Documentation sur Oracle Cloud Infrastructure

Exemples de configurations de ressources de réseau

Découvrez des exemples de configuration des ressources de réseau pour la création et le déploiement de grappes hautement disponibles dans une région comportant trois domaines de disponibilité lors de l'utilisation de Kubernetes Engine (OKE).

Lors de la création d'une grappe, vous pouvez utiliser le flux de création rapide pour créer automatiquement de nouvelles ressources de réseau. Vous pouvez également utiliser le flux de création personnalisée pour spécifier explicitement des ressources de réseau existantes. Pour plus d'informations sur les ressources de réseau requises, voir Configuration des ressources de réseau pour la création et le déploiement de grappes.

Cette rubrique fournit des exemples de la façon dont vous pouvez configurer les ressources de réseau lors de l'utilisation du flux de création rapide pour créer des grappes hautement disponibles dans une région avec trois domaines de disponibilité :

Plusieurs tutoriels pour développeurs connexes sont disponibles.

Note

Les exemples de cette section montrent l'utilisation de règles de sécurité dans les listes de sécurité pour contrôler l'accès aux grappes. Si vous préférez utiliser des groupes de sécurité de réseau (qui sont recommandés) plutôt que des listes de sécurité, vous pouvez spécifier des règles de sécurité identiques pour les groupes de sécurité de réseau.

Exemple 1 : grappe avec plugiciel CNI Flannel, point d'extrémité d'API Kubernetes public, noeuds de travail privés et équilibreurs de charge publics

Dans cet exemple, vous voulez que le point d'extrémité de l'API Kubernetes et les équilibreurs de charge soient accessibles directement à partir d'Internet. Les noeuds de travail sont accessibles dans le VCN.

Notez qu'une adresse IP privée est affectée par défaut au point d'extrémité de l'API Kubernetes. Pour exposer le point d'extrémité de l'API Kubernetes à Internet, effectuez les deux opérations suivantes :

  • Sélectionnez un sous-réseau public pour héberger le point d'extrémité de l'API Kubernetes.
  • Spécifiez que vous voulez qu'une adresse IP publique soit affectée au point d'extrémité de l'API Kubernetes (ainsi qu'une adresse IP privée).

Cette image montre un exemple de configuration de grappe avec un sous-réseau de point d'extrémité d'API Kubernetes public, un sous-réseau de noeuds de travail privé, des sous-réseaux d'équilibreurs de charge publics et un sous-réseau d'hôte bastion privé. L'accès aux sous-réseaux est contrôlé par les listes de sécurité seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers et seclist-Bastion, respectivement. Cette grappe utilise le plugiciel CNI flannel pour le réseau de pods. Le sous-réseau de point d'extrémité de l'API Kubernetes est connecté au plan de contrôle de grappe par une carte vNIC. D'autres caractéristiques de cet exemple de configuration sont décrites dans le texte qui l'entoure.

VCN

Ressource Exemple
VCN
  • Nom : acme-dev-vcn
  • Bloc CIDR : 10.0.0.0/16
  • Résolution DNS : Sélectionnée
Passerelle Internet
  • Nom : internet-gateway-0
Passerelle NAT
  • Nom : nat-gateway-0
Passerelle de service
  • Nom : service-gateway-0
  • Services : Tous les services de <région> dans Oracle Services Network
Options DHCP
  • Type de DNS : Résolveur Internet et de réseau en nuage virtuel

Sous-réseaux

Ressource Exemple
Sous-réseau public pour le point d'extrémité de l'API Kubernetes

Nom : KubernetesAPIendpoint avec les propriétés suivantes :

  • Type : Régional
  • bloc CIDR : 10.0.0.0/30
  • Table de routage : routetable-KubernetesAPIendpoint
  • Accès au sous-réseau : Public
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité : seclist-KubernetesAPIendpoint
Sous-réseau privé pour les noeuds de travail

Nom : workernodes avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.1.0/24
  • Table de routage : routetable-workernodes
  • Accès au sous-réseau : Privé
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité :
Sous-réseau public pour les équilibreurs de charge de service

Nom : loadbalancers avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.2.0/24
  • Table de routage : routetable-serviceloadbalancers
  • Accès au sous-réseau : Public
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité : seclist-loadbalancers
Sous-réseau privé pour l'hôte bastion

Nom : hôte bastion avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.3.0/24
  • Accès au sous-réseau : Privé
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité : seclist-Hôte bastion

Tables de routage

Ressource Exemple
Table de routage pour le sous-réseau de point d'extrémité d'API Kubernetes public

Nom : routetable-KubernetesAPIendpoint, avec une règle de routage définie comme suit :

  • bloc CIDR de destination : 0.0.0.0/0.
  • Type de cible : Passerelle Internet
  • Cible : internet-gateway-0
Table de routage pour le sous-réseau de noeuds de travail privé

Nom : routetable-workernodes, avec deux règles de routage définies comme suit :

