Oracle Cloud Infrastructure-Dokumentation

Control-Plane-Load-Balancer-Subnetz (VCN-nativer Pod) erstellen

Erfahren Sie, wie Sie ein Load-Balancer-Subnetz der Control Plane für VCN-natives Podnetworking auf einem Roving Edge Device erstellen.

Erstellen Sie die folgenden Ressourcen in der aufgeführten Reihenfolge:

  1. Control-Plane-Load-Balancer-Sicherheitsliste

  2. Control-Plane-Load-Balancer-Subnetz

Sicherheitsliste für Control-Plane-Load-Balancer erstellen

Erstellen einer Sicherheitsliste. Siehe Sicherheitsliste erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte (VCN-nativer Pod).

Der Control-Plane-Load Balancer akzeptiert Traffic auf Port 6443, der in dieser Dokumentation auch als kubernetes_api_port bezeichnet wird. Passen Sie diese Sicherheitsliste an, um nur Verbindungen zu akzeptieren, von denen Sie erwarten, dass das Netzwerk ausgeführt wird. Port 6443 muss Verbindungen von den Cluster Control Plane-Instanzen und Worker-Instanzen akzeptieren.

Verwenden Sie in diesem Beispiel die folgende Eingabe für die Sicherheitsliste des Control-Plane-Load-Balancer-Subnetzes.

Gerätekonsoleneigenschaft

CLI-Eigenschaft

  • Name: kmilb-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: kmilb-seclist

Eine Egress-Sicherheitsregel:

  • Zustandslos: Kontrollkästchen deaktivieren

  • Egress-CIDR: 0.0.0.0/0

  • IP-Protokoll: Alle Protokollen

  • Beschreibung: "Allow outgoing traffic".

Eine Egress-Sicherheitsregel:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: "Alle ausgehenden Datenverkehr zulassen".

Acht Ingress-Sicherheitsregeln:

Acht Ingress-Sicherheitsregeln:

--ingress-security-rules

Ingress-Regel 1:

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: kube_internal_cidr

    Dieser Wert ist obligatorisch. Ändern Sie diesen CIDR-Wert nicht.

  • IP-Protokoll: TCP

    • Zielportbereich: kubernetes_api_port

  • Beschreibung: "Erlauben Sie einem Kubernetes-Container die Kommunikation mit Kubernetes-APIs."

Ingress-Regel 1:

  • isStateless: false

  • source: kube_internal_cidr

    Dieser Wert ist obligatorisch. Ändern Sie diesen CIDR-Wert nicht.

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Erlauben Sie einem Kubernetes-Container die Kommunikation mit Kubernetes-APIs."

Ingress-Regel 2:

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: kube_client_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: kubernetes_api_port

  • Beschreibung: "Zulassen, dass Clients eine Verbindung zum Kubernetes-Cluster herstellen."

Ingress-Regel 2:

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Zulassen, dass Clients eine Verbindung zum Kubernetes-Cluster herstellen."

Ingress-Regel 3:

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: kmi_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: kubernetes_api_port

  • Beschreibung: "Erlauben Sie der Control Plane, sich selbst über den Load Balancer zu erreichen."

Ingress-Regel 3:

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Erlauben Sie, dass die Control Plane sich über den Load Balancer erreicht."

Ingress-Regel 4:

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: worker_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: kubernetes_api_port

  • Beschreibung: "Erlauben Sie Worker-Knoten, über den Control-Plane-Load Balancer eine Verbindung zum Cluster herzustellen."

Ingress-Regel 4:

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Erlauben Sie Worker-Knoten, über den Control-Plane-Load Balancer eine Verbindung zum Cluster herzustellen."

Ingress-Regel 5:

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: worker_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 12250

  • Beschreibung: "Kubernetes-Worker die Kubernetes-API-Endpunktkommunikation über den Load Balancer zulassen."

Ingress-Regel 5:

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description: "Kubernetes-Worker die Kommunikation des Kubernetes-API-Endpunkts über den Load Balancer zulassen."

Ingress-Regel 6:

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: pod_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: 12250

  • Beschreibung: "Kubernetes-Pods über den Load Balancer zur Kommunikation mit dem Kubernetes-API-Endpunkt zulassen."

Ingress-Regel 6:

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description: "Kommunikation von Kubernetes-Pods mit Kubernetes-API-Endpunkten über den Load Balancer zulassen."

Ingress-Regel 7: Privater Endpunkt

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: kmilb_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: kubernetes_api_port

  • Beschreibung: "Wird zum Erstellen eines privaten Control-Plane-Endpunkts verwendet."

Ingress-Regel 7: Privater Endpunkt

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Wird zum Erstellen eines privaten Control-Plane-Endpunkts verwendet."

