Oracle Cloud Infrastructure-Dokumentation

Worker-Subnetz (VCN-nativer Pod) erstellen

Auf Compute Cloud@Customer,

Erstellen Sie die folgenden Ressourcen in der aufgeführten Reihenfolge:

  1. Mitarbeitersicherheitsliste

  2. Mitarbeitersubnetz

Mitarbeitersicherheitsliste erstellen

Erstellen einer Sicherheitsliste. Siehe Sicherheitsliste erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte (VCN-nativer Pod).

Diese Sicherheitsliste definiert Traffic, der Mitarbeiterknoten direkt kontaktieren kann.

Verwenden Sie in diesem Beispiel die folgende Eingabe für die Sicherheitsliste des Mitarbeitersubnetzes.

Konsoleneigenschaft

CLI-Eigenschaft

  • Name: Worker-Sclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker-seclist

Eine Egress-Sicherheitsregel:

  • Zustandslos: deaktivieren Sie das Kontrollkästchen

  • Egress-CIDR: 0.0.0.0/0

  • IP-Protokoll: Alle Protokollen

  • Beschreibung: "Allow outgoing traffic".

Eine Egress-Sicherheitsregel:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: "Alle ausgehenden Datenverkehr zulassen".

Dreizehn Ingress-Sicherheitsregeln:

Dreizehn Ingress-Sicherheitsregeln:

--ingress-security-rules

Ingress-Regel 1

  • Zustandslos: deaktivieren Sie das Kontrollkästchen

  • Ingress-CIDR: kube_client_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 30000-32767

  • Beschreibung: "Erlauben Sie Worker-Knoten, Verbindungen über das Podsubnetz zu empfangen."

Ingress-Regel 1

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Arbeiterknoten dürfen Verbindungen über das Podsubnetz empfangen."

Ingress-Regel 2

  • Zustandslos: deaktivieren Sie das Kontrollkästchen

  • Ingress-CIDR: kmi_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 22

  • Beschreibung: "SSH-Verbindung aus dem Control-Plane-Subnetz zulassen".

Ingress-Regel 2

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description: "SSH-Verbindung aus dem Control-Plane-Subnetz zulassen".

Ingress-Regel 3

  • Zustandslos: deaktivieren Sie das Kontrollkästchen

  • Ingress-CIDR: worker_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 22

  • Beschreibung: "SSH-Verbindung aus dem Worker-Subnetz zulassen".

Ingress-Regel 3

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description: "SSH-Verbindung aus dem Worker-Subnetz zulassen".

Ingress-Regel 4

  • Zustandslos: deaktivieren Sie das Kontrollkästchen

  • Ingress-CIDR: worker_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 10250

  • Beschreibung: "Kubernetes-API-Endpunkt zu Worker-Knotenkommunikation zulassen."

Ingress-Regel 4

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description: "Kubernetes-API-Endpunkt zu Worker-Knotenkommunikation zulassen."

Ingress-Regel 5

  • Zustandslos: deaktivieren Sie das Kontrollkästchen

  • Ingress-CIDR: worker_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 10256

  • Beschreibung: "Kommunikation von Load Balancer oder Network Load Balancer mit kube-proxy auf Worker-Knoten zulassen."

Ingress-Regel 5

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: "Kommunikation von Load Balancer oder Network Load Balancer mit kube-proxy auf Worker-Knoten zulassen."

Ingress-Regel 6

  • Zustandslos: deaktivieren Sie das Kontrollkästchen

  • Ingress-CIDR: worker_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 30000-32767

  • Beschreibung: "Traffic zu Worker-Knoten zulassen".

Ingress-Regel 6

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Traffic zu Worker-Knoten zulassen".

Ingress-Regel 7

  • Zustandslos: deaktivieren Sie das Kontrollkästchen

  • Ingress-CIDR: workerlb_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 10256

  • Beschreibung: "Kommunikation von Load Balancer oder Network Load Balancer mit kube-proxy auf Worker-Knoten zulassen."

Ingress-Regel 7

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: "Kommunikation von Load Balancer oder Network Load Balancer mit kube-proxy auf Worker-Knoten zulassen."

Ingress-Regel 8

  • Zustandslos: deaktivieren Sie das Kontrollkästchen

  • Ingress-CIDR: workerlb_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 30000-32767

  • Beschreibung: "Erlauben Sie Worker-Knoten, Verbindungen über Network Load Balancer zu empfangen."

Ingress-Regel 8

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Erlauben Sie Worker-Knoten, Verbindungen über Network Load Balancer zu empfangen."

Ingress-Regel 9

  • Zustandslos: deaktivieren Sie das Kontrollkästchen

  • Ingress-CIDR: kmi_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 10250

  • Beschreibung: "Kubernetes-API-Endpunkt zu Worker-Knotenkommunikation zulassen."