  • Règle pour le trafic vers Internet :
    • bloc CIDR de destination : 0.0.0.0/0.
    • Type de cible : passerelle NAT
    • Cible : nat-gateway-0
  • Règle pour le trafic vers les services OCI :
    • Destination : Tous les services de <région> dans Oracle Services Network
    • Type de cible : Passerelle de service
    • Cible : service-gateway-0
Table de routage pour le sous-réseau d'équilibreurs de charge public

Nom : routetable-serviceloadbalancers, avec une règle de routage définie comme suit :

  • bloc CIDR de destination : 0.0.0.0/0.
  • Type de cible : Passerelle Internet
  • Cible : internet-gateway-0

Règles de liste de sécurité pour le sous-réseau de point d'extrémité d'API Kubernetes public

La liste de sécurité seclist-KubernetesAPIendpoint contient les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :

État Source Protocole/ Port Description
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/6443 Communication entre les noeuds de travail Kubernetes et le point d'extrémité de l'API Kubernetes.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/12250 Communication entre les noeuds de travail et le plan de contrôle Kubernetes.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) ICMP 3,4 Détection de chemin.
Avec état 0.0.0.0/0, bloc CIDR du sous-réseau de l'hôte bastion ou bloc CIDR spécifique TCP/6443

(Facultatif) Accès externe au point d'extrémité de l'API Kubernetes.

  • 0.0.0.0/0 lorsque la source est Internet, que le sous-réseau est public et qu'une adresse IP publique est affectée au point d'extrémité de l'API
  • Bloc CIDR de sous-réseau d'hôte bastion lorsque l'accès est effectué au moyen de l'hôte bastion OCI
  • Bloc CIDR spécifique lorsque l'accès est effectué à partir d'un autre bloc CIDR spécifique

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état Tous les services de <région> dans Oracle Services Network TCP/ALL Permettre au plan de contrôle Kubernetes de communiquer avec OKE.
Avec état Tous les services de <région> dans Oracle Services Network ICMP 3,4 Détection de chemin.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/ALL Permettre au plan de contrôle Kubernetes de communiquer avec les noeuds de travail.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) ICMP 3,4 Détection de chemin.

Règles de liste de sécurité pour le sous-réseau de noeuds de travail privé

La liste de sécurité seclist-workernodes contient les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :

État : Source Protocole/ Port Description :
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) ALL/ALL Permettre aux pods d'un noeud de travail de communiquer avec ceux des autres noeuds de travail.
Avec état 10.0.0.0/30 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/ALL Permettre au plan de contrôle Kubernetes de communiquer avec les noeuds de travail.
Avec état 0.0.0.0/0 ICMP 3,4 Détection de chemin.
Avec état Bloc CIDR de sous-réseau de l'hôte bastion ou bloc CIDR spécifique TCP/22 (Facultatif) Permettre le trafic SSH entrant vers les noeuds gérés.
Avec état Bloc CIDR de sous-réseau de l'équilibreur de charge TOUT/30000-32767 Ports entre l'équilibreur de charge et les noeuds de travail.
Avec état Bloc CIDR de sous-réseau de l'équilibreur de charge TOUT /10256 Autoriser l'équilibreur de charge à communiquer avec le mandataire kube sur les noeuds de travail.

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) ALL/ALL Permettre aux pods d'un noeud de travail de communiquer avec ceux des autres noeuds de travail.
Avec état 0.0.0.0/0 ICMP 3,4 Détection de chemin.
Avec état Tous les services de <région> dans Oracle Services Network TCP/ALL Permettre aux noeuds de travail de communiquer avec OKE.
Avec état 10.0.0.0/30 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/6443 Communication entre les noeuds de travail Kubernetes et le point d'extrémité de l'API Kubernetes.
Avec état 10.0.0.0/30 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/12250 Communication entre les noeuds de travail et le plan de contrôle Kubernetes.
Avec état 0.0.0.0/0 TCP/ALL (Facultatif) Permettre aux noeuds de travail de communiquer avec Internet.

Règles de liste de sécurité pour le sous-réseau d'équilibreurs de charge public

La liste de sécurité seclist-loadbalancers comporte les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :

État : Source Protocole/ Port Description :
Avec état

Spécifique à l'application (CIDR Internet ou spécifique)

Spécifique à l'application (par exemple, TCP, UDP - 443, 8080)

 (Facultatif) Protocole et port du module d'écoute de l'équilibreur de charge. Personnalisez au besoin.

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TOUT/30000-32767 Ports entre l'équilibreur de charge et les noeuds de travail.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TOUT /10256 Autoriser l'équilibreur de charge à communiquer avec le mandataire kube sur les noeuds de travail.

Règles de liste de sécurité pour le sous-réseau d'hôte bastion

La liste de sécurité seclist-Bastion contient les règles de trafic entrant et sortant ci-dessous.

Règles de trafic entrant : Aucune

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état 10.0.0.0/30 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/6443

(Facultatif) Autoriser l'hôte bastion à accéder au point d'extrémité de l'API Kubernetes.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/22 (Facultatif) Permettre le trafic SSH vers les noeuds de travail.

