Creación de una subred de trabajador (pod nativo de VCN)

En Compute Cloud@Customer,

Cree los siguientes recursos en el orden indicado:

  1. Lista de seguridad de trabajador

  2. Subred de trabajador

Creación de una lista de seguridad de trabajador

Cree una lista de seguridad. Consulte Creación de una lista de seguridad. Para la entrada de Terraform, consulte Ejemplos de scripts de Terraform ( Pod nativo de VCN).

Esta lista de seguridad define el tráfico que puede ponerse en contacto directamente con los nodos de trabajador.

Para este ejemplo, utilice la siguiente entrada para la lista de seguridad de subred de trabajador.

Propiedad Console

propiedad de la CLI

  • Nombre: worker-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker-seclist

Una regla de seguridad de salida:

  • Sin estado: desmarque la casilla

  • CIDR de salida: 0.0.0.0/0

  • Protocolo IP: Todos los Protocolos

  • Descripción: "Permitir todo el tráfico saliente".

Una regla de seguridad de salida:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: "Permitir todo el tráfico saliente".

Trece reglas de seguridad de entrada:

Trece reglas de seguridad de entrada:

--ingress-security-rules

Regla de entrada 1

  • Sin estado: desmarque la casilla

  • CIDR de entrada: kube_client_cidr

  • Protocolo IP: TCP

    • Rango de Puertos de Destino: 30000-32767

  • Descripción: "Permitir que los nodos de trabajador reciban conexiones a través de la subred de pod".

Regla de entrada 1

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: permite que los nodos de trabajador reciban conexiones a través de la subred de pod.

Regla de entrada 2

  • Sin estado: desmarque la casilla

  • CIDR de entrada: kmi_cidr

  • Protocolo IP: TCP

    • Rango de puertos de destino: 22

  • Descripción: "Permitir conexión SSH desde la subred del plano de control".

Regla de entrada 2

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description: "Permitir conexión SSH desde la subred del plano de control".

Regla de entrada 3

  • Sin estado: desmarque la casilla

  • CIDR de entrada: worker_cidr

  • Protocolo IP: TCP

    • Rango de puertos de destino: 22

  • Descripción: "Permitir conexión SSH desde la subred de trabajador".

Regla de entrada 3

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description: "Permitir conexión SSH desde la subred de trabajador".

Regla de entrada 4

  • Sin estado: desmarque la casilla

  • CIDR de entrada: worker_cidr

  • Protocolo IP: TCP

    • Rango de puertos de destino: 10250

  • Descripción: "Permitir punto final Kubernetes API a comunicación de nodo de trabajador".

Regla de entrada 4

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description: "Permitir punto final a comunicación de nodo de trabajador de API de de Kubernetes".

Regla de entrada 5

  • Sin estado: desmarque la casilla

  • CIDR de entrada: worker_cidr

  • Protocolo IP: TCP

    • Rango de puertos de destino: 10256

  • Descripción: "Permitir que el equilibrador de carga o el equilibrador de carga de red se comuniquen con kube-proxy en los nodos de trabajador".

Regla de entrada 5

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: "Permitir que el equilibrador de carga o el equilibrador de carga de red se comuniquen con kube-proxy en los nodos de trabajador".

Regla de entrada 6

  • Sin estado: desmarque la casilla

  • CIDR de entrada: worker_cidr

  • Protocolo IP: TCP

    • Rango de Puertos de Destino: 30000-32767

  • Descripción: "Permitir tráfico a nodos de trabajador".

Regla de entrada 6

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Permitir tráfico a nodos de trabajador".

Regla de entrada 7

  • Sin estado: desmarque la casilla

  • CIDR de entrada: workerlb_cidr

  • Protocolo IP: TCP

    • Rango de puertos de destino: 10256

  • Descripción: "Permitir que el equilibrador de carga o el equilibrador de carga de red se comuniquen con kube-proxy en los nodos de trabajador".

Regla de entrada 7

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: "Permitir que el equilibrador de carga o el equilibrador de carga de red se comuniquen con kube-proxy en los nodos de trabajador".

Regla de entrada 8

  • Sin estado: desmarque la casilla

  • CIDR de entrada: workerlb_cidr

  • Protocolo IP: TCP

    • Rango de Puertos de Destino: 30000-32767

  • Descripción: "Permitir que los nodos de trabajador reciban conexiones mediante el equilibrador de carga de red".

Regla de entrada 8

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: permite que los nodos de trabajador reciban conexiones mediante el equilibrador de carga de red.

