Documentación de Oracle Cloud Infrastructure

Configuraciones de recursos de red de ejemplo

Descubra ejemplos de cómo configurar los recursos de red para la creación y el despliegue de clusters de alta disponibilidad en una región con tres dominios de disponibilidad al utilizar Container Engine for Kubernetes (OKE).

Al crear un nuevo cluster, puede utilizar el flujo de trabajo "Creación rápida" para crear nuevos recursos de red automáticamente. También puede utilizar el flujo de trabajo "Creación personalizada" para especificar explícitamente los recursos de red existentes. Para obtener más información sobre los recursos de red necesarios, consulte Configuración de recursos de red para despliegue y creación de clusters.

En este tema se proporcionan ejemplos de cómo puede configurar recursos de red al utilizar el flujo de trabajo "Creación personalizada" para crear clusters de alta disponibilidad en una región con tres dominios de disponibilidad:

Para obtener un tutorial introductorio, consulte Creación de un cluster con Oracle Cloud Infrastructure Container Engine for Kubernetes. También hay disponibles varios tutoriales de desarrolladores relacionados.

Nota

Los ejemplos de esta sección muestran el uso de reglas de seguridad en listas de seguridad para controlar el acceso a clusters. Si prefiere utilizar grupos de seguridad de red (que se recomiendan) en lugar de listas de seguridad, puede especificar reglas de seguridad idénticas para los grupos de seguridad de red.

Ejemplo 1: Cluster with Flannel CNI Plugin, Public Kubernetes API Endpoint, Private Worker Nodes, and Public Load Balancers

En este ejemplo, se supone que desea que se pueda acceder al punto final de API de Kubernetes y a los equilibradores de carga directamente desde Internet. Se puede acceder a los nodos de trabajador en la VCN.

Tenga en cuenta que el punto final de API de Kubernetes está asignado a una dirección IP privada por defecto. Para mostrar el punto final de API de Kubernetes a Internet, realice las dos acciones siguientes:

  • Seleccione una subred pública para alojar el punto final de API de Kubernetes.
  • Especifique que desea que se asigne una dirección IP pública al punto final de API de Kubernetes (así como a la dirección IP privada).

En esta imagen se muestra una configuración de cluster de ejemplo con una subred de punto final de API Kubernetes pública, una subred de nodo de trabajador privada, subredes de equilibrador de carga públicas y una subred de bastión privada. El acceso a las subredes está controlado por las listas de seguridad seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers y seclist-Bastion, respectivamente. Este cluster utiliza el plugin CNI de canal para redes de pod. Una VNIC conecta la subred de punto final de API de Kubernetes al plano de control de cluster. Otras funciones de esta configuración de ejemplo se describen en el texto adyacente.

VCN

Recurso Ejemplo
VCN
  • Nombre: acme-dev-vcn
  • Bloque CIDR: 10.0.0.0/16
  • Resolución de DNS: Seleccionada
Gateway de Internet
  • Nombre: internet-gateway-0
Gateway de NAT
  • Nombre:nat-gateway-0
Gateway de servicios
  • Nombre: service-gateway-0
  • Servicios: Todos los servicios de <region> en Oracle Services Network
Opciones de DHCP
  • Tipo de DNS definido en Internet y solucionador de VCN

Subredes

Recurso Ejemplo
Subred pública para el punto final de API de Kubernetes

Nombre: KubernetesAPIendpoint, con las siguientes propiedades:

  • Tipo: regional
  • Block de CIDR: 10.0.0.0/30
  • Tabla de rutas: routetable-KubernetesAPIendpoint
  • Acceso a subred: Público
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-KubernetesAPIendpoint
Subred privada para nodos de trabajador

Nombre: workernodes, con las siguientes propiedades:

  • Tipo: regional
  • bloque de CIDR: 10.0.1.0/24
  • Tabla de rutas: routetable-workernodes
  • Acceso a subred: Privado
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-workernodes
Subred pública para equilibradores de carga de servicio

Nombre: loadbalancers con las siguientes propiedades:

  • Tipo: regional
  • bloque de CIDR: 10.0.2.0/24
  • Tabla de rutas: routetable-serviceloadbalancers
  • Acceso a subred: Público
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-loadbalancers
Subred privada para bastión

Nombre: bastión con las siguientes propiedades:

  • Tipo: regional
  • Block de CIDR: 10.0.3.0/24
  • Acceso a subred: Privado
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-Bastion

Tablas de rutas

Recurso Ejemplo
Tabla de rutas para subred de punto final de API de Kubernetes pública

Nombre: routetable-KubernetesAPIendpoint, con una regla de ruta definida de la siguiente manera:

  • Bloque CIDR de destino: 0.0.0.0/0
  • Tipo de destino: Gateway de Internet
  • Destino: internet-gateway-0
Tabla de rutas para subred de nodos de trabajador privada

Nombre: routetable-workernodes, con dos reglas de ruta definidas de la siguiente manera:

  • Regla para el tráfico a Internet:
    • Bloque CIDR de destino: 0.0.0.0/0
    • Tipo de destino: gateway de NAT
    • Destino: nat-gateway-0
  • Regla para el tráfico a servicios de OCI:
    • Destino: Todos los servicios de <region>en Oracle Services Network
    • Tipo de destino: Gateway de servicio
    • Objetivo: Service-gateway-0
Tabla de rutas para subred de equilibradores de carga pública

Nombre: routetable-serviceloadbalancers, con una regla de ruta definida de la siguiente manera:

  • Bloque CIDR de destino: 0.0.0.0/0
  • Tipo de destino: Gateway de Internet
  • Destino: internet-gateway-0

Reglas de lista de seguridad para subred de punto final de API de Kubernetes pública

La lista de seguridad seclist-KubernetesAPIendpoint tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada:

Estado Origen Protocolo/puerto de destino Descripción
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/6443 Comunicación del nodo de trabajador de Kubernetes al punto final de API de Kubernetes.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/12250 Comunicación del nodo de trabajador de Kubernetes al plano de control.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) ICMP 3,4 Detección de ruta.
Con estado 0.0.0.0/0, CIDR de subred de bastión o CIDR específico TCP/6443

(Opcional) Acceso externo al punto final de API de Kubernetes.

  • 0.0.0.0/0 cuando el origen es Internet, la subred es pública y se asigna una IP pública al punto final de API
  • CIDR de subred de bastión cuando el acceso se realiza a través de OCI Bastion
  • CIDR específico cuando el acceso se realiza desde otro CIDR específico

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado Todos los servicios de <region> en Oracle Services Network TCP/TODOS Permitir que el plano de control de Kubernetes se comunique con OKE.
Con estado Todos los servicios de <region> en Oracle Services Network ICMP 3,4 Detección de ruta.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/TODOS Permitir que el plano de control de Kubernetes se comunique con nodos de trabajador.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) ICMP 3,4 Detección de ruta.

Reglas de lista de seguridad para subred de nodos de trabajador privada

La lista de seguridad seclist-workernodes tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada:

Estado: Origen Protocolo/puerto de destino Descripción:
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TODOS/TODOS Permitir que los pods en un nodo de trabajador se comuniquen con los pods en otros nodos de trabajador.
Con estado 10.0.0.0/30 (CIDR de punto final de API de Kubernetes) TCP/TODOS Permitir que el plano de control de Kubernetes se comunique con nodos de trabajador.
Con estado 0.0.0.0/0 ICMP 3,4 Detección de ruta.
Con estado CIDR de subred de bastión o CIDR específico TCP/22 (Opcional) Permitir tráfico SSH entrante a nodos gestionados.
Con estado CIDR de subred de equilibrador de carga TODO/30000-32767 equilibrador de carga a puertos de nodo de nodos de trabajador.
Con estado CIDR de subred de equilibrador de carga TODO/10256 Permitir que el equilibrador de carga se comunique con kube-proxy en los nodos de trabajador.

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TODOS/TODOS Permitir que los pods en un nodo de trabajador se comuniquen con los pods en otros nodos de trabajador.
Con estado 0.0.0.0/0 ICMP 3,4 Detección de ruta.
Con estado Todos los servicios de <region> en Oracle Services Network TCP/TODOS Permitir que los nodos de trabajador se comuniquen con OKE.
Con estado 10.0.0.0/30 (CIDR de punto final de API de Kubernetes) TCP/6443 Comunicación del nodo de trabajador de Kubernetes al punto final de API de Kubernetes.
Con estado 10.0.0.0/30 (CIDR de punto final de API de Kubernetes) TCP/12250 Comunicación del nodo de trabajador de Kubernetes al plano de control.
Con estado 0.0.0.0/0 TCP/TODOS (Opcional) Permitir que los nodos de trabajador se comuniquen con Internet.

Reglas de lista de seguridad para subred de equilibrador de carga pública

La lista de seguridad seclist-loadbalancers tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada:

Estado: Origen Protocolo/puerto de destino Descripción:
Con estado

Específico de la aplicación (Internet o CIDR específico)

Específico de la aplicación (por ejemplo, TCP, UDP - 443, 8080)

 (Opcional) Puerto y protocolo de listener de equilibrador de carga. Personalícelo según sea necesario.

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TODO/30000-32767 equilibrador de carga a puertos de nodo de nodos de trabajador.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TODO/10256 Permitir que el equilibrador de carga se comunique con kube-proxy en los nodos de trabajador.

Reglas de lista de seguridad para subred de bastión privada

La lista de seguridad seclist-Bastion tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada: ninguna

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado 10.0.0.0/30 (CIDR de punto final de API de Kubernetes) TCP/6443

(Opcional) Permita que el bastión acceda al punto final de API de Kubernetes.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/22 (Opcional) Permitir tráfico SSH a nodos de trabajador.