Exemple 2 : Grappe avec plugiciel CNI Flannel, point d'extrémité d'API Kubernetes privé, noeuds de travail privés et équilibreurs de charge publics

Dans cet exemple, seuls les équilibreurs de charge doivent être accessibles directement depuis Internet. Le point d'extrémité de l'API Kubernetes et les noeuds du travail sont accessibles dans le VCN.

Cette image montre un exemple de configuration de grappe avec un sous-réseau de point d'extrémité d'API Kubernetes privé, un sous-réseau de noeud de travail privé, des sous-réseaux d'équilibreurs de charge publics et un sous-réseau d'hôte bastion privé. L'accès aux sous-réseaux est contrôlé par les listes de sécurité seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers et seclist-Bastion, respectivement. Cette grappe utilise le plugiciel CNI flannel pour le réseau de pods. Le sous-réseau de point d'extrémité de l'API Kubernetes est connecté au plan de contrôle de grappe par une carte vNIC. D'autres caractéristiques de cet exemple de configuration sont décrites dans le texte qui l'entoure.

VCN

Ressource Exemple
VCN
  • Nom : acme-dev-vcn
  • Bloc CIDR : 10.0.0.0/16
  • Résolution DNS : Sélectionnée
Passerelle Internet
  • Nom : internet-gateway-0
Passerelle NAT
  • Nom : nat-gateway-0
Passerelle de service
  • Nom : service-gateway-0
  • Services : Tous les services de <région> dans Oracle Services Network
Options DHCP
  • Type de DNS : Résolveur Internet et de réseau en nuage virtuel

Sous-réseaux

Ressource Exemple
Sous-réseau privé pour le point d'extrémité de l'API Kubernetes

Nom : KubernetesAPIendpoint avec les propriétés suivantes :

  • Type : Régional
  • bloc CIDR : 10.0.0.0/30
  • Table de routage : routetable-KubernetesAPIendpoint
  • Accès au sous-réseau : Privé
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité : seclist-KubernetesAPIendpoint
Sous-réseau privé pour les noeuds de travail

Nom : workernodes avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.1.0/24
  • Table de routage : routetable-workernodes
  • Accès au sous-réseau : Privé
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité :
Sous-réseau public pour les équilibreurs de charge de service

Nom : loadbalancers avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.2.0/24
  • Table de routage : routetable-serviceloadbalancers
  • Accès au sous-réseau : Public
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité : seclist-loadbalancers
Sous-réseau privé pour l'hôte bastion

Nom : hôte bastion avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.3.0/24
  • Accès au sous-réseau : Privé
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité : seclist-Hôte bastion

Tables de routage

Ressource Exemple
Table de routage pour le sous-réseau de point d'extrémité d'API Kubernetes privé

Nom : routetable-KubernetesAPIendpoint, avec une règle de routage définie comme suit :

  • Règle pour le trafic vers Internet :
    • bloc CIDR de destination : 0.0.0.0/0.
    • Type de cible : passerelle NAT
    • Cible : nat-gateway-0
  • Règle pour le trafic vers les services OCI :
    • Destination : Tous les services de <région> dans Oracle Services Network
    • Type de cible : Passerelle de service
    • Cible : service-gateway-0
Table de routage pour le sous-réseau de noeuds de travail privé

Nom : routetable-workernodes, avec deux règles de routage définies comme suit :

  • Règle pour le trafic vers Internet :
    • bloc CIDR de destination : 0.0.0.0/0.
    • Type de cible : passerelle NAT
    • Cible : nat-gateway-0
  • Règle pour le trafic vers les services OCI :
    • Destination : Tous les services de <région> dans Oracle Services Network
    • Type de cible : Passerelle de service
    • Cible : service-gateway-0
Table de routage pour le sous-réseau d'équilibreurs de charge public

Nom : routetable-serviceloadbalancers, avec une règle de routage définie comme suit :

  • bloc CIDR de destination : 0.0.0.0/0.
  • Type de cible : Passerelle Internet
  • Cible : internet-gateway-0

Règles de liste de sécurité pour le sous-réseau de point d'extrémité d'API Kubernetes privé

La liste de sécurité seclist-KubernetesAPIendpoint contient les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :

État Source Protocole/ Port Description
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/6443 Communication entre les noeuds de travail Kubernetes et le point d'extrémité de l'API Kubernetes.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/12250 Communication entre les noeuds de travail et le plan de contrôle Kubernetes.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) ICMP 3,4 Détection de chemin.
Avec état 0.0.0.0/0, bloc CIDR du sous-réseau de l'hôte bastion ou bloc CIDR spécifique TCP/6443

(Facultatif) Accès externe au point d'extrémité de l'API Kubernetes.

  • 0.0.0.0/0 lorsque la source est Internet, que le sous-réseau est public et qu'une adresse IP publique est affectée au point d'extrémité de l'API
  • Bloc CIDR de sous-réseau d'hôte bastion lorsque l'accès est effectué au moyen de l'hôte bastion OCI
  • Bloc CIDR spécifique lorsque l'accès est effectué à partir d'un autre bloc CIDR spécifique

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état

Tous les services de <région> dans Oracle Services Network

 TCP/ALL Permettre au plan de contrôle Kubernetes de communiquer avec OKE.
Avec état Tous les services de <région> dans Oracle Services Network ICMP 3,4 Détection de chemin.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/ALL Permettre au plan de contrôle Kubernetes de communiquer avec les noeuds de travail.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) ICMP 3,4 Détection de chemin.