Ingress-Regel 9

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description: "Kubernetes-API-Endpunkt zu Worker-Knotenkommunikation zulassen."

Ingress-Regel 10

  • Zustandslos: deaktivieren Sie das Kontrollkästchen

  • Ingress-CIDR: kmi_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 10256

  • Beschreibung: "Kommunikation von Load Balancer oder Network Load Balancer mit kube-proxy auf Worker-Knoten zulassen."

Ingress-Regel 10

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: "Kommunikation von Load Balancer oder Network Load Balancer mit kube-proxy auf Worker-Knoten zulassen."

Ingress-Regel 11

  • Zustandslos: deaktivieren Sie das Kontrollkästchen

  • Ingress-CIDR: pod_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 30000-32767

  • Beschreibung: "Erlauben Sie Worker-Knoten, Verbindungen über das Podsubnetz zu empfangen."

Ingress-Regel 11

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Arbeiterknoten dürfen Verbindungen über das Podsubnetz empfangen."

Ingress-Regel 12

  • Zustandslos: deaktivieren Sie das Kontrollkästchen

  • Ingress-CIDR: kmi_cidr

  • IP-Protokoll: ICMP

    • Parametertyp: 8: Echo

  • Beschreibung: "Testen Sie die Erreichbarkeit eines Netzwerkpods von kmi_cidr, indem Sie eine Anforderung senden."

Ingress-Regel 12

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 8

  • description: "Testen Sie die Erreichbarkeit eines Netzwerkpods von kmi_cidr, indem Sie eine Anforderung senden."

Ingress-Regel 13

  • Zustandslos: deaktivieren Sie das Kontrollkästchen

  • Ingress-CIDR: kmi_cidr

  • IP-Protokoll: ICMP

    • Parametertyp: 0: Echo Antwort

  • Beschreibung: "Wenn der Zielpod über kmi_cidr erreichbar ist, antworten Sie mit einer ICMP Echo Reply."

Ingress-Regel 13

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 0

  • description: "Wenn der Zielpod über kmi_cidr erreichbar ist, antworten Sie mit einer ICMP-Echoantwort."

Worker-Subnetz erstellen

Subnetz erstellen. Siehe Subnetz erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte (VCN-nativer Pod).

Verwenden Sie in diesem Beispiel die folgende Eingabe, um das Worker-Subnetz zu erstellen. Verwenden Sie die OCID des VCN, das unter VCN (nativer VCN-Pod) erstellen erstellt wurde. Erstellen Sie das Worker-Subnetz in demselben Compartment, in dem Sie das VCN erstellt haben.

Erstellen Sie entweder ein privates NAT-Worker-Subnetz oder ein privates VCN-Worker-Subnetz. Erstellen Sie ein privates NAT-Worker-Subnetz für die Kommunikation außerhalb des VCN.

Privates NAT-Worker-Subnetz erstellen

Konsoleneigenschaft

CLI-Eigenschaft

  • Name: Mitarbeiter

  • CIDR-Block: worker_cidr

  • Routentabelle: Wählen Sie "nat_private" aus der Liste

  • Privates Subnetz: Aktivieren Sie das Kontrollkästchen

  • DNS-Hostnamen:

    DNS-Hostnamen in diesem Subnetz verwendet: Kontrollkästchen

    • DNS-Label: Worker

  • Sicherheitslisten: Wählen Sie aus der Liste "worker-seclist" und "Default Security List for oketest-vcn" aus

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID der Routentabelle "nat_private"

  • --security-list-ids: OCIDs der Sicherheitsliste "worker-seclist" und der Sicherheitsliste "Default Security List for oketest-vcn"

Der Unterschied im folgenden privaten Subnetz ist, dass die private VCN-Routentabelle anstelle der privaten NAT-Routentabelle verwendet wird.

Privates VCN-Worker-Subnetz erstellen

Konsoleneigenschaft

CLI-Eigenschaft

  • Name: Mitarbeiter

  • CIDR-Block: worker_cidr

  • Routentabelle: Wählen Sie "vcn_private" aus der Liste

  • Privates Subnetz: Aktivieren Sie das Kontrollkästchen

  • DNS-Hostnamen:

    DNS-Hostnamen in diesem Subnetz verwendet: Aktivieren Sie das Kontrollkästchen

    • DNS-Label: Worker

  • Sicherheitslisten: Wählen Sie aus der Liste "worker-seclist" und "Default Security List for oketest-vcn" aus

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID der Routentabelle "vcn_private"

  • --security-list-ids: OCIDs der Sicherheitsliste "worker-seclist" und der Sicherheitsliste "Default Security List for oketest-vcn"