Ejemplo 2: Cluster con plugin CNI de franela, punto final de API de Kubernetes privado, nodos de trabajador privados y equilibradores de carga públicos

En este ejemplo, se supone que solo desea que se pueda acceder a los equilibradores de carga directamente desde Internet. Se puede acceder al punto final de API de Kubernetes y a los nodos de trabajador en la VCN.

En esta imagen se muestra una configuración de cluster de ejemplo con una subred de punto final de API de Kubernetes privada, una subred de nodo de trabajador privada, subredes de equilibrador de carga públicas y una subred de bastión privada. El acceso a las subredes está controlado por las listas de seguridad seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers y seclist-Bastion, respectivamente. Este cluster utiliza el plugin CNI de canal para redes de pod. Una VNIC conecta la subred de punto final de API de Kubernetes al plano de control de cluster. Otras funciones de esta configuración de ejemplo se describen en el texto adyacente.

VCN

Recurso Ejemplo
VCN
  • Nombre: acme-dev-vcn
  • Bloque CIDR: 10.0.0.0/16
  • Resolución de DNS: Seleccionada
Gateway de Internet
  • Nombre: internet-gateway-0
Gateway de NAT
  • Nombre:nat-gateway-0
Gateway de servicios
  • Nombre: service-gateway-0
  • Servicios: Todos los servicios de <region> en Oracle Services Network
Opciones de DHCP
  • Tipo de DNS definido en Internet y solucionador de VCN

Subredes

Recurso Ejemplo
Subred privada para el punto final de API de Kubernetes

Nombre: KubernetesAPIendpoint, con las siguientes propiedades:

  • Tipo: regional
  • Block de CIDR: 10.0.0.0/30
  • Tabla de rutas: routetable-KubernetesAPIendpoint
  • Acceso a subred: Privado
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-KubernetesAPIendpoint
Subred privada para nodos de trabajador

Nombre: workernodes, con las siguientes propiedades:

  • Tipo: regional
  • bloque de CIDR: 10.0.1.0/24
  • Tabla de rutas: routetable-workernodes
  • Acceso a subred: Privado
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-workernodes
Subred pública para equilibradores de carga de servicio

Nombre: loadbalancers con las siguientes propiedades:

  • Tipo: regional
  • bloque de CIDR: 10.0.2.0/24
  • Tabla de rutas: routetable-serviceloadbalancers
  • Acceso a subred: Público
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-loadbalancers
Subred privada para bastión

Nombre: bastión con las siguientes propiedades:

  • Tipo: regional
  • Block de CIDR: 10.0.3.0/24
  • Acceso a subred: Privado
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-Bastion

Tablas de rutas

Recurso Ejemplo
Tabla de rutas para subred de punto final de API de Kubernetes privada

Nombre: routetable-KubernetesAPIendpoint, con una regla de ruta definida de la siguiente manera:

  • Regla para el tráfico a Internet:
    • Bloque CIDR de destino: 0.0.0.0/0
    • Tipo de destino: gateway de NAT
    • Destino: nat-gateway-0
  • Regla para el tráfico a servicios de OCI:
    • Destino: Todos los servicios de <region>en Oracle Services Network
    • Tipo de destino: Gateway de servicio
    • Objetivo: Service-gateway-0
Tabla de rutas para subred de nodos de trabajador privada

Nombre: routetable-workernodes, con dos reglas de ruta definidas de la siguiente manera:

  • Regla para el tráfico a Internet:
    • Bloque CIDR de destino: 0.0.0.0/0
    • Tipo de destino: gateway de NAT
    • Destino: nat-gateway-0
  • Regla para el tráfico a servicios de OCI:
    • Destino: Todos los servicios de <region>en Oracle Services Network
    • Tipo de destino: Gateway de servicio
    • Objetivo: Service-gateway-0
Tabla de rutas para subred de equilibradores de carga pública

Nombre: routetable-serviceloadbalancers, con una regla de ruta definida de la siguiente manera:

  • Bloque CIDR de destino: 0.0.0.0/0
  • Tipo de destino: Gateway de Internet
  • Destino: internet-gateway-0

Reglas de lista de seguridad para subred de punto final de API de Kubernetes privada

La lista de seguridad seclist-KubernetesAPIendpoint tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada:

Estado Origen Protocolo/puerto de destino Descripción
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/6443 Comunicación del nodo de trabajador de Kubernetes al punto final de API de Kubernetes.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/12250 Comunicación del nodo de trabajador de Kubernetes al plano de control.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) ICMP 3,4 Detección de ruta.
Con estado 0.0.0.0/0, CIDR de subred de bastión o CIDR específico TCP/6443

(Opcional) Acceso externo al punto final de API de Kubernetes.

