Documentation sur Oracle Cloud Infrastructure

Création d'un sous-réseau d'équilibreurs de charge de plan de contrôle (VCN-Pod natif)

Voyez comment créer un sous-réseau d'équilibreurs de charge de plan de contrôle pour le réseau de pods natifs VCN sur Compute Cloud@Customer.

Créez les ressources suivantes dans l'ordre indiqué :

  1. Liste de sécurité de l'équilibreur de charge du plan de contrôle

  2. Sous-réseau de l'équilibreur de charge du plan de contrôle

Créer une liste de sécurité d'équilibreur de charge de plan de contrôle

Créez une liste de sécurité. Voir Création d'une liste de sécurité. Pour l'entrée Terraform, voir Exemples de scripts Terraform (VCN-Native Pod).

L'équilibreur de charge du plan de contrôle accepte le trafic sur le port 6443, également appelé kubernetes_api_port dans ce guide. Ajustez cette liste de sécurité pour accepter uniquement les connexions à partir de l'emplacement prévu pour l'exécution du réseau. Le port 6443 doit accepter les connexions à partir des instances de plan de contrôle de grappe et des instances de travail.

Pour cet exemple, utilisez l'entrée suivante pour la liste de sécurité du sous-réseau de l'équilibreur de charge du plan de contrôle.

Propriété de la console Compute Cloud@Customer

Propriété de l'interface de ligne de commande

  • Nom : kmilb-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name : kmilb-seclist

Une règle de sécurité de trafic sortant :

  • Sans état : effacer la boîte

  • CIDR de sortie : 0.0.0.0/0

  • Protocole IP : Tous les protocoles

  • Description : "Permettre tout le trafic sortant."

Une règle de sécurité de trafic sortant :

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description : "Autoriser tout le trafic sortant."

Huit règles de sécurité de trafic entrant :

Huit règles de sécurité de trafic entrant :

--ingress-security-rules

Règle entrante 1 :

  • Sans état : effacer la boîte

  • CIDR entrant : kube_internal_cidr

    Cette valeur est obligatoire. Ne modifiez pas cette valeur CIDR.

  • Protocole IP : TCP

    • Intervalle de ports de destination : kubernetes_api_port

  • Description : "Autoriser un conteneur Kubernetes à communiquer avec les API Kubernetes."

Règle entrante 1 :

  • isStateless: false

  • source: kube_internal_cidr

    Cette valeur est obligatoire. Ne modifiez pas cette valeur CIDR.

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser un conteneur Kubernetes à communiquer avec les API Kubernetes."

Règle entrante 2 :

  • Sans état : effacer la boîte

  • CIDR entrant : kube_client_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : kubernetes_api_port

  • Description : "Autoriser les clients à se connecter à la grappe Kubernetes."

Règle entrante 2 :

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser les clients à se connecter à la grappe Kubernetes."

Règle entrante 3 :

  • Sans état : effacer la boîte

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : kubernetes_api_port

  • Description : "Autoriser le plan de contrôle à se joindre par lui-même au moyen de l'équilibreur de charge."

Règle entrante 3 :

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser le plan de contrôle à se joindre par lui-même au moyen de l'équilibreur de charge."

Règle entrante 4 :

  • Sans état : effacer la boîte

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : kubernetes_api_port

  • Description : "Autoriser les noeuds de travail à se connecter à la grappe au moyen de l'équilibreur de charge du plan de contrôle."

Règle entrante 4 :

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser les noeuds de travail à se connecter à la grappe au moyen de l'équilibreur de charge du plan de contrôle."

Règle entrante 5 :

  • Sans état : effacer la boîte

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 12250

  • Description : "Autoriser les communications du travailleur Kubernetes au point d'extrémité de l'API Kubernetes au moyen de l'équilibreur de charge."

Règle entrante 5 :

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description : "Autoriser le travailleur Kubernetes à communiquer au point d'extrémité de l'API Kubernetes au moyen de l'équilibreur de charge."

Règle entrante 6 :

  • Sans état : effacer la boîte

  • CIDR entrant : pod_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 12250

  • Description : "Autoriser les pods Kubernetes à communiquer au point d'extrémité de l'API Kubernetes au moyen de l'équilibreur de charge."

Règle entrante 6 :

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description : "Autoriser les pods Kubernetes à communiquer au point d'extrémité de l'API Kubernetes au moyen de l'équilibreur de charge."

Règle de trafic entrant 7 : Point d'extrémité privé

  • Sans état : effacer la boîte

  • CIDR entrant : kmilb_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : kubernetes_api_port

  • Description : "Utilisé pour créer un point d'extrémité de plan de contrôle privé."

