Podsubnetz erstellen (VCN-nativer Pod)

In den Anweisungen in diesem Thema wird ein Podsubnetz mit dem Namen "pod" im VCN erstellt, das die privaten IP-Adressen für Pods bereitstellt, die auf den Control-Plane-Knoten ausgeführt werden. Die Anzahl der IP-Adressen in diesem Subnetz muss größer/gleich der Anzahl der IP-Adressen im Control-Plane-Subnetz sein. Das Podsubnetz muss ein privates Subnetz sein.

Das Podsubnetz unterstützt die Kommunikation zwischen Pods und den direkten Zugriff auf einzelne Pods über private Pod-IP-Adressen. Das Podsubnetz muss privat sein. Mit dem Podsubnetz können Pods mit anderen Pods auf demselben Worker-Knoten, mit Pods auf anderen Worker-Knoten, mit OCI-Services (über ein Servicegateway) und mit dem Internet (über ein NAT-Gateway) kommunizieren.

Erstellen Sie die folgenden Ressourcen in der aufgeführten Reihenfolge:

Podsicherheitsliste
Podsubnetz

Podsicherheitsliste erstellen

Erstellen einer Sicherheitsliste. Siehe Sicherheitsliste erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte (VCN-nativer Pod).

Die in der folgenden Tabelle aufgeführten Sicherheitsregeln definieren Traffic, der Pods direkt kontaktieren darf. Verwenden Sie diese Sicherheitsregeln als Teil von Netzwerksicherheitsgruppen (NSGs) oder in Sicherheitslisten. Wir empfehlen die Verwendung von NSGs.

Die Sicherheitsregeln gelten für alle Pods in allen Worker-Knoten, die mit dem Podsubnetz verbunden sind, das für einen Knotenpool angegeben ist.

Leiten Sie eingehende Anforderungen basierend auf Routing-Policys, die in Routingregeln und Routentabellen angegeben sind, an Pods weiter. Siehe Routentabellen, die unter VCN (nativer VCN-Pod) erstellen definiert sind.

Verwenden Sie in diesem Beispiel die folgende Eingabe für die Sicherheitsliste des Podsubnetzes.