Règles de liste de sécurité pour le sous-réseau de noeuds de travail privé

La liste de sécurité seclist-workernodes contient les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :

État : Source Protocole/ Port Description :
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) ALL/ALL Permettre aux pods d'un noeud de travail de communiquer avec ceux des autres noeuds de travail.
Avec état 10.0.0.0/30 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/ALL Permettre au plan de contrôle Kubernetes de communiquer avec les noeuds de travail.
Avec état 0.0.0.0/0 ICMP 3,4 Détection de chemin.
Avec état Bloc CIDR de sous-réseau de l'hôte bastion ou bloc CIDR spécifique TCP/22 (Facultatif) Permettre le trafic SSH entrant vers les noeuds gérés.
Avec état Bloc CIDR de sous-réseau de l'équilibreur de charge TOUT/30000-32767 Ports entre l'équilibreur de charge et les noeuds de travail.
Avec état Bloc CIDR de sous-réseau de l'équilibreur de charge TOUT /10256 Autoriser l'équilibreur de charge à communiquer avec le mandataire kube sur les noeuds de travail.

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) ALL/ALL Permettre aux pods d'un noeud de travail de communiquer avec ceux des autres noeuds de travail.
Avec état Tous les services de <région> dans Oracle Services Network TCP/ALL Permettre aux noeuds de travail de communiquer avec OKE.
Avec état 10.0.0.0/30 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/6443 Communication entre les noeuds de travail Kubernetes et le point d'extrémité de l'API Kubernetes.
Avec état 10.0.0.0/30 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/12250 Communication entre les noeuds de travail et le plan de contrôle Kubernetes.
Avec état 0.0.0.0/0 TCP/ALL (Facultatif) Permettre aux noeuds de travail de communiquer avec Internet.

Règles de liste de sécurité pour le sous-réseau d'équilibreurs de charge public

La liste de sécurité seclist-loadbalancers comporte les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :

État : Source Protocole/ Port Description :
Avec état

Spécifique à l'application (CIDR Internet ou spécifique)

Spécifique à l'application (par exemple, TCP, UDP - 443, 8080)

 (Facultatif) Protocole et port du module d'écoute de l'équilibreur de charge. Personnalisez au besoin.

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TOUT/30000-32767 Ports entre l'équilibreur de charge et les noeuds de travail.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TOUT /10256 Autoriser l'équilibreur de charge à communiquer avec le mandataire kube sur les noeuds de travail.

Règles de liste de sécurité pour le sous-réseau d'hôte bastion

La liste de sécurité seclist-Bastion contient les règles de trafic entrant et sortant ci-dessous.

Règles de trafic entrant : Aucune

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état 10.0.0.0/30 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/6443

(Facultatif) Autoriser l'hôte bastion à accéder au point d'extrémité de l'API Kubernetes.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/22 (Facultatif) Permettre le trafic SSH vers les noeuds de travail.

Exemple 3 : Grappe avec plugiciel CNI OCI, point d'extrémité d'API Kubernetes public, noeuds de travail privés et équilibreurs de charge publics

Dans cet exemple, vous voulez que le point d'extrémité de l'API Kubernetes et les équilibreurs de charge soient accessibles directement à partir d'Internet. Les noeuds de travail sont accessibles dans le VCN.

Notez qu'une adresse IP privée est affectée par défaut au point d'extrémité de l'API Kubernetes. Pour exposer le point d'extrémité de l'API Kubernetes à Internet, effectuez les deux opérations suivantes :

  • Sélectionnez un sous-réseau public pour héberger le point d'extrémité de l'API Kubernetes.
  • Spécifiez que vous voulez qu'une adresse IP publique soit affectée au point d'extrémité de l'API Kubernetes (ainsi qu'une adresse IP privée).

Cette image montre un exemple de configuration de grappe avec un sous-réseau de point d'extrémité d'API Kubernetes public, un sous-réseau de noeuds de travail privé, des sous-réseaux d'équilibreurs de charge publics, un sous-réseau de pods privé et un sous-réseau d'hôte bastion privé. L'accès aux sous-réseaux est contrôlé par les listes de sécurité seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers, seclist-pods et seclist-Bastion, respectivement. Cette grappe utilise le plugiciel CNI OCI pour le réseau de pods. Le sous-réseau de point d'extrémité de l'API Kubernetes est connecté au plan de contrôle de grappe par une carte vNIC. D'autres caractéristiques de cet exemple de configuration sont décrites dans le texte qui l'entoure.