  • 0.0.0.0/0 cuando el origen es Internet, la subred es pública y se asigna una IP pública al punto final de API
  • CIDR de subred de bastión cuando el acceso se realiza a través de OCI Bastion
  • CIDR específico cuando el acceso se realiza desde otro CIDR específico

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado

Todos los servicios de <region> en Oracle Services Network

 TCP/TODOS Permitir que el plano de control de Kubernetes se comunique con OKE.
Con estado Todos los servicios de <region> en Oracle Services Network ICMP 3,4 Detección de ruta.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/TODOS Permitir que el plano de control de Kubernetes se comunique con nodos de trabajador.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) ICMP 3,4 Detección de ruta.

Reglas de lista de seguridad para subred de nodos de trabajador privada

La lista de seguridad seclist-workernodes tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada:

Estado: Origen Protocolo/puerto de destino Descripción:
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TODOS/TODOS Permitir que los pods en un nodo de trabajador se comuniquen con los pods en otros nodos de trabajador.
Con estado 10.0.0.0/30 (CIDR de punto final de API de Kubernetes) TCP/TODOS Permitir que el plano de control de Kubernetes se comunique con nodos de trabajador.
Con estado 0.0.0.0/0 ICMP 3,4 Detección de ruta.
Con estado CIDR de subred de bastión o CIDR específico TCP/22 (Opcional) Permitir tráfico SSH entrante a nodos gestionados.
Con estado CIDR de subred de equilibrador de carga TODO/30000-32767 equilibrador de carga a puertos de nodo de nodos de trabajador.
Con estado CIDR de subred de equilibrador de carga TODO/10256 Permitir que el equilibrador de carga se comunique con kube-proxy en los nodos de trabajador.

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TODOS/TODOS Permitir que los pods en un nodo de trabajador se comuniquen con los pods en otros nodos de trabajador.
Con estado Todos los servicios de <region> en Oracle Services Network TCP/TODOS Permitir que los nodos de trabajador se comuniquen con OKE.
Con estado 10.0.0.0/30 (CIDR de punto final de API de Kubernetes) TCP/6443 Comunicación del nodo de trabajador de Kubernetes al punto final de API de Kubernetes.
Con estado 10.0.0.0/30 (CIDR de punto final de API de Kubernetes) TCP/12250 Comunicación del nodo de trabajador de Kubernetes al plano de control.
Con estado 0.0.0.0/0 TCP/TODOS (Opcional) Permitir que los nodos de trabajador se comuniquen con Internet.

Reglas de lista de seguridad para subred de equilibrador de carga pública

La lista de seguridad seclist-loadbalancers tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada:

Estado: Origen Protocolo/puerto de destino Descripción:
Con estado

Específico de la aplicación (Internet o CIDR específico)

Específico de la aplicación (por ejemplo, TCP, UDP - 443, 8080)

 (Opcional) Puerto y protocolo de listener de equilibrador de carga. Personalícelo según sea necesario.

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TODO/30000-32767 equilibrador de carga a puertos de nodo de nodos de trabajador.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TODO/10256 Permitir que el equilibrador de carga se comunique con kube-proxy en los nodos de trabajador.

Reglas de lista de seguridad para subred de bastión privada

La lista de seguridad seclist-Bastion tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada: ninguna

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado 10.0.0.0/30 (CIDR de punto final de API de Kubernetes) TCP/6443

(Opcional) Permita que el bastión acceda al punto final de API de Kubernetes.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/22 (Opcional) Permitir tráfico SSH a nodos de trabajador.

Ejemplo 3: Cluster con plugin OCI CNI, punto final de API de Kubernetes público, nodos de trabajador privados y equilibradores de carga públicos

En este ejemplo, se supone que desea que se pueda acceder al punto final de API de Kubernetes y a los equilibradores de carga directamente desde Internet. Se puede acceder a los nodos de trabajador en la VCN.

Tenga en cuenta que el punto final de API de Kubernetes está asignado a una dirección IP privada por defecto. Para mostrar el punto final de API de Kubernetes a Internet, realice las dos acciones siguientes:

  • Seleccione una subred pública para alojar el punto final de API de Kubernetes.
  • Especifique que desea que se asigne una dirección IP pública al punto final de API de Kubernetes (así como a la dirección IP privada).

En esta imagen se muestra una configuración de cluster de ejemplo con una subred de punto final de API de Kubernetes pública, una subred de nodo de trabajador privada, subredes de equilibrador de carga públicas, una subred de pods privada y una subred de bastión privada. El acceso a las subredes está controlado por las listas de seguridad seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers, seclist-pods y seclist-Bastion, respectivamente. Este cluster utiliza el plugin CNI de OCI para redes de pod. Una VNIC conecta la subred de punto final de API de Kubernetes al plano de control de cluster. Otras funciones de esta configuración de ejemplo se describen en el texto adyacente.

