Documentation sur Oracle Cloud Infrastructure

Création d'un sous-réseau de travailleurs (couche de canal)

Voyez comment créer un sous-réseau de traitement pour le réseau superposé Flannel sur Compute Cloud@Customer.

Créez les ressources suivantes dans l'ordre indiqué :

  1. Créer une liste de sécurité de travailleur.
  2. Créez le sous-réseau de travailleurs.

Créer une liste de sécurité de travailleur

Pour créer une liste de sécurité, utilisez les instructions sous Création d'une liste de sécurité. Pour l'entrée Terraform, voir Exemples de scripts Terraform pour les ressources de réseau (remplacement de canal).

Cette liste de sécurité définit le trafic autorisé à communiquer directement avec les noeuds de travail.

Pour cet exemple, utilisez l'entrée suivante pour la liste de sécurité du sous-réseau de travail.

Console Compute Cloud@Customer

Propriété de l'interface de ligne de commande

  • Nom : worker-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker-seclist

Sept règles de sécurité de trafic entrant :

Sept règles de sécurité de trafic entrant :

--ingress-security-rules

Règle entrante 1

  • Sans état : effacer la boîte

  • CIDR entrant : vcn_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 22

  • Description : "Autoriser ssh intra-VCN."

Règle entrante 1

  • isStateless: false

  • source: vcn_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description : "Autoriser ssh intra-VCN."

Règle entrante 2

  • Sans état : décochez la case

  • CIDR entrant : kube_client_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 30000-32767

  • Description : "Autoriser les clients à communiquer avec l'intervalle de ports du noeud."

Règle entrante 2

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description : "Autoriser les clients à communiquer avec l'intervalle de ports de noeud."

Règle entrante 3

  • Sans état : effacer la boîte

  • CIDR entrant : workerlb_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 30000-32767

  • Description : "Autoriser l'équilibreur de charge de travail à communiquer avec les noeuds de travail."

Règle entrante 3

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description : "Autoriser l'équilibreur de charge de travail à communiquer avec les noeuds de travail."

Règle entrante 4

  • Sans état : effacer la boîte

  • CIDR entrant : workerlb_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 10256

  • Description : "Autoriser l'équilibreur de charge de travail à communiquer avec les noeuds de travail."

Règle entrante 4

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description : "Autoriser l'équilibreur de charge de travail à communiquer avec les noeuds de travail."

Règle entrante 5

  • Sans état : effacer la boîte

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 22-65535

  • Description : "Autoriser le plan de contrôle à contacter les noeuds de travail."

Règle entrante 5

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 65535

    • min: 22

  • description : "Autoriser le plan de contrôle à communiquer avec les noeuds de travail."

Règle entrante 6

  • Sans état : effacer la boîte

  • CIDR entrant : worker_cidr

  • Protocole IP : UDP

    • Intervalle de ports de destination : 8285-8472

  • Description : "Permettre le trafic flannel."

Règle entrante 6

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 17

  • udpOptions

    destinationPortRange

    • max: 8472

    • min: 8285

  • description : "Autoriser le trafic flannel."

Règle entrante 7

  • Sans état : effacer la boîte

  • CIDR entrant : kmi_cidr

  • Protocole IP : UDP

    • Intervalle de ports de destination : 8285-8472

  • Description : "Permettre le trafic flannel."

Règle entrante 7

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 17

  • udpOptions

    destinationPortRange

    • max: 8472

    • min: 8285

  • description : "Autoriser le trafic flannel."

Créer le sous-réseau du travailleur

Pour créer un sous-réseau, utilisez les instructions sous Création d'un sous-réseau. Pour l'entrée Terraform, voir Exemples de scripts Terraform pour les ressources de réseau (remplacement de canal).

Pour cet exemple, utilisez l'entrée suivante pour la liste de sécurité du sous-réseau de travail. Utilisez l'OCID du VCN créé dans Exemples de scripts Terraform pour les ressources de réseau (couche de canal). Créez le sous-réseau de travail dans le compartiment où vous avez créé le VCN.

Créez un sous-réseau de traitement privé NAT ou un sous-réseau de traitement privé VCN. Créez un sous-réseau de traitement privé NAT pour communiquer en dehors du VCN.

Créer un sous-réseau de travail privé NAT

Propriété de la console Compute Cloud@Customer

Propriété de l'interface de ligne de commande

  • Nom : travailleur

  • Bloc CIDR : worker_cidr

  • Table de routage : Sélectionnez "nat_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte DNS dans ce sous-réseau : cochez la case

    • Étiquette DNS : travailleur

  • Listes de sécurité : Sélectionnez "worker-seclist" et "Default Security List for oketest-vcn" dans la liste.

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "nat_private"

  • --security-list-ids : OCID de la liste de sécurité "worker-seclist" et de la liste de sécurité "Default Security List for oketest-vcn".

La différence dans le sous-réseau privé suivant est que la table de routage privée du VCN est utilisée à la place de la table de routage privée NAT.

Créer un sous-réseau de travail privé du VCN

Propriété de la console Compute Cloud@Customer

Propriété de l'interface de ligne de commande

  • Nom : travailleur

  • Bloc CIDR : worker_cidr

  • Table de routage : Sélectionnez "vcn_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte DNS dans ce sous-réseau : cochez la case

    • Étiquette DNS : travailleur

  • Listes de sécurité : Sélectionnez "worker-seclist" et "Default Security List for oketest-vcn" dans la liste.

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "vcn_private"

  • --security-list-ids : OCID de la liste de sécurité "worker-seclist" et de la liste de sécurité "Default Security List for oketest-vcn".

Étape suivante :

Création d'un sous-réseau d'équilibreur de charge de travailleur (couche Flannel)