Règle de trafic entrant 7 : Point d'extrémité privé

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Utilisé pour créer un point d'extrémité de plan de contrôle privé."

Règle de trafic entrant 8 : Point d'extrémité public

  • Sans état : effacer la boîte

  • CIDR entrant : public_ip_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : kubernetes_api_port

  • Description : "Utilisé pour accéder au point d'extrémité du plan de contrôle à partir du bloc CIDR public. Si vous ne savez pas quel est votre bloc CIDR d'adresse IP publique, ouvrez une demande de soutien. Voir Création d'une demande de soutien. Pour accéder au soutien technique, connectez-vous à la console Oracle Cloud, comme décrit sous Se connecter à la console OCI. "

Règle de trafic entrant 8 : Point d'extrémité public

  • isStateless: false

  • source: public_ip_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Utilisé pour accéder au point d'extrémité du plan de contrôle à partir du bloc CIDR public. Si vous ne savez pas quel est votre bloc CIDR d'adresse IP publique, ouvrez une demande de soutien. Voir Création d'une demande de soutien. Pour accéder au soutien technique, connectez-vous à la console Oracle Cloud, comme décrit sous Se connecter à la console OCI. "

Créer le sous-réseau de l'équilibreur de charge du plan de contrôle

Créer un sous-réseau. Voir Création d'un sous-réseau. Pour l'entrée Terraform, voir Exemples de scripts Terraform (VCN-Native Pod).

Pour cet exemple, utilisez l'entrée suivante pour créer le sous-réseau de l'équilibreur de charge du plan de contrôle. Utilisez l'OCID du VCN créé dans Création d'un VCN (VCN-Native Pod). Créez le sous-réseau de l'équilibreur de charge du plan de contrôle dans le même compartiment que celui où vous avez créé le VCN.

Créez un sous-réseau d'équilibreurs de charge de plan de contrôle privé ou public. Créez un sous-réseau d'équilibreurs de charge de plan de contrôle public à utiliser avec une grappe publique. Créez un sous-réseau d'équilibreurs de charge de plan de contrôle privé à utiliser avec une grappe privée.

Voir Grappes privées pour plus d'informations sur l'utilisation de passerelles d'appairage local pour connecter une grappe privée à d'autres instances du service Compute Cloud@Customer et sur l'utilisation de passerelles de routage dynamique pour connecter une grappe privée à l'espace d'adresses IP sur place. Pour créer un sous-réseau d'équilibreurs de charge de plan de contrôle privé, spécifiez l'une des tables de routage suivantes :

  • vcn_private

  • lpg_rt

  • drg_rt

Créer un sous-réseau d'équilibreurs de charge de plan de contrôle public

Propriété de la console Compute Cloud@Customer

Propriété de l'interface de ligne de commande

  • Nom : control-plane-endpoint

  • Bloc CIDR : kmilb_cidr

  • Table de routage : Sélectionnez "public" dans la liste

  • Sous-réseau public : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte DNS dans ce sous-réseau : cochez la case

    • Étiquette DNS : kmilb

  • Listes de sécurité : Sélectionnez "kmilb-seclist" et "Liste de sécurité par défaut pour oketest-vcn" dans la liste

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane-endpoint

  • --cidr-block: kmilb_cidr

  • --dns-label: kmilb

  • --prohibit-public-ip-on-vnic: false

  • --route-table-id : OCID de la table de routage "public"

  • --security-list-ids : OCID de la liste de sécurité "kmilb-seclist" et de la liste de sécurité "Default Security List for oketest-vcn"

La différence dans le sous-réseau privé suivant est que la table de routage privée du VCN est utilisée à la place de la table de routage publique. Selon vos besoins, vous pouvez spécifier la table de routage LPG ou la table de routage DRG à la place.

Créer un sous-réseau d'équilibreurs de charge de plan de contrôle privé

Propriété de la console Compute Cloud@Customer

Propriété de l'interface de ligne de commande

  • Nom : control-plane-endpoint

  • Bloc CIDR : kmilb_cidr

  • Table de routage : Sélectionnez "vcn_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte DNS dans ce sous-réseau : cochez la case

    • Étiquette DNS : kmilb

  • Listes de sécurité : Sélectionnez "kmilb-seclist" et "Liste de sécurité par défaut pour oketest-vcn" dans la liste

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane-endpoint

  • --cidr-block: kmilb_cidr

  • --dns-label: kmilb

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "vcn_private"

  • --security-list-ids : OCID de la liste de sécurité "kmilb-seclist" et de la liste de sécurité "Default Security List for oketest-vcn"