VCN

Ressource Exemple
VCN
  • Nom : acme-dev-vcn
  • Bloc CIDR : 10.0.0.0/16
  • Résolution DNS : Sélectionnée
Passerelle Internet
  • Nom : internet-gateway-0
Passerelle NAT
  • Nom : nat-gateway-0
Passerelle de service
  • Nom : service-gateway-0
  • Services : Tous les services de <région> dans Oracle Services Network
Options DHCP
  • Type de DNS : Résolveur Internet et de réseau en nuage virtuel

Sous-réseaux

Ressource Exemple
Sous-réseau public pour le point d'extrémité de l'API Kubernetes

Nom : KubernetesAPIendpoint avec les propriétés suivantes :

  • Type : Régional
  • bloc CIDR : 10.0.0.0/29
  • Table de routage : routetable-KubernetesAPIendpoint
  • Accès au sous-réseau : Public
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité : seclist-KubernetesAPIendpoint
Sous-réseau privé pour les noeuds de travail

Nom : workernodes avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.1.0/24
  • Table de routage : routetable-workernodes
  • Accès au sous-réseau : Privé
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité :
Sous-réseau privé pour les pods

Nom : pods avec les propriétés suivantes :

  • Type : Régional
  • bloc CIDR : 10.0.32.0/19
  • Table de routage : routetable-pods
  • Accès au sous-réseau : Privé
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité : seclist-pods
Sous-réseau public pour les équilibreurs de charge de service

Nom : loadbalancers avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.2.0/24
  • Table de routage : routetable-serviceloadbalancers
  • Accès au sous-réseau : Public
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité : seclist-loadbalancers
Sous-réseau privé pour l'hôte bastion

Nom : hôte bastion avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.3.0/24
  • Accès au sous-réseau : Privé
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité : seclist-Hôte bastion

Tables de routage

Ressource Exemple
Table de routage pour le sous-réseau de point d'extrémité d'API Kubernetes public

Nom : routetable-KubernetesAPIendpoint, avec une règle de routage définie comme suit :

  • bloc CIDR de destination : 0.0.0.0/0.
  • Type de cible : Passerelle Internet
  • Cible : internet-gateway-0
Table de routage pour le sous-réseau de noeuds de travail privé

Name (Nom) : routetable-workernodes, avec une règle de routage définie comme suit :

  • Destination : Tous les services de <région> dans Oracle Services Network
  • Type de cible : Passerelle de service
  • Cible : service-gateway-0
Table de routage pour le sous-réseau de pods privé

Nom : routetable-pods, avec deux règles de routage définies comme suit :

  • Règle pour le trafic vers Internet :
    • bloc CIDR de destination : 0.0.0.0/0.
    • Type de cible : passerelle NAT
    • Cible : nat-gateway-0
  • Règle pour le trafic vers les services OCI :
    • Destination : Tous les services de <région> dans Oracle Services Network
    • Type de cible : Passerelle de service
    • Cible : service-gateway-0
Table de routage pour le sous-réseau d'équilibreurs de charge public

Nom : routetable-serviceloadbalancers, avec une règle de routage définie comme suit :

  • bloc CIDR de destination : 0.0.0.0/0.
  • Type de cible : Passerelle Internet
  • Cible : internet-gateway-0

Règles de liste de sécurité pour le sous-réseau de point d'extrémité d'API Kubernetes public

La liste de sécurité seclist-KubernetesAPIendpoint contient les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :

État Source Protocole/ Port Description
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/6443 Communication entre les noeuds de travail Kubernetes et le point d'extrémité de l'API Kubernetes.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/12250 Communication entre les noeuds de travail Kubernetes et le point d'extrémité de l'API Kubernetes.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) ICMP 3,4 Détection de chemin.
Avec état 10.0.32.0/19 (CIDR des pods TCP/6443 Communication entre le pod et le point d'extrémité de l'API Kubernetes (lors de l'utilisation du réseau de pods natif de VCN).
Avec état 10.0.32.0/19 (CIDR des pods TCP/12250 Communication entre le pod et le point d'extrémité de l'API Kubernetes (lors de l'utilisation du réseau de pods natif de VCN).
Avec état 0.0.0.0/0, bloc CIDR du sous-réseau de l'hôte bastion ou bloc CIDR spécifique TCP/6443

(Facultatif) Accès externe au point d'extrémité de l'API Kubernetes.

  • 0.0.0.0/0 lorsque la source est Internet, que le sous-réseau est public et qu'une adresse IP publique est affectée au point d'extrémité de l'API
  • Bloc CIDR de sous-réseau d'hôte bastion lorsque l'accès est effectué au moyen de l'hôte bastion OCI
  • Bloc CIDR spécifique lorsque l'accès est effectué à partir d'un autre bloc CIDR spécifique

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état Tous les services de <région> dans Oracle Services Network TCP/ALL Autoriser le point d'extrémité de l'API Kubernetes à communiquer avec OKE.
Avec état Tous les services de <région> dans Oracle Services Network ICMP 3,4 Détection de chemin.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/10250 Autoriser le point d'extrémité de l'API Kubernetes à communiquer avec les noeuds de travail.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) ICMP 3,4 Détection de chemin.
Avec état 10.0.32.0/19 (CIDR des pods ALL/ALL Autoriser le point d'extrémité de l'API Kubernetes à communiquer avec les pods (lors de l'utilisation du réseau de pods natif de VCN).

