-APIs."	Ingress-Regel 1: `isStateless`: `false` `source`: `kube_internal_cidr` Dieser Wert ist obligatorisch. Ändern Sie diesen CIDR-Wert nicht. `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `kubernetes_api_port` `min`: `kubernetes_api_port` `description`: "Erlauben Sie einem Kubernetes-Container die Kommunikation mit Kubernetes-APIs."
Ingress-Regel 2: Zustandslos: Kontrollkästchen deaktivieren Ingress-CIDR: `kube_client_cidr` IP-Protokoll: TCP Zielportbereich: `kubernetes_api_port` Beschreibung: "Zulassen, dass Clients eine Verbindung zum Kubernetes-Cluster herstellen."	Ingress-Regel 2: `isStateless`: `false` `source`: `kube_client_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `kubernetes_api_port` `min`: `kubernetes_api_port` `description`: "Zulassen, dass Clients eine Verbindung zum Kubernetes-Cluster herstellen."
Ingress-Regel 3: Zustandslos: Kontrollkästchen deaktivieren Ingress-CIDR: `kmi_cidr` IP-Protokoll: TCP Zielportbereich: `kubernetes_api_port` Beschreibung: "Erlauben Sie der Control Plane, sich selbst über den Load Balancer zu erreichen."	Ingress-Regel 3: `isStateless`: `false` `source`: `kmi_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `kubernetes_api_port` `min`: `kubernetes_api_port` `description`: "Erlauben Sie, dass die Control Plane sich über den Load Balancer erreicht."
Ingress-Regel 4: Zustandslos: Kontrollkästchen deaktivieren Ingress-CIDR: `worker_cidr` IP-Protokoll: TCP Zielportbereich: `kubernetes_api_port` Beschreibung: "Erlauben Sie Worker-Knoten, über den Control-Plane-Load Balancer eine Verbindung zum Cluster herzustellen."	Ingress-Regel 4: `isStateless`: `false` `source`: `worker_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `kubernetes_api_port` `min`: `kubernetes_api_port` `description`: "Erlauben Sie Worker-Knoten, über den Control-Plane-Load Balancer eine Verbindung zum Cluster herzustellen."
Ingress-Regel 5: Zustandslos: Kontrollkästchen deaktivieren Ingress-CIDR: `worker_cidr` IP-Protokoll: TCP Zielportbereich: `12250` Beschreibung: "Kubernetes-Worker die Kubernetes-API-Endpunktkommunikation über den Load Balancer zulassen."	Ingress-Regel 5: `isStateless`: `false` `source`: `worker_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `12250` `min`: `12250` `description`: "Kubernetes-Worker die Kommunikation des Kubernetes-API-Endpunkts über den Load Balancer zulassen."
Ingress-Regel 6: Zustandslos: Kontrollkästchen deaktivieren Ingress-CIDR: `pod_cidr` IP-Protokoll: TCP Zielportbereich: `12250` Beschreibung: "Kubernetes-Pods über den Load Balancer zur Kommunikation mit dem Kubernetes-API-Endpunkt zulassen."	Ingress-Regel 6: `isStateless`: `false` `source`: `pod_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `12250` `min`: `12250` `description`: "Kommunikation von Kubernetes-Pods mit Kubernetes-API-Endpunkten über den Load Balancer zulassen."
Ingress-Regel 7: Privater Endpunkt Zustandslos: Kontrollkästchen deaktivieren Ingress-CIDR: `kmilb_cidr` IP-Protokoll: TCP Zielportbereich: `kubernetes_api_port` Beschreibung: "Wird zum Erstellen eines privaten Control-Plane-Endpunkts verwendet."	Ingress-Regel 7: Privater Endpunkt `isStateless`: `false` `source`: `kmilb_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `kubernetes_api_port` `min`: `kubernetes_api_port` `description`: "Wird zum Erstellen eines privaten Control-Plane-Endpunkts verwendet."
Ingress-Regel 8: Öffentlicher Endpunkt Zustandslos: Kontrollkästchen deaktivieren Ingress-CIDR: `public_ip_cidr` IP-Protokoll: TCP Zielportbereich: `kubernetes_api_port` Beschreibung: "Wird für den Zugriff auf den Control-Plane-Endpunkt aus dem öffentlichen CIDR verwendet. Wenn Sie nicht wissen, was Ihr öffentliches IP-CIDR ist, öffnen Sie eine Supportanfrage. Siehe Supportanfrage erstellen. Um auf Support zuzugreifen, melden Sie sich bei der Oracle Cloud-Konsole an, wie unter Bei der OCI-Konsole anmelden beschrieben."	Ingress-Regel 8: Öffentlicher Endpunkt `isStateless`: `false` `source`: `public_ip_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `kubernetes_api_port` `min`: `kubernetes_api_port` `description`: "Wird für den Zugriff auf den Control-Plane-Endpunkt aus dem öffentlichen CIDR verwendet. Wenn Sie nicht wissen, was Ihr öffentliches IP-CIDR ist, öffnen Sie eine Supportanfrage. Siehe Supportanfrage erstellen. Um auf Support zuzugreifen, melden Sie sich bei der Oracle Cloud-Konsole an, wie unter Bei der OCI-Konsole anmelden beschrieben."

