Documentación de Oracle Cloud Infrastructure

Creación de una VCN (superposición de franela)

En Compute Cloud@Customer, para configurar OKE, cree una VCN, una ruta pública y una ruta privada.

Cree los siguientes recursos en el orden indicado:

  1. Creación de VCN

  2. Cree una tabla de rutas con las siguientes reglas de rutas:

    • Clusters públicos:

      • Gateway de Internet y una tabla de rutas con una regla de rutas que hace referencia a ese gateway de Internet.

      • Gateway NAT y una tabla de rutas con una regla de ruta que hace referencia a ese gateway NAT.

    • Clusters privados:

      • Tabla de rutas sin reglas de rutas.

      • (Opcional) Gateway de direccionamiento dinámico (DRG) y una tabla de rutas con una regla de ruta que haga referencia a ese DRG. Consulte Private Clusters.

      • (Opcional) Gateway de intercambio de tráfico local (LPG) y una tabla de rutas con una regla de ruta que haga referencia a ese LPG. Consulte Private Clusters.

  3. Modificación de la lista de seguridad por defecto de VCN

Los nombres de recursos y los bloques CIDR son valores de ejemplo.

Creación de VCN

Para crear la VCN, siga las instrucciones de Creación de una VCN y utilice los parámetros que se muestran en esta sección. Para ver la entrada de Terraform, consulte Ejemplos de scripts de Terraform para recursos de red (superposición de franela).

Nota

Las subredes se crean más adelante y se describen en secciones posteriores.

Para este ejemplo, utilice la siguiente entrada para crear la VCN. La VCN abarca un bloque CIDR contiguo. El bloque de CIDR no se puede cambiar después de crear la VCN.

Propiedad Consola de Compute Cloud@Customer

Propiedad de CLI

  • Nombre: oketest-vcn

  • Bloque de CIDR: vcn_cidr

  • Etiqueta de DNS: oketest

    Esta etiqueta debe ser única en todas las redes virtuales en la nube del arrendamiento.

  • --display-name: oketest-vcn

  • --cidr-blocks: '["vcn_cidr"]'

  • --dns-label: oketest

    Esta etiqueta debe ser única en todas las redes virtuales en la nube del arrendamiento.

Observe el OCID de la nueva VCN para utilizarla más adelante. En los ejemplos de esta guía, este OCID de VCN es ocid1.vcn.oke_vcn_id.

Siguientes Pasos

  • Acceso público a Internet. Para el tráfico de una subred pública que se conecta a Internet mediante direcciones IP públicas, cree un gateway de Internet y una regla de ruta que haga referencia a ese gateway de Internet.

  • Acceso privado a internet. Para el tráfico de una subred privada que necesita conectarse a Internet sin exponer las direcciones IP privadas, cree un gateway de NAT y una regla de ruta que haga referencia a ese gateway de NAT.

  • Acceso solo a VCN. Para restringir la comunicación solo a otros recursos de la misma VCN, utilice la tabla de rutas por defecto, que no tiene reglas de rutas.

  • Instancias en otra VCN. Para activar la comunicación entre el cluster y una instancia que se ejecuta en una VCN diferente, cree un gateway de intercambio de tráfico local (LPG) y una regla de ruta que haga referencia a ese LPG.

  • Espacio de direcciones IP local. Para activar la comunicación entre el cluster y el espacio de dirección IP de red local, cree un gateway de direccionamiento dinámico (DRG), asocie la VCN de OKE a ese DRG y cree una regla de ruta que haga referencia a ese DRG.

Editar la tabla de rutas privadas de VCN

Edite la tabla de rutas por defecto que se creó al crear la VCN. Cambie el nombre de la tabla de rutas a vcn_private. Esta tabla de rutas no tiene ninguna regla de ruta. No agregue ninguna regla de ruta.

Crear una tabla de rutas privadas NAT

Cree un gateway de NAT y una tabla de rutas con una regla de ruta que haga referencia al gateway de NAT.

Gateway de NAT

Para crear el gateway de NAT, utilice las instrucciones de Configuración de un gateway de NAT. Para ver la entrada de Terraform, consulte Ejemplos de scripts de Terraform para recursos de red (superposición de franela).