Règles de liste de sécurité pour le sous-réseau de noeuds de travail privé

La liste de sécurité seclist-workernodes contient les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :

État : Source Protocole/ Port Description :
Avec état 10.0.0.0/29 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/10250 Autoriser le point d'extrémité de l'API Kubernetes à communiquer avec les noeuds de travail.
Avec état 0.0.0.0/0 ICMP 3,4 Détection de chemin.
Avec état Bloc CIDR de sous-réseau de l'hôte bastion ou bloc CIDR spécifique TCP/22 (Facultatif) Permettre le trafic SSH entrant vers les noeuds gérés.
Avec état Bloc CIDR de sous-réseau de l'équilibreur de charge TOUT/30000-32767 Ports entre l'équilibreur de charge et les noeuds de travail.
Avec état Bloc CIDR de sous-réseau de l'équilibreur de charge TOUT /10256 Autoriser l'équilibreur de charge à communiquer avec le mandataire kube sur les noeuds de travail.

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état 10.0.32.0/19 (CIDR des pods ALL/ALL Autoriser les noeuds de travail à accéder aux pods.
Avec état 0.0.0.0/0 ICMP 3,4 Détection de chemin.
Avec état Tous les services de <région> dans Oracle Services Network TCP/ALL Permettre aux noeuds de travail de communiquer avec OKE.
Avec état 10.0.0.0/29 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/6443 Communication entre les noeuds de travail Kubernetes et le point d'extrémité de l'API Kubernetes.
Avec état 10.0.0.0/29 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/12250 Communication entre les noeuds de travail Kubernetes et le point d'extrémité de l'API Kubernetes.

Règles de liste de sécurité pour le sous-réseau de pods privé

La liste de sécurité seclist-pods contient les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :

État : Source Protocole/ Port Description :
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) ALL/ALL Autoriser les noeuds de travail à accéder aux pods.
Avec état 10.0.0.0/29 (bloc CIDR de point d'extrémité de l'API Kubernetes) ALL/ALL Autoriser le point d'extrémité d'API Kubernetes à communiquer avec les pods.
Avec état 10.0.32.0/19 (CIDR des pods ALL/ALL Autoriser les pods à communiquer avec d'autres pods.

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état 10.0.32.0/19 (CIDR des pods ALL/ALL Autoriser les pods à communiquer avec d'autres pods.
Avec état Tous les services de <région> dans Oracle Services Network

ICMP 3,4

 Détection de chemin.
Avec état Tous les services de <région> dans Oracle Services Network

TCP/ALL

 Autoriser les pods à communiquer avec les services OCI.
Avec état 0.0.0.0/0

TCP/443

 (Facultatif) Autorisez les pods à communiquer avec Internet.
Avec état 10.0.0.0/29 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/6443 Communication entre le pod et le point d'extrémité de l'API Kubernetes (lors de l'utilisation du réseau de pods natif de VCN).
Avec état 10.0.0.0/29 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/12250 Communication entre le pod et le point d'extrémité de l'API Kubernetes (lors de l'utilisation du réseau de pods natif de VCN).

Règles de liste de sécurité pour le sous-réseau d'équilibreurs de charge public

La liste de sécurité seclist-loadbalancers comporte les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :

État : Source Protocole/ Port Description :
Avec état

Spécifique à l'application (CIDR Internet ou spécifique)

Spécifique à l'application (par exemple, TCP, UDP - 443, 8080)

 (Facultatif) Protocole et port du module d'écoute de l'équilibreur de charge. Personnalisez au besoin.

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TOUT/30000-32767 Ports entre l'équilibreur de charge et les noeuds de travail.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TOUT /10256 Autoriser l'équilibreur de charge à communiquer avec le mandataire kube sur les noeuds de travail.

Règles de liste de sécurité pour le sous-réseau d'hôte bastion

La liste de sécurité seclist-Bastion contient les règles de trafic entrant et sortant ci-dessous.

Règles de trafic entrant : Aucune

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état 10.0.0.0/29 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/6443

(Facultatif) Autoriser l'hôte bastion à accéder au point d'extrémité de l'API Kubernetes.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/22 (Facultatif) Permettre le trafic SSH vers les noeuds de travail.

Exemple 4 : Grappe avec plugiciel CNI OCI, point d'extrémité d'API Kubernetes privé, noeuds de travail privés et équilibreurs de charge publics

Dans cet exemple, seuls les équilibreurs de charge doivent être accessibles directement depuis Internet. Le point d'extrémité de l'API Kubernetes et les noeuds du travail sont accessibles dans le VCN.

Cette image présente un exemple de configuration de grappe avec un sous-réseau de point d'extrémité d'API Kubernetes privé, un sous-réseau de noeuds de travail privé, des sous-réseaux d'équilibreurs de charge publics, un sous-réseau de pods privé et un sous-réseau d'hôte bastion privé. L'accès aux sous-réseaux est contrôlé par les listes de sécurité seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers, seclist-pods et seclist-Bastion, respectivement. Cette grappe utilise le plugiciel CNI OCI pour le réseau de pods. Le sous-réseau de point d'extrémité de l'API Kubernetes est connecté au plan de contrôle de grappe par une carte vNIC. D'autres caractéristiques de cet exemple de configuration sont décrites dans le texte qui l'entoure.

