Exemple de configuration de ressources de réseau pour une grappe avec des noeuds virtuels

Découvrez comment configurer des ressources réseau pour une grappe avec des noeuds virtuels lors de l'utilisation de Kubernetes Engine (OKE).

VCN


Ressource	Exemple
VCN	Nom : acme-dev-vcn Bloc CIDR : 10.0.0.0/16 Résolution DNS : Sélectionnée
Passerelle Internet	Nom : internet-gateway-0
Passerelle NAT	Nom : nat-gateway-0
Passerelle de service	Nom : service-gateway-0 Services : Tous les services de <région> dans Oracle Services Network
Options DHCP	Type de DNS : Résolveur Internet et de réseau en nuage virtuel


Ressource	Exemple
Sous-réseau public pour le point d'extrémité de l'API Kubernetes	Nom : KubernetesAPIendpoint avec les propriétés suivantes : Type : Régional Bloc CIDR : 10.0.0.0/28 Table de routage : routetable-KubernetesAPIendpoint Accès au sous-réseau : Public Résolution DNS : Sélectionnée Options DHCP : Par défaut Liste de sécurité : seclist-KubernetesAPIendpoint
Sous-réseau privé pour les noeuds et les pods virtuels	Nom : nodespods avec les propriétés suivantes : Type : Régional Bloc CIDR : 10.0.32.0/19 Table de routage : routetable-nodespods Accès au sous-réseau : Privé Résolution DNS : Sélectionnée Options DHCP : Par défaut Liste de sécurité : seclist-nodespods
Sous-réseau public pour les équilibreurs de charge de service	Nom : loadbalancers avec les propriétés suivantes : Type : Régional Bloc CIDR : 10.0.64.0/24 Table de routage : routetable-serviceloadbalancers Accès au sous-réseau : Public Résolution DNS : Sélectionnée Options DHCP : Par défaut Liste de sécurité : seclist-loadbalancers


Ressource	Exemple
Table de routage pour le sous-réseau de point d'extrémité d'API Kubernetes public	Nom : routetable-KubernetesAPIendpoint, avec une règle de routage définie comme suit : Règle pour le trafic vers Internet : bloc CIDR de destination : 0.0.0.0/0. Type de cible : Passerelle Internet Cible : internet-gateway-0
Table de routage pour les noeuds virtuels et le sous-réseau de pods privés	Nom : routetable-nodespods, avec deux règles de routage définies comme suit : Règle pour le trafic vers Internet : bloc CIDR de destination : 0.0.0.0/0. Type de cible : passerelle NAT Cible : nat-gateway-0 Règle pour le trafic vers les services OCI : Destination : Tous les services de <région> dans Oracle Services Network Type de cible : Passerelle de service Cible : service-gateway-0
Table de routage pour le sous-réseau d'équilibreurs de charge public	Nom : routetable-serviceloadbalancers, avec une règle de routage définie comme suit : bloc CIDR de destination : 0.0.0.0/0. Type de cible : Passerelle Internet Passerelle Internet cible : internet-gateway-0

La liste de sécurité seclist-KubernetesAPIendpoint contient les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :


État	Source	Protocole/ Port	Description
Avec état	0.0.0.0/0	TCP/6443	Accès externe au point d'extrémité de l'API Kubernetes.
Avec état	10.0.32.0/19 (CIDR de noeuds/pods)	TCP/6443	Communication entre noeud virtuel et point d'extrémité d'API Kubernetes.
Avec état	10.0.32.0/19 (CIDR de noeuds/pods)	TCP/12250	Noeud virtuel pour contrôler la communication du plan.
Avec état	10.0.32.0/19 (CIDR de noeuds/pods)	ICMP 3,4	Détection de chemin.

Règles sortantes :


État :	Destination	Protocole/ Port	Description :
Avec état	Tous les services de <région> dans Oracle Services Network	TCP/443	Autoriser le point d'extrémité de l'API Kubernetes à communiquer avec les points d'extrémité du service OCI régional.
Avec état	10.0.32.0/19 (CIDR de noeuds/pods)	TCP/ALL	Autoriser le point d'extrémité de l'API Kubernetes à communiquer avec les noeuds virtuels.
Avec état	10.0.32.0/19 (CIDR de noeuds/pods)	ICMP 3,4	Détection de chemin.

La liste de sécurité seclist-nodespods contient les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :


État :	Source	Protocole/ Port	Description :
Avec état	10.0.32.0/19	ALL/ALL	Communication pod-to-pod.
Avec état	10.0.32.0/19	TCP/UDP / 30000-32767	Trafic entre l'équilibreur de charge et le pod et trafic de port de noeud de vérification de l'état pour external-traffic-policy=local
Avec état	10.0.32.0/19	MODÈLE:TCP/UDP/10256	Trafic entre l'équilibreur de charge et le port de vérification de l'état pour external-traffic-policy=cluster
Avec état	10.0.0.0/28	ICMP 3,4	Détection de chemin à partir du serveur d'API.
Avec état	10.0.0.0/28	TCP/ALL	Communication entre serveur d'API et noeud virtuel.

Règles sortantes :


État :	Destination	Protocole/ Port	Description :
Avec état	10.0.32.0/19 (CIDR de noeuds/pods)	ALL/ALL	Communication pod-to-pod.
Avec état	10.0.0.0/28	TCP/6443	Communication entre noeud virtuel/pod et serveur d'API.
Avec état	10.0.0.0/28	TCP/12250	Communication entre noeud virtuel/pod et serveur d'API.
Avec état	10.0.0.0/28	ICMP 3,4	Détection de chemin vers le serveur d'API.
Avec état	Tous les services de <région> dans Oracle Services Network	TCP/443	Communication entre noeud virtuel/pod et points d'extrémité de service OCI régional.
Avec état	0.0.0.0/0	ICMP 3,4	Accès du noeud/pod virtuel au plan de contrôle Kubernetes.
Avec état	0.0.0.0/0	ALL/ALL	Accès aux pods sur Internet

La liste de sécurité seclist-loadbalancers comporte les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :


État :	Source	Protocole/ Port	Description :
Avec état	0.0.0.0/0	TCP / 443/80	Trafic entrant vers l'équilibreur de charge si le port du module d'écoute est 80/443

Règles sortantes :


État :	Destination	Protocole/ Port	Description :
Avec état	10.0.32.0/19 (CIDR de noeuds/pods)	TCP/UDP / 30000-32767	Trafic vers le pod et le trafic du port du noeud de vérification de l'état pour external-traffic-policy=local
Avec état	10.0.32.0/19 (CIDR de noeuds/pods)	MODÈLE:TCP/UDP/10256	Trafic vers le port de vérification de l'état pour external-traffic-policy=cluster