Observe el nombre y el OCID del gateway de NAT para la asignación a la regla de ruta privada.

Regla de ruta privada

Modifique la tabla de rutas por defecto mediante la siguiente entrada para crear una regla de ruta privada que haga referencia al gateway de NAT que se creó en el paso anterior. Consulte Creación de una tabla de rutas.

Para este ejemplo, utilice la siguiente entrada para crear la tabla de rutas con una regla de ruta privada que haga referencia al gateway de NAT que se creó en el paso anterior.

Propiedad Consola de Compute Cloud@Customer

Propiedad de CLI

  • Nombre: nat_private

Regla de ruta

  • Tipo de destino: gateway de NAT

  • Gateway de NAT: nombre del gateway de NAT creado en el paso anterior

  • Bloque de CIDR: 0.0.0.0/0

  • Descripción: regla de ruta privada NAT

  • --display-name: nat_private

--route-rules

  • networkEntityId: OCID del gateway de NAT creado en el paso anterior

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: regla de ruta privada NAT

Observe el nombre y el OCID de esta tabla de rutas para la asignación a subredes privadas.

Crear un gateway de intercambio de tráfico local

Cree un gateway de intercambio de tráfico local (LPG) y una tabla de rutas con una regla de rutas que haga referencia al LPG.

Gateway de intercambio de tráfico local

Cree el LPG. Consulte Conexión de redes virtuales en la nube mediante un gateway de intercambio de tráfico local (LPG).

Observe el nombre y el OCID del LPG para la asignación a la regla de ruta privada.

Regla de ruta privada

Cree una tabla de rutas. Consulte Creación de una tabla de rutas.

Para este ejemplo, utilice la siguiente entrada para crear la tabla de rutas con una regla de ruta privada que haga referencia al LPG que se creó en el paso anterior.

Propiedad Consola de Compute Cloud@Customer

Propiedad de CLI

  • Nombre: lpg_rt

Regla de ruta

  • Tipo de destino: Gateway local de intercambio de tráfico

  • Gateway de intercambio de tráfico local: nombre del LPG que se creó en el paso anterior

  • Bloque de CIDR: CIDR_for_the_second_VCN

  • Descripción: Regla de ruta privada LPG

  • --display-name: lpg_rt

--route-rules

  • networkEntityId: OCID del LPG que se ha creado en el paso anterior

  • destinationType: CIDR_BLOCK

  • destination: CIDR_for_the_second_VCN

  • description: regla de ruta privada de LPG

Tenga en cuenta el nombre y el OCID de esta tabla de rutas para la asignación a la subred "control-plane-endpoint" (Creación de una subred del equilibrador de carga del plano de control de OKE (superposición de franela)).

Agregue la misma regla de ruta en la segunda VCN (la VCN con intercambio de tráfico), especificando el CIDR de la VCN de OKE como destino.

Crear un gateway de direccionamiento dinámico

Cree un gateway de direccionamiento dinámico (DRG) y una tabla de rutas con una regla de ruta que haga referencia al DRG.

Gateway de direccionamiento dinámico

Para crear el DRG y asociar la VCN de OKE a ese DRG, consulte Conexión a la red local a través de un gateway de enrutamiento dinámico (DRG). Cree el DRG en el compartimento de la VCN de OKE y, a continuación, asocie la VCN de OKE a ese DRG.

Observe el nombre y el OCID del DRG para la asignación a la regla de ruta privada.

Regla de ruta privada

Cree una tabla de rutas. Consulte Creación de una tabla de rutas.

Para este ejemplo, utilice la siguiente entrada para crear la tabla de rutas con una regla de ruta privada que haga referencia al DRG que se creó en el paso anterior.

Propiedad Consola de Compute Cloud@Customer

Propiedad de CLI

  • Nombre: drg_rt

Regla de ruta

  • Tipo de destino: Gateway de enrutamiento dinámico

  • Enrutamiento dinámico: nombre del DRG que se creó en el paso anterior

  • Bloque de CIDR: 0.0.0.0/0

  • Descripción: regla de ruta privada de DRG

  • --display-name: drg_rt

--route-rules

  • networkEntityId: OCID del DRG creado en el paso anterior

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: regla de ruta privada de DRG

Tenga en cuenta el nombre y el OCID de esta tabla de rutas para la asignación a la subred "control-plane-endpoint" (Creación de una subred del equilibrador de carga del plano de control de OKE (superposición de franela)).