VCN

Ressource Exemple
VCN
  • Nom : acme-dev-vcn
  • Bloc CIDR : 10.0.0.0/16
  • Résolution DNS : Sélectionnée
Passerelle Internet
  • Nom : internet-gateway-0
Passerelle NAT
  • Nom : nat-gateway-0
Passerelle de service
  • Nom : service-gateway-0
  • Services : Tous les services de <région> dans Oracle Services Network
Options DHCP
  • Type de DNS : Résolveur Internet et de réseau en nuage virtuel

Sous-réseaux

Ressource Exemple
Sous-réseau privé pour le point d'extrémité de l'API Kubernetes

Nom : KubernetesAPIendpoint avec les propriétés suivantes :

  • Type : Régional
  • bloc CIDR : 10.0.0.0/29
  • Table de routage : routetable-KubernetesAPIendpoint
  • Accès au sous-réseau : Privé
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité : seclist-KubernetesAPIendpoint
Sous-réseau privé pour les noeuds de travail

Nom : workernodes avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.1.0/24
  • Table de routage : routetable-workernodes
  • Accès au sous-réseau : Privé
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité :
Sous-réseau privé pour les pods

Nom : pods avec les propriétés suivantes :

  • Type : Régional
  • bloc CIDR : 10.0.32.0/19
  • Table de routage : routetable-pods
  • Accès au sous-réseau : Privé
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité : seclist-pods
Sous-réseau public pour les équilibreurs de charge de service

Nom : loadbalancers avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.2.0/24
  • Table de routage : routetable-serviceloadbalancers
  • Accès au sous-réseau : Public
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité : seclist-loadbalancers
Sous-réseau privé pour l'hôte bastion

Nom : hôte bastion avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.3.0/24
  • Accès au sous-réseau : Privé
  • Résolution DNS : Sélectionnée
  • Options DHCP : Par défaut
  • Liste de sécurité : seclist-Hôte bastion

Tables de routage

Ressource Exemple
Table de routage pour le sous-réseau de point d'extrémité d'API Kubernetes privé

Nom : routetable-KubernetesAPIendpoint, avec une règle de routage définie comme suit :

  • Règle pour le trafic vers Internet :
    • bloc CIDR de destination : 0.0.0.0/0.
    • Type de cible : passerelle NAT
    • Cible : nat-gateway-0
  • Règle pour le trafic vers les services OCI :
    • Destination : Tous les services de <région> dans Oracle Services Network
    • Type de cible : Passerelle de service
    • Cible : service-gateway-0
Table de routage pour le sous-réseau de noeuds de travail privé

Name (Nom) : routetable-workernodes, avec une règle de routage définie comme suit :

  • Destination : Tous les services de <région> dans Oracle Services Network
  • Type de cible : Passerelle de service
  • Cible : service-gateway-0
Table de routage pour le sous-réseau de pods privé

Nom : routetable-pods, avec deux règles de routage définies comme suit :

  • Règle pour le trafic vers Internet :
    • bloc CIDR de destination : 0.0.0.0/0.
    • Type de cible : passerelle NAT
    • Cible : nat-gateway-0
  • Règle pour le trafic vers les services OCI :
    • Destination : Tous les services de <région> dans Oracle Services Network
    • Type de cible : Passerelle de service
    • Cible : service-gateway-0
Table de routage pour le sous-réseau d'équilibreurs de charge public

Nom : routetable-serviceloadbalancers, avec une règle de routage définie comme suit :

  • bloc CIDR de destination : 0.0.0.0/0.
  • Type de cible : Passerelle Internet
  • Passerelle Internet cible : internet-gateway-0

Règles de liste de sécurité pour le sous-réseau de point d'extrémité d'API Kubernetes privé

La liste de sécurité seclist-KubernetesAPIendpoint contient les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :

État Source Protocole/ Port Description
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/6443 Communication entre les noeuds de travail Kubernetes et le point d'extrémité de l'API Kubernetes.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/12250 Communication entre les noeuds de travail Kubernetes et le point d'extrémité de l'API Kubernetes.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) ICMP 3,4 Détection de chemin.
Avec état 10.0.32.0/19 (CIDR des pods TCP/6443 Communication entre le pod et le point d'extrémité de l'API Kubernetes (lors de l'utilisation du réseau de pods natif de VCN).
Avec état 10.0.32.0/19 (CIDR des pods TCP/12250 Communication entre le pod et le point d'extrémité de l'API Kubernetes (lors de l'utilisation du réseau de pods natif de VCN).
Avec état Bloc CIDR de sous-réseau de l'hôte bastion ou bloc CIDR spécifique TCP/6443

(Facultatif) Accès externe au point d'extrémité de l'API Kubernetes.