VCN

Recurso Ejemplo
VCN
  • Nombre: acme-dev-vcn
  • Bloque CIDR: 10.0.0.0/16
  • Resolución de DNS: Seleccionada
Gateway de Internet
  • Nombre: internet-gateway-0
Gateway de NAT
  • Nombre:nat-gateway-0
Gateway de servicios
  • Nombre: service-gateway-0
  • Servicios: Todos los servicios de <region> en Oracle Services Network
Opciones de DHCP
  • Tipo de DNS definido en Internet y solucionador de VCN

Subredes

Recurso Ejemplo
Subred pública para el punto final de API de Kubernetes

Nombre: KubernetesAPIendpoint, con las siguientes propiedades:

  • Tipo: regional
  • Block de CIDR: 10.0.0.0/29
  • Tabla de rutas: routetable-KubernetesAPIendpoint
  • Acceso a subred: Público
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-KubernetesAPIendpoint
Subred privada para nodos de trabajador

Nombre: workernodes, con las siguientes propiedades:

  • Tipo: regional
  • bloque de CIDR: 10.0.1.0/24
  • Acceso a subred: Privado
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-workernodes
Subred privada para pods

Nombre: pods con las siguientes propiedades:

  • Tipo: regional
  • Block de CIDR: 10.0.32.0/19
  • Tabla de rutas: routetable-pods
  • Acceso a subred: Privado
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-pods
Subred pública para equilibradores de carga de servicio

Nombre: loadbalancers con las siguientes propiedades:

  • Tipo: regional
  • bloque de CIDR: 10.0.2.0/24
  • Tabla de rutas: routetable-serviceloadbalancers
  • Acceso a subred: Público
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-loadbalancers
Subred privada para bastión

Nombre: bastión con las siguientes propiedades:

  • Tipo: regional
  • Block de CIDR: 10.0.3.0/24
  • Acceso a subred: Privado
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-Bastion

Tablas de rutas

Recurso Ejemplo
Tabla de rutas para subred de punto final de API de Kubernetes pública

Nombre: routetable-KubernetesAPIendpoint, con una regla de ruta definida de la siguiente manera:

  • Bloque CIDR de destino: 0.0.0.0/0
  • Tipo de destino: Gateway de Internet
  • Destino: internet-gateway-0
Tabla de rutas para subred de pods privados

Nombre: routetable-pods, con dos reglas de ruta definidas de la siguiente manera:

  • Regla para el tráfico a Internet:
    • Bloque CIDR de destino: 0.0.0.0/0
    • Tipo de destino: gateway de NAT
    • Destino: nat-gateway-0
  • Regla para el tráfico a servicios de OCI:
    • Destino: Todos los servicios de <region>en Oracle Services Network
    • Tipo de destino: Gateway de servicio
    • Objetivo: Service-gateway-0
Tabla de rutas para subred de equilibradores de carga pública

Nombre: routetable-serviceloadbalancers, con una regla de ruta definida de la siguiente manera:

  • Bloque CIDR de destino: 0.0.0.0/0
  • Tipo de destino: Gateway de Internet
  • Destino: internet-gateway-0

Reglas de lista de seguridad para subred de punto final de API de Kubernetes pública

La lista de seguridad seclist-KubernetesAPIendpoint tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada:

Estado Origen Protocolo/puerto de destino Descripción
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/6443 Comunicación del nodo de trabajador de Kubernetes al punto final de API de Kubernetes.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/12250 Comunicación del nodo de trabajador de Kubernetes al punto final de API de Kubernetes.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) ICMP 3,4 Detección de ruta.
Con estado 10.0.32.0/19 (CIDR de pods) TCP/6443 Comunicación de punto final de API de Pod a Kubernetes (cuando se utiliza la red de pod nativa de VCN).
Con estado 10.0.32.0/19 (CIDR de pods) TCP/12250 Comunicación de punto final de API de Pod a Kubernetes (cuando se utiliza la red de pod nativa de VCN).
Con estado 0.0.0.0/0, CIDR de subred de bastión o CIDR específico TCP/6443

(Opcional) Acceso externo al punto final de API de Kubernetes.

  • 0.0.0.0/0 cuando el origen es Internet, la subred es pública y se asigna una IP pública al punto final de API
  • CIDR de subred de bastión cuando el acceso se realiza a través de OCI Bastion
  • CIDR específico cuando el acceso se realiza desde otro CIDR específico

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado Todos los servicios de <region> en Oracle Services Network TCP/TODOS Permitir que el punto final de API de Kubernetes se comunique con OKE.
Con estado Todos los servicios de <region> en Oracle Services Network ICMP 3,4 Detección de ruta.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/10250 Permitir que el punto final de API de Kubernetes se comunique con los nodos de trabajador.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) ICMP 3,4 Detección de ruta.
Con estado 10.0.32.0/19 (CIDR de pods) TODOS/TODOS Permitir que el punto final de API de Kubernetes se comunique con los pods (cuando se utiliza la red de pods nativa de VCN).

