Documentación de Oracle Cloud Infrastructure

Creación de una subred de plano de control ( Pod nativo de VCN)

Cree los siguientes recursos en el orden indicado:

  1. Lista de seguridad de plano de control

  2. Subred de plano de control

Creación de una lista de seguridad de plano de control

Cree una lista de seguridad. Consulte Creación de una lista de seguridad. Para la entrada de Terraform, consulte Ejemplos de scripts de Terraform ( Pod nativo de VCN).

Para este ejemplo, utilice la siguiente entrada para la lista de seguridad de subred del plano de control. kubernetes_api_port es el puerto utilizado para acceder a la API de Kubernetes: puerto 6443. Consulte también Puertos de red de cluster de carga de trabajo ( Pod nativo de VCN).

Propiedad Console

propiedad de la CLI

  • Nombre: kmi-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: kmi-seclist

Una regla de seguridad de salida:

  • Sin estado: desmarque la casilla

  • CIDR de salida: 0.0.0.0/0

  • Protocolo IP: Todos los Protocolos

  • Descripción: "Permitir todo el tráfico saliente".

Una regla de seguridad de salida:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: "Permitir todo el tráfico saliente".

Once reglas de seguridad de entrada:

Once reglas de seguridad de entrada:

--ingress-security-rules

Regla de entrada 1

  • Sin estado: borrar la caja

  • CIDR de entrada: kube_client_cidr

  • Protocolo IP: TCP

    • Rango de puerto de destino: kubernetes_api_port

  • Descripción: "Permitir a los clientes comunicarse con la API de Kubernetes".

 Regla de entrada 1

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: permite a los clientes comunicarse con la API de Kubernetes.
Regla de entrada 2

  • Sin estado: borrar la caja

  • CIDR de entrada: kmilb_cidr

  • Protocolo IP: TCP

    • Rango de puerto de destino: kubernetes_api_port

  • Descripción: "Permitir que el equilibrador de carga se comunique con las API del plano de control de Kubernetes".

 Regla de entrada 2

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "permitir que el equilibrador de carga se comunique con las API del plano de control de Kubernetes".
Regla de entrada 3

  • Sin estado: borrar la caja

  • CIDR de entrada: kmilb_cidr

  • Protocolo IP: TCP

    • Rango de puertos de destino: 12250

  • Descripción: "Permitir al trabajador de Kubernetes la comunicación de punto final de API de Kubernetes a través del equilibrador de carga del plano de control".

 Regla de entrada 3

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description: "Permitir al trabajador de Kubernetes la comunicación de punto final de API de Kubernetes a través del equilibrador de carga del plano de control".
Regla de entrada 4

  • Sin estado: borrar la caja

  • CIDR de entrada: worker_cidr

  • Protocolo IP: TCP

    • Rango de puerto de destino: kubernetes_api_port

  • Descripción: "Permitir que los nodos de trabajador accedan a la API de Kubernetes".

 Regla de entrada 4

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Permitir a los nodos de trabajador acceder a la API de Kubernetes".
Regla de entrada 5

  • Sin estado: borrar la caja

  • CIDR de entrada: worker_cidr

  • Protocolo IP: TCP

    • Rango de puertos de destino: 12250

  • Descripción: "Permitir el trabajo de Kubernetes a la comunicación de punto final API Kubernetes".

 Regla de entrada 5

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description: "Permitir el trabajo de Kubernetes a la comunicación de punto final API deKubernetes".
Regla de entrada 6

  • Sin estado: borrar la caja

  • CIDR de entrada: kmi_cidr

  • Protocolo IP: TCP

    • Rango de puerto de destino: kubernetes_api_port

  • Descripción: "Permitir que el plano de control llegue a sí mismo".

 Regla de entrada 6

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Permitir que el plano de control llegue a sí mismo".
Regla de entrada 7

  • Sin estado: borrar la caja

  • CIDR de entrada: kmi_cidr

  • Protocolo IP: TCP

    • Rango de Puertos de Destino: 2379-2381

  • Descripción: "Permita que el plano de control alcance los servicios y métricas de etcd. Kubernetes utiliza los puertos 2379 y 2380 para comunicarse con el servidor etcd. Kubernetes utiliza el puerto 2381 para recopilar métricas de etcd".