Creación de una tabla de rutas pública

Cree un gateway de Internet y una tabla de rutas con una regla de ruta que haga referencia al gateway de Internet. Esto permite el acceso a Internet para los nodos de OKE.

Crear un gateway de Internet

Para crear el gateway de Internet, utilice las instrucciones de Configuración de un gateway de Internet. Para ver la entrada de Terraform, consulte Ejemplos de scripts de Terraform para recursos de red (superposición de franela).

Observe el nombre y el OCID del gateway de Internet para la asignación a la regla de ruta pública.

Creación de una regla de ruta pública

Cree una regla de ruta pública para el gateway de Internet que acaba de crear. Para crear una tabla de rutas, utilice las instrucciones de Creating a Route Table. Para ver la entrada de Terraform, consulte Ejemplos de scripts de Terraform para recursos de red (superposición de franela).

Para este ejemplo, utilice la siguiente entrada para crear la tabla de rutas con una regla de ruta pública que haga referencia al gateway de Internet creado en el paso anterior.

Propiedad Consola de Compute Cloud@Customer

propiedad de la CLI

  • Nombre: público

Regla de ruta

  • Tipo de destino: gateway de internet

  • Gateway de Internet: nombre del gateway de Internet creado en el paso anterior

  • Block de CIDR: 0.0.0.0/0

  • Descripción: regla de ruta pública de OKE

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: público

--route-rules

  • networkEntityId: OCID del gateway de Internet creado en el paso anterior

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: regla de ruta pública de OKE

Modificación de la lista de seguridad por defecto de VCN

Para modificar una lista de seguridad, consulte Actualizar una lista de seguridad. Para ver la entrada de Terraform, consulte Ejemplos de scripts de Terraform para recursos de red (superposición de franela).

Suprima todas las reglas por defecto y, a continuación, cree las reglas que se muestran en la siguiente tabla.

Propiedad Consola de Compute Cloud@Customer

propiedad de la CLI

  • Nombre: por defecto

--security-list-id: ocid1.securitylist.default_securitylist_id

Una regla de seguridad de salida:

  • Stateless: borre la caja

  • CIDR de salida: 0.0.0.0/0

  • Protocolo IP: Todos los protocolos

  • Descripción: "Permitir todo el tráfico saliente".

Una regla de seguridad de salida:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: "Permitir todo el tráfico saliente".

Tres reglas de seguridad de entrada:

Tres reglas de seguridad de entrada:

--ingress-security-rules

Regla de entrada 1

  • Stateless: borre la caja

  • CIDR de entrada: vcn_cidr

  • Protocolo IP: ICMP

    • Tipo de parámetro: 8: Eco

  • Descripción: "Permitir ping desde la VCN".

Regla de entrada 1

  • isStateless: false

  • source: vcn_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 8

  • description: "Permitir ping desde la VCN".

Regla de entrada 2

  • Stateless: borre la caja

  • CIDR de entrada: 0.0.0.0/0

  • Protocolo IP: ICMP

    • Tipo de parámetro: 3: Destino no accesible

  • Descripción: "Bloquea las solicitudes entrantes de cualquier fuente".

Regla de entrada 2

  • isStateless: false

  • source: 0.0.0.0/0

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 3

  • description: bloquea las solicitudes entrantes de cualquier origen.

Regla de entrada 3

  • Stateless: borre la caja

  • CIDR de entrada: 0.0.0.0/0

  • Protocolo IP: ICMP

    • Tipo de parámetro: 11: Se ha excedido el tiempo

  • Descripción: "Tiempo superado".

Regla de entrada 3

  • isStateless: false

  • source: 0.0.0.0/0

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 11

  • description: "Se ha excedido el tiempo".

Observe el nombre y el OCID de esta lista de seguridad por defecto para la asignación a subredes.

Siguiente paso:

Creación de una subred de trabajador (superposición de franela)