Reglas de lista de seguridad para subred de nodos de trabajador privada

La lista de seguridad seclist-workernodes tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada:

Estado: Origen Protocolo/puerto de destino Descripción:
Con estado 10.0.0.0/29 (CIDR de punto final de API de Kubernetes) TCP/10250 Permitir que el punto final de API de Kubernetes se comunique con los nodos de trabajador.
Con estado 0.0.0.0/0 ICMP 3,4 Detección de ruta.
Con estado CIDR de subred de bastión o CIDR específico TCP/22 (Opcional) Permitir tráfico SSH entrante a nodos gestionados.
Con estado CIDR de subred de equilibrador de carga TODO/30000-32767 equilibrador de carga a puertos de nodo de nodos de trabajador.
Con estado CIDR de subred de equilibrador de carga TODO/10256 Permitir que el equilibrador de carga se comunique con kube-proxy en los nodos de trabajador.

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado 10.0.32.0/19 (CIDR de pods) TODOS/TODOS Permitir que los nodos de trabajador accedan a los pods.
Con estado 0.0.0.0/0 ICMP 3,4 Detección de ruta.
Con estado Todos los servicios de <region> en Oracle Services Network TCP/TODOS Permitir que los nodos de trabajador se comuniquen con OKE.
Con estado 10.0.0.0/29 (CIDR de punto final de API de Kubernetes) TCP/6443 Comunicación del nodo de trabajador de Kubernetes al punto final de API de Kubernetes.
Con estado 10.0.0.0/29 (CIDR de punto final de API de Kubernetes) TCP/12250 Comunicación del nodo de trabajador de Kubernetes al punto final de API de Kubernetes.

Reglas de lista de seguridad para subred de pods privada

La lista de seguridad seclist-pods tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada:

Estado: Origen Protocolo/puerto de destino Descripción:
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TODOS/TODOS Permitir que los nodos de trabajador accedan a los pods.
Con estado 10.0.0.0/29 (CIDR de punto final de API de Kubernetes) TODOS/TODOS Permitir que el punto final de API de Kubernetes se comunique con pods.
Con estado 10.0.32.0/19 (CIDR de pods) TODOS/TODOS Permitir que los pods se comuniquen con otros pods.

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado 10.0.32.0/19 (CIDR de pods) TODOS/TODOS Permitir que los pods se comuniquen con otros pods.
Con estado Todos los servicios de <region> en Oracle Services Network

ICMP 3,4

 Detección de ruta.
Con estado Todos los servicios de <region> en Oracle Services Network

TCP/TODOS

 Permite a los pods comunicarse con los servicios de OCI.
Con estado 0.0.0.0/0

TCP/443

 (Opcional) Permitir que los pods se comuniquen con Internet.
Con estado 10.0.0.0/29 (CIDR de punto final de API de Kubernetes) TCP/6443 Comunicación de punto final de API de Pod a Kubernetes (cuando se utiliza la red de pod nativa de VCN).
Con estado 10.0.0.0/29 (CIDR de punto final de API de Kubernetes) TCP/12250 Comunicación de punto final de API de Pod a Kubernetes (cuando se utiliza la red de pod nativa de VCN).

Reglas de lista de seguridad para subred de equilibrador de carga pública

La lista de seguridad seclist-loadbalancers tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada:

Estado: Origen Protocolo/puerto de destino Descripción:
Con estado

Específico de la aplicación (Internet o CIDR específico)

Específico de la aplicación (por ejemplo, TCP, UDP - 443, 8080)

 (Opcional) Puerto y protocolo de listener de equilibrador de carga. Personalícelo según sea necesario.

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TODO/30000-32767 equilibrador de carga a puertos de nodo de nodos de trabajador.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TODO/10256 Permitir que el equilibrador de carga se comunique con kube-proxy en los nodos de trabajador.

Reglas de lista de seguridad para subred de bastión privada

La lista de seguridad seclist-Bastion tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada: ninguna

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado 10.0.0.0/29 (CIDR de punto final de API de Kubernetes) TCP/6443

(Opcional) Permita que el bastión acceda al punto final de API de Kubernetes.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/22 (Opcional) Permitir tráfico SSH a nodos de trabajador.

Ejemplo 4: Cluster con plugin de OCI CNI, punto final de API de Kubernetes privado, nodos de trabajador privados y equilibradores de carga públicos

En este ejemplo, se supone que solo desea que se pueda acceder a los equilibradores de carga directamente desde Internet. Se puede acceder al punto final de API de Kubernetes y a los nodos de trabajador en la VCN.

En esta imagen se muestra un ejemplo de configuración de cluster con una subred de punto final de API de Kubernetes privada, una subred de nodo de trabajador privada, subredes de equilibrador de carga públicas, una subred de pods privados y una subred de bastión privada. El acceso a las subredes está controlado por las listas de seguridad seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers, seclist-pods y seclist-Bastion, respectivamente. Este cluster utiliza el plugin CNI de OCI para redes de pod. Una VNIC conecta la subred de punto final de API de Kubernetes al plano de control de cluster. Otras funciones de esta configuración de ejemplo se describen en el texto adyacente.