Konsoleneigenschaft	CLI-Eigenschaft
Name: pod-seclist	`--vcn-id`: `ocid1.vcn.oke_vcn_id` `--display-name`: `pod-seclist`
Eine Egress-Sicherheitsregel: Zustandslos: deaktivieren Sie das Kontrollkästchen Egress-CIDR: 0.0.0.0/0 IP-Protokoll: Alle Protokollen Beschreibung: "Allow outgoing traffic".	Eine Egress-Sicherheitsregel: `--egress-security-rules` `isStateless`: `false` `destination`: `0.0.0.0/0` `destinationType`: `CIDR_BLOCK` `protocol`: `all` `description`: "Alle ausgehenden Datenverkehr zulassen".
Acht Ingress-Sicherheitsregeln:	Acht Ingress-Sicherheitsregeln: `--ingress-security-rules`
Ingress-Regel 1 Zustandslos: deaktivieren Sie das Kontrollkästchen Ingress-CIDR: `vcn_cidr` IP-Protokoll: TCP Zielportbereich: 22 Beschreibung: "SSH-Verbindung zum Podsubnetz aus allen Subnetzen im VCN zulassen."	Ingress-Regel 1 `isStateless`: `false` `source`: `vcn_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `22` `min`: `22` `description`: "SSH-Verbindung zum Podsubnetz aus allen Subnetzen im VCN zulassen."
Ingress-Regel 2 Zustandslos: deaktivieren Sie das Kontrollkästchen Ingress-CIDR: `workerlb_cidr` IP-Protokoll: TCP Zielportbereich: 10256 Beschreibung: "Erlauben Sie dem Worker Load Balancer, die Pods zu kontaktieren."	Ingress-Regel 2 `isStateless`: `false` `source`: `workerlb_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `10256` `min`: `10256` `description`: "Zulassen, dass der Worker Load Balancer die Pods kontaktiert."
Ingress-Regel 3 Zustandslos: deaktivieren Sie das Kontrollkästchen Ingress-CIDR: `worker_cidr` IP-Protokoll: TCP Zielportbereich: 10250 Beschreibung: "Kubernetes-API-Endpunkt Podkommunikation (über Worker-Knoten) zulassen."	Ingress-Regel 3 `isStateless`: `false` `source`: `worker_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `10250` `min`: `10250` `description`: "Kubernetes-API-Endpunkt auf Podkommunikation (über Worker-Knoten) zulassen."
Ingress-Regel 4 Zustandslos: deaktivieren Sie das Kontrollkästchen Ingress-CIDR: `worker_cidr` IP-Protokoll: TCP Zielportbereich: 10256 Beschreibung: "Kommunikation zwischen Load Balancer und Network Load Balancer mit dem Pod `kube-proxy` (über das Worker-Subnetz) zulassen".	Ingress-Regel 4 `isStateless`: `false` `source`: `worker_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `10256` `min`: `10256` `description`: "Kommunikation zwischen Load Balancer und Network Load Balancer mit dem Pod `kube-proxy` (über das Worker-Subnetz) zulassen".
Ingress-Regel 5 Zustandslos: Kontrollkästchen deaktivieren Ingress-CIDR: `worker_cidr` IP-Protokoll: TCP Zielportbereich: 80 Beschreibung: "Erlauben Sie dem Worker-Knoten, die Pods zu kontaktieren." Dieser Ingress ist optional. Dieser Port ist für eine Endbenutzeranwendung geöffnet. Je nachdem, welche Anwendungen bereitgestellt werden, kann sich diese Regel unterscheiden.	Ingress-Regel 5 `isStateless`: `false` `source`: `worker_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `80` `min`: `80` `description`: "Zulassen, dass der Worker-Knoten die Pods kontaktiert." Dieser Ingress ist optional. Dieser Port ist für eine Endbenutzeranwendung geöffnet. Je nachdem, welche Anwendungen bereitgestellt werden, kann sich diese Regel unterscheiden.
Ingress-Regel 6 Zustandslos: deaktivieren Sie das Kontrollkästchen Ingress-CIDR: `kmi_cidr` IP-Protokoll: ICMP Parametertyp: 8: Echo Beschreibung: "Testen Sie die Erreichbarkeit eines Netzwerkpods von `kmi_cidr`, indem Sie eine Anforderung senden."	Ingress-Regel 6 `isStateless`: `false` `source`: `kmi_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `1` `icmpOptions` `type`: `8` `description`: "Testen Sie die Erreichbarkeit eines Netzwerkpods von `kmi_cidr`, indem Sie eine Anforderung senden."
Ingress-Regel 7 Zustandslos: deaktivieren Sie das Kontrollkästchen Ingress-CIDR: `kmi_cidr` IP-Protokoll: ICMP Parametertyp: 0: Echo Antwort Beschreibung: "Wenn der Zielpod über `kmi_cidr` erreichbar ist, antworten Sie mit einer ICMP Echo Reply."	Ingress-Regel 7 `isStateless`: `false` `source`: `kmi_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `1` `icmpOptions` `type`: `0` `description`: "Wenn der Zielpod über `kmi_cidr` erreichbar ist, antworten Sie mit einer ICMP-Echoantwort."
Ingress-Regel 8 Zustandslos: Kontrollkästchen deaktivieren Ingress-CIDR: `pod_cidr` IP-Protokoll: Alle Protokollen Beschreibung: "Erlauben Sie dem Pod-CIDR, mit sich selbst zu kommunizieren."	Ingress-Regel 8 `isStateless`: `false` `source`: `pod_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `all` `description`: "Zulassen, dass das Pod-CIDR mit sich selbst kommuniziert."

Podsubnetz erstellen

Subnetz erstellen. Siehe Subnetz erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte (VCN-nativer Pod).

Verwenden Sie in diesem Beispiel die folgende Eingabe, um das Podsubnetz zu erstellen. Verwenden Sie die OCID des VCN, das unter VCN (nativer VCN-Pod) erstellen erstellt wurde. Erstellen Sie das Podsubnetz in demselben Compartment, in dem Sie das VCN erstellt haben.

Wichtig

Der Name dieses Subnetzes muss genau "pod" lauten.


Konsoleneigenschaft	CLI-Eigenschaft
Name: Pod CIDR-Block: `pod_cidr` Routentabelle: Wählen Sie "nat_private" aus der Liste Privates Subnetz: Aktivieren Sie das Kontrollkästchen DNS-Hostnamen: DNS-Hostnamen in diesem Subnetz verwendet: Aktivieren Sie das Kontrollkästchen DNS-Label: pod Sicherheitslisten: Wählen Sie aus der Liste "pod-seclist" und "Default Security List for oketest-vcn" aus	`--vcn-id`: `ocid1.vcn.oke_vcn_id` `--display-name`: `pod` `--cidr-block`: `pod_cidr` `--dns-label`: `pod` `--prohibit-public-ip-on-vnic`: `true` `--route-table-id`: OCID der Routentabelle "nat_private" `--security-list-ids`: OCIDs der Sicherheitsliste "pod-seclist" und der Sicherheitsliste "Standardsicherheitsliste für oketest-vcn"

Oracle Cloud Infrastructure-Dokumentation

Podsubnetz erstellen (VCN-nativer Pod)

Podsicherheitsliste erstellen

Podsubnetz erstellen