 Regla de entrada 7

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 2381

    • min: 2379

  • description: permite que el plano de control alcance los servicios y métricas de etcd. Kubernetes utiliza los puertos 2379 y 2380 para comunicarse con el servidor etcd. Kubernetes utiliza el puerto 2381 para recopilar métricas de etcd".
Regla de entrada 8

  • Sin estado: borrar la caja

  • CIDR de entrada: kmi_cidr

  • Protocolo IP: TCP

    • Rango de puertos de destino: 10250

  • Descripción: "Permitir que el punto final de API de Kubernetes controle la comunicación del nodo de plano".

 Regla de entrada 8

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description: "Permitir que el punto final de API de Kubernetes controle la comunicación de nodo de plano".
Regla de entrada 9

  • Sin estado: borrar la caja

  • CIDR de entrada: kmi_cidr

  • Protocolo IP: TCP

    • Rango de Puertos de Destino: 10257-10260

  • Descripción: "Permitir conexión de entrada para componentes de Kubernetes".

 Regla de entrada 9

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10260

    • min: 10257

  • description: "Permitir conexión de entrada para componentes de Kubernetes".
Regla de entrada 10

  • Sin estado: borrar la caja

  • CIDR de entrada: pod_cidr

  • Protocolo IP: TCP

    • Rango de puerto de destino: kubernetes_api_port

  • Descripción: "Permitir que los pods se comuniquen con las API de Kubernetes".

 Regla de entrada 10

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: permite que los pods se comuniquen con las API de Kubernetes.
Regla de entrada 11

  • Sin estado: borrar la caja

  • CIDR de entrada: pod_cidr

  • Protocolo IP: TCP

    • Rango de puertos de destino: 12250

  • Descripción: "Permitir que los pods de Kubernetes accedan a la comunicación de punto final de API de Kubernetes".

 Regla de entrada 11

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description: "Permitir que los pods de Kubernetes permitan la comunicación de punto final de API de Kubernetes".

Creación de la subred del plano de control

Crear una subred. Consulte Creación de una subredes. Para la entrada de Terraform, consulte Ejemplos de scripts de Terraform ( Pod nativo de VCN).

Utilice la siguiente entrada para crear la subred del plano de control. Utilice el OCID de la VCN creada en Creación de una VCN (Pod nativo de VCN). Cree la subred del plano de control en el mismo compartimento en el que creó la VCN.

Cree una subred de plano de control privado de NAT o una subred de plano de control privado de VCN. Cree una subred de plano de control privado NAT para comunicarse fuera de la VCN.

Importante

El nombre de esta subred debe ser exactamente "plano de control".

Creación de una subred de plano de control privado de centro de datos

Propiedad Console

propiedad de la CLI

  • Nombre: control-plane

  • Bloque de CIDR: kmi_cidr

  • Tabla de rutas: seleccione "nat_private" en la lista

  • Private Subnet: marque la casilla

  • Nombres de host de DNS:

    Utilizar los nombres de host de DNS en esta subredes: marque la casilla

    • Etiqueta de DNS: kmi

  • Listas de seguridad: seleccione "kmi-seclist" y "Lista de seguridad por defecto para oketest-vcn" de la lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane

  • --cidr-block: kmi_cidr

  • --dns-label: kmi

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID de la tabla de rutas "nat_private"

  • --security-list-ids: OCID de la lista de seguridad "kmi-seclist" y la lista de seguridad "Default Security List for oketest-vcn"

La diferencia en la siguiente subred privada es que se utiliza la tabla de rutas privadas de VCN en lugar de la tabla de rutas privadas NAT.

Creación de una subred de plano de control privado de VCN

Propiedad Console

propiedad de la CLI

  • Nombre: control-plane

  • Bloque de CIDR: kmi_cidr

  • Tabla de rutas: seleccione "vcn_private" en la lista

  • Private Subnet: marque la casilla

  • Nombres de host de DNS:

    Utilizar los nombres de host de DNS en esta subredes: marque la casilla

    • Etiqueta de DNS: kmi

  • Listas de seguridad: seleccione "kmi-seclist" y "Lista de seguridad por defecto para oketest-vcn" de la lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane

  • --cidr-block: kmi_cidr

  • --dns-label: kmi

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID de la tabla de rutas "vcn_private"

  • --security-list-ids: OCID de la lista de seguridad "kmi-seclist" y la lista de seguridad "Default Security List for oketest-vcn"