VCN

Recurso Ejemplo
VCN
  • Nombre: acme-dev-vcn
  • Bloque CIDR: 10.0.0.0/16
  • Resolución de DNS: Seleccionada
Gateway de Internet
  • Nombre: internet-gateway-0
Gateway de NAT
  • Nombre:nat-gateway-0
Gateway de servicios
  • Nombre: service-gateway-0
  • Servicios: Todos los servicios de <region> en Oracle Services Network
Opciones de DHCP
  • Tipo de DNS definido en Internet y solucionador de VCN

Subredes

Recurso Ejemplo
Subred privada para el punto final de API de Kubernetes

Nombre: KubernetesAPIendpoint, con las siguientes propiedades:

  • Tipo: regional
  • Block de CIDR: 10.0.0.0/29
  • Tabla de rutas: routetable-KubernetesAPIendpoint
  • Acceso a subred: Privado
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-KubernetesAPIendpoint
Subred privada para nodos de trabajador

Nombre: workernodes, con las siguientes propiedades:

  • Tipo: regional
  • bloque de CIDR: 10.0.1.0/24
  • Acceso a subred: Privado
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-workernodes
Subred privada para pods

Nombre: pods con las siguientes propiedades:

  • Tipo: regional
  • Block de CIDR: 10.0.32.0/19
  • Tabla de rutas: routetable-pods
  • Acceso a subred: Privado
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-pods
Subred pública para equilibradores de carga de servicio

Nombre: loadbalancers con las siguientes propiedades:

  • Tipo: regional
  • bloque de CIDR: 10.0.2.0/24
  • Tabla de rutas: routetable-serviceloadbalancers
  • Acceso a subred: Público
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-loadbalancers
Subred privada para bastión

Nombre: bastión con las siguientes propiedades:

  • Tipo: regional
  • Block de CIDR: 10.0.3.0/24
  • Acceso a subred: Privado
  • Resolución de DNS: Seleccionada
  • Opciones de DHCP: por defecto
  • Lista de seguridad: seclist-Bastion

Tablas de rutas

Recurso Ejemplo
Tabla de rutas para subred de punto final de API de Kubernetes privada

Nombre: routetable-KubernetesAPIendpoint, con una regla de ruta definida de la siguiente manera:

  • Regla para el tráfico a Internet:
    • Bloque CIDR de destino: 0.0.0.0/0
    • Tipo de destino: gateway de NAT
    • Destino: nat-gateway-0
  • Regla para el tráfico a servicios de OCI:
    • Destino: Todos los servicios de <region>en Oracle Services Network
    • Tipo de destino: Gateway de servicio
    • Objetivo: Service-gateway-0
Tabla de rutas para subred de pods privados

Nombre: routetable-pods, con dos reglas de ruta definidas de la siguiente manera:

  • Regla para el tráfico a Internet:
    • Bloque CIDR de destino: 0.0.0.0/0
    • Tipo de destino: gateway de NAT
    • Destino: nat-gateway-0
  • Regla para el tráfico a servicios de OCI:
    • Destino: Todos los servicios de <region>en Oracle Services Network
    • Tipo de destino: Gateway de servicio
    • Objetivo: Service-gateway-0
Tabla de rutas para subred de equilibradores de carga pública

Nombre: routetable-serviceloadbalancers, con una regla de ruta definida de la siguiente manera:

  • Bloque CIDR de destino: 0.0.0.0/0
  • Tipo de destino: Gateway de Internet
  • Gateway de Internet de destino: internet-gateway-0

Reglas de lista de seguridad para subred de punto final de API de Kubernetes privada

La lista de seguridad seclist-KubernetesAPIendpoint tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada:

Estado Origen Protocolo/puerto de destino Descripción
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/6443 Comunicación del nodo de trabajador de Kubernetes al punto final de API de Kubernetes.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/12250 Comunicación del nodo de trabajador de Kubernetes al punto final de API de Kubernetes.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) ICMP 3,4 Detección de ruta.
Con estado 10.0.32.0/19 (CIDR de pods) TCP/6443 Comunicación de punto final de API de Pod a Kubernetes (cuando se utiliza la red de pod nativa de VCN).
Con estado 10.0.32.0/19 (CIDR de pods) TCP/12250 Comunicación de punto final de API de Pod a Kubernetes (cuando se utiliza la red de pod nativa de VCN).
Con estado CIDR de subred de bastión o CIDR específico TCP/6443

(Opcional) Acceso externo al punto final de API de Kubernetes.