  • Bloc CIDR de sous-réseau d'hôte bastion lorsque l'accès est effectué au moyen de l'hôte bastion OCI
  • Bloc CIDR spécifique lorsque l'accès est effectué à partir d'un autre bloc CIDR spécifique

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état

Tous les services de <région> dans Oracle Services Network

 TCP/ALL Autoriser le point d'extrémité de l'API Kubernetes à communiquer avec OKE.
Avec état Tous les services de <région> dans Oracle Services Network ICMP 3,4 Détection de chemin.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/10250 Autoriser le point d'extrémité de l'API Kubernetes à communiquer avec les noeuds de travail.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) ICMP 3,4 Détection de chemin.
Avec état 10.0.32.0/19 (CIDR des pods ALL/ALL Autoriser le point d'extrémité d'API Kubernetes à communiquer avec les pods.

Règles de liste de sécurité pour le sous-réseau de noeuds de travail privé

La liste de sécurité seclist-workernodes contient les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :

État : Source Protocole/ Port Description :
Avec état 10.0.0.0/29 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/10250 Autoriser le point d'extrémité de l'API Kubernetes à communiquer avec les noeuds de travail.
Avec état 0.0.0.0/0 ICMP 3,4 Détection de chemin.
Avec état Bloc CIDR de sous-réseau de l'hôte bastion ou bloc CIDR spécifique TCP/22 (Facultatif) Permettre le trafic SSH entrant vers les noeuds gérés.
Avec état Bloc CIDR de sous-réseau de l'équilibreur de charge TOUT/30000-32767 Ports entre l'équilibreur de charge et les noeuds de travail.
Avec état Bloc CIDR de sous-réseau de l'équilibreur de charge TOUT /10256 Autoriser l'équilibreur de charge à communiquer avec le mandataire kube sur les noeuds de travail.

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état 10.0.32.0/19 (CIDR des pods ALL/ALL Autoriser les noeuds de travail à accéder aux pods.
Avec état 0.0.0.0/0 ICMP 3,4 Détection de chemin.
Avec état Tous les services de <région> dans Oracle Services Network TCP/ALL Permettre aux noeuds de travail de communiquer avec OKE.
Avec état 10.0.0.0/29 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/6443 Communication entre les noeuds de travail Kubernetes et le point d'extrémité de l'API Kubernetes.
Avec état 10.0.0.0/29 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/12250 Communication entre les noeuds de travail Kubernetes et le point d'extrémité de l'API Kubernetes.

Règles de liste de sécurité pour le sous-réseau de pods privé

La liste de sécurité seclist-pods contient les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :

État : Source Protocole/ Port Description :
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) ALL/ALL Autoriser les noeuds de travail à accéder aux pods.
Avec état 10.0.0.0/29 (bloc CIDR de point d'extrémité de l'API Kubernetes) ALL/ALL Autoriser le point d'extrémité d'API Kubernetes à communiquer avec les pods.
Avec état 10.0.32.0/19 (CIDR des pods ALL/ALL Autoriser les pods à communiquer avec d'autres pods.

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état 10.0.32.0/19 (CIDR des pods ALL/ALL Autoriser les pods à communiquer avec d'autres pods.
Avec état Tous les services de <région> dans Oracle Services Network

ICMP 3,4

 Détection de chemin.
Avec état Tous les services de <région> dans Oracle Services Network

TCP/ALL

 Autoriser les pods à communiquer avec les services OCI.
Avec état 0.0.0.0/0

TCP/443

 (Facultatif) Autorisez les pods à communiquer avec Internet.
Avec état 10.0.0.0/29 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/6443 Communication entre le pod et le point d'extrémité de l'API Kubernetes (lors de l'utilisation du réseau de pods natif de VCN).
Avec état 10.0.0.0/29 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/12250 Communication entre le pod et le point d'extrémité de l'API Kubernetes (lors de l'utilisation du réseau de pods natif de VCN).

Règles de liste de sécurité pour le sous-réseau d'équilibreurs de charge public

La liste de sécurité seclist-loadbalancers comporte les règles de trafic entrant et sortant ci-dessous.

Règles entrantes :

État : Source Protocole/ Port Description :
Avec état

Spécifique à l'application (CIDR Internet ou spécifique)

Spécifique à l'application (par exemple, TCP, UDP - 443, 8080)

 (Facultatif) Protocole et port du module d'écoute de l'équilibreur de charge. Personnalisez au besoin.

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TOUT/30000-32767 Ports entre l'équilibreur de charge et les noeuds de travail.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TOUT /10256 Autoriser l'équilibreur de charge à communiquer avec le mandataire kube sur les noeuds de travail.

Règles de liste de sécurité pour le sous-réseau d'hôte bastion

La liste de sécurité seclist-Bastion contient les règles de trafic entrant et sortant ci-dessous.

Règles de trafic entrant : Aucune

Règles sortantes :

État : Destination Protocole/ Port Description :
Avec état 10.0.0.0/29 (bloc CIDR de point d'extrémité de l'API Kubernetes) TCP/6443

(Facultatif) Autoriser l'hôte bastion à accéder au point d'extrémité de l'API Kubernetes.
Avec état 10.0.1.0/24 (bloc CIDR de noeuds de travail) TCP/22 (Facultatif) Permettre le trafic SSH vers les noeuds de travail.