Control-Plane-Load-Balancer-Subnetz erstellen

Subnetz erstellen. Siehe Subnetz erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte (VCN-nativer Pod).

Verwenden Sie in diesem Beispiel die folgende Eingabe, um das Control-Plane-Load-Balancer-Subnetz zu erstellen. Verwenden Sie die OCID des VCN, das unter VCN (nativer VCN-Pod) erstellen erstellt wurde. Erstellen Sie das Control-Plane-Load-Balancer-Subnetz in demselben Compartment, in dem Sie das VCN erstellt haben.

Erstellen Sie entweder ein privates oder ein öffentliches Control-Plane-Load-Balancer-Subnetz. Erstellen Sie ein öffentliches Control-Plane-Load-Balancer-Subnetz, das mit einem öffentlichen Cluster verwendet werden soll. Erstellen Sie ein privates Control-Plane-Load-Balancer-Subnetz, das mit einem privaten Cluster verwendet werden soll.

Informationen zur Verwendung lokaler Peering-Gateways zum Verbinden eines privaten Clusters mit anderen Instanzen in Compute Cloud@Customer und zum Verbinden eines privaten Clusters mit dem On-Premise-IP-Adressraum mit dynamischen Routinggateways finden Sie unter Private Cluster. Um ein privates Control-Plane-Load-Balancer-Subnetz zu erstellen, geben Sie eine der folgenden Routentabellen an:

vcn_private
lpg_rt
drg_rt

Öffentliches Control-Plane-Load-Balancer-Subnetz erstellen
Eigenschaft Compute Cloud@Customer-Konsole	CLI-Eigenschaft
Name: Control-Plane-Endpunkt CIDR-Block: `kmilb_cidr` Routentabelle: Wählen Sie "public" aus der Liste Öffentliches Subnetz: Kontrollkästchen aktivieren DNS-Hostnamen: DNS-Hostnamen in diesem Subnetz verwendet: Kontrollkästchen DNS-Label: kmilb Sicherheitslisten: Wählen Sie aus der Liste "kmilb-seclist" und "Default Security List for oketest-vcn" aus	`--vcn-id`: `ocid1.vcn.oke_vcn_id` `--display-name`: `control-plane-endpoint` `--cidr-block`: `kmilb_cidr` `--dns-label`: `kmilb` `--prohibit-public-ip-on-vnic`: `false` `--route-table-id`: OCID der "öffentlichen" Routentabelle `--security-list-ids`: OCIDs der Sicherheitsliste "kmilb-seclist" und der Sicherheitsliste "Standardsicherheitsliste für oketest-vcn"

Der Unterschied im folgenden privaten Subnetz ist, dass die private VCN-Routentabelle anstelle der öffentlichen Routentabelle verwendet wird. Je nach Ihren Anforderungen können Sie stattdessen die LPG-Routentabelle oder die DRG-Routentabelle angeben.

Privates Control Plane-Load-Balancer-Subnetz erstellen
Eigenschaft Compute Cloud@Customer-Konsole	CLI-Eigenschaft
Name: Control-Plane-Endpunkt CIDR-Block: `kmilb_cidr` Routentabelle: Wählen Sie "vcn_private" aus der Liste Privates Subnetz: Aktivieren Sie das Kontrollkästchen DNS-Hostnamen: DNS-Hostnamen in diesem Subnetz verwendet: Kontrollkästchen DNS-Label: kmilb Sicherheitslisten: Wählen Sie aus der Liste "kmilb-seclist" und "Default Security List for oketest-vcn" aus	`--vcn-id`: `ocid1.vcn.oke_vcn_id` `--display-name`: `control-plane-endpoint` `--cidr-block`: `kmilb_cidr` `--dns-label`: `kmilb` `--prohibit-public-ip-on-vnic`: `true` `--route-table-id`: OCID der Routentabelle "vcn_private" `--security-list-ids`: OCIDs der Sicherheitsliste "kmilb-seclist" und der Sicherheitsliste "Standardsicherheitsliste für oketest-vcn"

Oracle Cloud Infrastructure-Dokumentation

Control-Plane-Load-Balancer-Subnetz (VCN-nativer Pod) erstellen

Sicherheitsliste für Control-Plane-Load-Balancer erstellen

Control-Plane-Load-Balancer-Subnetz erstellen