Regla de entrada 9

  • Sin estado: desmarque la casilla

  • CIDR de entrada: kmi_cidr

  • Protocolo IP: TCP

    • Rango de puertos de destino: 10250

  • Descripción: "Permitir punto final Kubernetes API a comunicación de nodo de trabajador".

Regla de entrada 9

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description: "Permitir punto final a comunicación de nodo de trabajador de API de de Kubernetes".

Regla de entrada 10

  • Sin estado: desmarque la casilla

  • CIDR de entrada: kmi_cidr

  • Protocolo IP: TCP

    • Rango de puertos de destino: 10256

  • Descripción: "Permitir que el equilibrador de carga o el equilibrador de carga de red se comuniquen con kube-proxy en los nodos de trabajador".

Regla de entrada 10

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: "Permitir que el equilibrador de carga o el equilibrador de carga de red se comuniquen con kube-proxy en los nodos de trabajador".

Regla de entrada 11

  • Sin estado: desmarque la casilla

  • CIDR de entrada: pod_cidr

  • Protocolo IP: TCP

    • Rango de Puertos de Destino: 30000-32767

  • Descripción: "Permitir que los nodos de trabajador reciban conexiones a través de la subred de pod".

Regla de entrada 11

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: permite que los nodos de trabajador reciban conexiones a través de la subred de pod.

Regla de entrada 12

  • Sin estado: desmarque la casilla

  • CIDR de entrada: kmi_cidr

  • Protocol IP (Protocolo IP): ICMP

    • Tipo de parámetro: 8: Echo

  • Descripción: "Pruebe la accesibilidad de un pod de red desde kmi_cidr enviando una solicitud".

Regla de entrada 12

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 8

  • description: "Pruebe la accesibilidad de un pod de red desde kmi_cidr enviando una solicitud".

Regla de entrada 13

  • Sin estado: desmarque la casilla

  • CIDR de entrada: kmi_cidr

  • Protocol IP (Protocolo IP): ICMP

    • Tipo de parámetro: 0: Echo Reply

  • Descripción: "Si se puede acceder al pod de destino desde kmi_cidr, responda con una respuesta de eco ICMP".

Regla de entrada 13

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 0

  • description: "Si se puede acceder al pod de destino desde kmi_cidr, responda con una respuesta de eco ICMP".

Creación de la subred de trabajador

Crear una subred. Consulte Creación de una subredes. Para la entrada de Terraform, consulte Ejemplos de scripts de Terraform ( Pod nativo de VCN).

Para este ejemplo, utilice la siguiente entrada para crear la subred de trabajador. Utilice el OCID de la VCN creada en Creación de una VCN (Pod nativo de VCN). Cree la subred de trabajador en el mismo compartimento en el que creó la VCN.

Cree una subred de trabajador privada NAT o una subred de trabajador privada VCN. Cree una subred de trabajador privada NAT para comunicarse fuera de la VCN.

Creación de una subred de trabajador privada de NAT

Propiedad Console

propiedad de la CLI

  • Nombre: trabajador

  • Bloque de CIDR: worker_cidr

  • Tabla de rutas: seleccione "nat_private" en la lista

  • Private Subnet: marque la casilla

  • Nombres de host de DNS:

    Utilizar los nombres de host de DNS en esta subredes: marque la casilla

    • Etiqueta DNS: backend privada

  • Listas de seguridad: seleccione "worker-seclist" y "Default Security List for oketest-vcn" de la lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID de la tabla de rutas "nat_private"

  • --security-list-ids: OCID de la lista de seguridad "worker-seclist" y la lista de seguridad "Default Security List for oketest-vcn"

La diferencia en la siguiente subred privada es que se utiliza la tabla de rutas privadas de VCN en lugar de la tabla de rutas privadas NAT.

Creación de una subred de trabajador privada de VCN

Propiedad Console

propiedad de la CLI

  • Nombre: trabajador

  • Bloque de CIDR: worker_cidr

  • Tabla de rutas: seleccione "vcn_private" en la lista

  • Private Subnet: marque la casilla

  • Nombres de host de DNS:

    Utilizar los nombres de host de DNS en esta subredes: marque la casilla

    • Etiqueta DNS: backend privada

  • Listas de seguridad: seleccione "worker-seclist" y "Default Security List for oketest-vcn" de la lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID de la tabla de rutas "vcn_private"

  • --security-list-ids: OCID de la lista de seguridad "worker-seclist" y la lista de seguridad "Default Security List for oketest-vcn"