Ingress-Regel 8: Öffentlicher Endpunkt

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: public_ip_cidr

  • IP-Protokoll: TCP

    • Zielportbereich: kubernetes_api_port

  • Beschreibung: "Wird für den Zugriff auf den Control-Plane-Endpunkt aus dem öffentlichen CIDR verwendet. Wenn Sie nicht wissen, was Ihr öffentliches IP-CIDR ist, fragen Sie Ihren Service Enclave-Administrator."

Ingress-Regel 8: Öffentlicher Endpunkt

  • isStateless: false

  • source: public_ip_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Wird für den Zugriff auf den Control-Plane-Endpunkt aus dem öffentlichen CIDR verwendet. Wenn Sie nicht wissen, was Ihr öffentliches IP-CIDR ist, fragen Sie Ihren Service Enclave-Administrator."

Control-Plane-Load-Balancer-Subnetz erstellen

Subnetz erstellen. Siehe Subnetz erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte (VCN-nativer Pod).

Verwenden Sie in diesem Beispiel die folgende Eingabe, um das Control-Plane-Load-Balancer-Subnetz zu erstellen. Verwenden Sie die OCID des VCN, das unter VCN (natives VCN-Pod-Networking) erstellen erstellt wurde. Erstellen Sie das Control-Plane-Load-Balancer-Subnetz in demselben Compartment, in dem Sie das VCN erstellt haben.

Erstellen Sie entweder ein privates oder ein öffentliches Control-Plane-Load-Balancer-Subnetz. Erstellen Sie ein öffentliches Control-Plane-Load-Balancer-Subnetz, das mit einem öffentlichen Cluster verwendet werden soll. Erstellen Sie ein privates Control-Plane-Load-Balancer-Subnetz, das mit einem privaten Cluster verwendet werden soll.

Informationen dazu, wie Sie mit lokalen Peering-Gateways ein privates Cluster mit anderen Instanzen in Roving Edge verbinden und mit dynamischen Routinggateways ein privates Cluster mit dem On-Premise-IP-Adressraum verbinden, finden Sie unter Private Cluster. Um ein privates Control-Plane-Load-Balancer-Subnetz zu erstellen, geben Sie eine der folgenden Routentabellen an:

  • vcn_private

  • lpg_rt

  • drg_rt

Öffentliches Control-Plane-Load-Balancer-Subnetz erstellen

Gerätekonsoleneigenschaft

CLI-Eigenschaft

  • Name: Control-Plane-Endpunkt

  • CIDR-Block: kmilb_cidr

  • Routentabelle: Wählen Sie "public" aus der Liste

  • Öffentliches Subnetz: Kontrollkästchen aktivieren

  • DNS-Hostnamen:

    DNS-Hostnamen in diesem Subnetz verwendet: Kontrollkästchen

    • DNS-Label: kmilb

  • Sicherheitslisten: Wählen Sie aus der Liste "kmilb-seclist" und "Default Security List for oketest-vcn" aus

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane-endpoint

  • --cidr-block: kmilb_cidr

  • --dns-label: kmilb

  • --prohibit-public-ip-on-vnic: false

  • --route-table-id: OCID der "öffentlichen" Routentabelle

  • --security-list-ids: OCIDs der Sicherheitsliste "kmilb-seclist" und der Sicherheitsliste "Standardsicherheitsliste für oketest-vcn"

Der Unterschied im folgenden privaten Subnetz ist, dass die private VCN-Routentabelle anstelle der öffentlichen Routentabelle verwendet wird. Je nach Ihren Anforderungen können Sie stattdessen die LPG-Routentabelle oder die DRG-Routentabelle angeben.

Privates Control Plane-Load-Balancer-Subnetz erstellen

Gerätekonsoleneigenschaft

CLI-Eigenschaft

  • Name: Control-Plane-Endpunkt

  • CIDR-Block: kmilb_cidr

  • Routentabelle: Wählen Sie "vcn_private" aus der Liste

  • Privates Subnetz: Aktivieren Sie das Kontrollkästchen

  • DNS-Hostnamen:

    DNS-Hostnamen in diesem Subnetz verwendet: Kontrollkästchen

    • DNS-Label: kmilb

  • Sicherheitslisten: Wählen Sie aus der Liste "kmilb-seclist" und "Default Security List for oketest-vcn" aus

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane-endpoint

  • --cidr-block: kmilb_cidr

  • --dns-label: kmilb

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID der Routentabelle "vcn_private"

  • --security-list-ids: OCIDs der Sicherheitsliste "kmilb-seclist" und der Sicherheitsliste "Standardsicherheitsliste für oketest-vcn"