  • CIDR de subred de bastión cuando el acceso se realiza a través de OCI Bastion
  • CIDR específico cuando el acceso se realiza desde otro CIDR específico

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado

Todos los servicios de <region> en Oracle Services Network

 TCP/TODOS Permitir que el punto final de API de Kubernetes se comunique con OKE.
Con estado Todos los servicios de <region> en Oracle Services Network ICMP 3,4 Detección de ruta.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/10250 Permitir que el punto final de API de Kubernetes se comunique con los nodos de trabajador.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) ICMP 3,4 Detección de ruta.
Con estado 10.0.32.0/19 (CIDR de pods) TODOS/TODOS Permitir que el punto final de API de Kubernetes se comunique con pods.

Reglas de lista de seguridad para subred de nodos de trabajador privada

La lista de seguridad seclist-workernodes tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada:

Estado: Origen Protocolo/puerto de destino Descripción:
Con estado 10.0.0.0/29 (CIDR de punto final de API de Kubernetes) TCP/10250 Permitir que el punto final de API de Kubernetes se comunique con los nodos de trabajador.
Con estado 0.0.0.0/0 ICMP 3,4 Detección de ruta.
Con estado CIDR de subred de bastión o CIDR específico TCP/22 (Opcional) Permitir tráfico SSH entrante a nodos gestionados.
Con estado CIDR de subred de equilibrador de carga TODO/30000-32767 equilibrador de carga a puertos de nodo de nodos de trabajador.
Con estado CIDR de subred de equilibrador de carga TODO/10256 Permitir que el equilibrador de carga se comunique con kube-proxy en los nodos de trabajador.

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado 10.0.32.0/19 (CIDR de pods) TODOS/TODOS Permitir que los nodos de trabajador accedan a los pods.
Con estado 0.0.0.0/0 ICMP 3,4 Detección de ruta.
Con estado Todos los servicios de <region> en Oracle Services Network TCP/TODOS Permitir que los nodos de trabajador se comuniquen con OKE.
Con estado 10.0.0.0/29 (CIDR de punto final de API de Kubernetes) TCP/6443 Comunicación del nodo de trabajador de Kubernetes al punto final de API de Kubernetes.
Con estado 10.0.0.0/29 (CIDR de punto final de API de Kubernetes) TCP/12250 Comunicación del nodo de trabajador de Kubernetes al punto final de API de Kubernetes.

Reglas de lista de seguridad para subred de pods privada

La lista de seguridad seclist-pods tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada:

Estado: Origen Protocolo/puerto de destino Descripción:
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TODOS/TODOS Permitir que los nodos de trabajador accedan a los pods.
Con estado 10.0.0.0/29 (CIDR de punto final de API de Kubernetes) TODOS/TODOS Permitir que el punto final de API de Kubernetes se comunique con pods.
Con estado 10.0.32.0/19 (CIDR de pods) TODOS/TODOS Permitir que los pods se comuniquen con otros pods.

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado 10.0.32.0/19 (CIDR de pods) TODOS/TODOS Permitir que los pods se comuniquen con otros pods.
Con estado Todos los servicios de <region> en Oracle Services Network

ICMP 3,4

 Detección de ruta.
Con estado Todos los servicios de <region> en Oracle Services Network

TCP/TODOS

 Permite a los pods comunicarse con los servicios de OCI.
Con estado 0.0.0.0/0

TCP/443

 (Opcional) Permitir que los pods se comuniquen con Internet.
Con estado 10.0.0.0/29 (CIDR de punto final de API de Kubernetes) TCP/6443 Comunicación de punto final de API de Pod a Kubernetes (cuando se utiliza la red de pod nativa de VCN).
Con estado 10.0.0.0/29 (CIDR de punto final de API de Kubernetes) TCP/12250 Comunicación de punto final de API de Pod a Kubernetes (cuando se utiliza la red de pod nativa de VCN).

Reglas de lista de seguridad para subred de equilibrador de carga pública

La lista de seguridad seclist-loadbalancers tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada:

Estado: Origen Protocolo/puerto de destino Descripción:
Con estado

Específico de la aplicación (Internet o CIDR específico)

Específico de la aplicación (por ejemplo, TCP, UDP - 443, 8080)

 (Opcional) Puerto y protocolo de listener de equilibrador de carga. Personalícelo según sea necesario.

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TODO/30000-32767 equilibrador de carga a puertos de nodo de nodos de trabajador.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TODO/10256 Permitir que el equilibrador de carga se comunique con kube-proxy en los nodos de trabajador.

Reglas de lista de seguridad para subred de bastión privada

La lista de seguridad seclist-Bastion tiene las reglas de entrada y salida que se muestran aquí.

Reglas de entrada: ninguna

Reglas de salida:

Estado: Destino Protocolo/puerto de destino Descripción:
Con estado 10.0.0.0/29 (CIDR de punto final de API de Kubernetes) TCP/6443

(Opcional) Permita que el bastión acceda al punto final de API de Kubernetes.
Con estado 10.0.1.0/24 (CIDR de nodos de trabajador) TCP/22 (Opcional) Permitir tráfico SSH a nodos de trabajador.