Documentation sur Oracle Cloud Infrastructure

Création d'un sous-réseau de travail (pod natif VCN)

Sur Compute Cloud@Customer,

Créez les ressources suivantes dans l'ordre indiqué :

  1. Liste de sécurité des travailleurs

  2. Sous-réseau de programme

Créer une liste de sécurité de travailleur

Créez une liste de sécurité. Voir Création d'une liste de sécurité. Pour l'entrée Terraform, voir Exemples de scripts Terraform (VCN-Native Pod).

Cette liste de sécurité définit le trafic autorisé à communiquer directement avec les noeuds de travail.

Pour cet exemple, utilisez l'entrée suivante pour la liste de sécurité du sous-réseau de travail.

Propriété de la console

Propriété de l'interface de ligne de commande

  • Nom : worker-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker-seclist

Une règle de sécurité de trafic sortant :

  • Sans état : décochez la case

  • CIDR de sortie : 0.0.0.0/0

  • Protocole IP : Tous les protocoles

  • Description : "Permettre tout le trafic sortant."

Une règle de sécurité de trafic sortant :

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description : "Autoriser tout le trafic sortant."

Treize règles de sécurité de trafic entrant :

Treize règles de sécurité de trafic entrant :

--ingress-security-rules

Règle entrante 1

  • Sans état : décochez la case

  • CIDR entrant : kube_client_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 30000-32767

  • Description : "Autoriser les noeuds de travail à recevoir des connexions au moyen du sous-réseau de pods."

Règle entrante 1

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description : "Autoriser les noeuds de travail à recevoir des connexions au moyen du sous-réseau de pods."

Règle entrante 2

  • Sans état : décochez la case

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 22

  • Description : "Autoriser la connexion SSH à partir du sous-réseau de plan de contrôle."

Règle entrante 2

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description : "Autoriser la connexion SSH à partir du sous-réseau de plan de contrôle."

Règle entrante 3

  • Sans état : décochez la case

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 22

  • Description : "Autoriser la connexion SSH à partir du sous-réseau de travail."

Règle entrante 3

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description : "Autoriser la connexion SSH à partir du sous-réseau de travail."

Règle entrante 4

  • Sans état : décochez la case

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 10250

  • Description : "Autoriser le point d'extrémité d'API Kubernetes à communiquer avec les noeuds de travail."

Règle entrante 4

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description : "Autoriser le point d'extrémité d'API Kubernetes à communiquer avec les noeuds de travail."

Règle entrante 5

  • Sans état : décochez la case

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 10256

  • Description : "Autoriser l'équilibreur de charge ou l'équilibreur de charge de réseau à communiquer avec kube-proxy sur les noeuds de travail."

Règle entrante 5

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description : "Autoriser l'équilibreur de charge ou l'équilibreur de charge de réseau à communiquer avec kube-proxy sur les noeuds de travail."

Règle entrante 6

  • Sans état : décochez la case

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 30000-32767

  • Description : "Autoriser le trafic vers les noeuds de travail".

Règle entrante 6

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description : "Autoriser le trafic vers les noeuds de travail."

Règle entrante 7

  • Sans état : décochez la case

  • CIDR entrant : workerlb_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 10256

  • Description : "Autoriser l'équilibreur de charge ou l'équilibreur de charge de réseau à communiquer avec kube-proxy sur les noeuds de travail."

Règle entrante 7

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description : "Autoriser l'équilibreur de charge ou l'équilibreur de charge de réseau à communiquer avec kube-proxy sur les noeuds de travail."

Règle entrante 8

  • Sans état : décochez la case

  • CIDR entrant : workerlb_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 30000-32767

  • Description : "Autoriser les noeuds de travail à recevoir des connexions au moyen de l'équilibreur de charge de réseau".

Règle entrante 8

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description : "Autoriser les noeuds de travail à recevoir des connexions au moyen de l'équilibreur de charge de réseau."

Règle entrante 9

  • Sans état : décochez la case

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 10250

  • Description : "Autoriser le point d'extrémité d'API Kubernetes à communiquer avec les noeuds de travail."

Règle entrante 9

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description : "Autoriser le point d'extrémité d'API Kubernetes à communiquer avec les noeuds de travail."

Règle entrante 10

  • Sans état : décochez la case

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 10256

  • Description : "Autoriser l'équilibreur de charge ou l'équilibreur de charge de réseau à communiquer avec kube-proxy sur les noeuds de travail."

Règle entrante 10

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description : "Autoriser l'équilibreur de charge ou l'équilibreur de charge de réseau à communiquer avec kube-proxy sur les noeuds de travail."

Règle entrante 11

  • Sans état : décochez la case

  • CIDR entrant : pod_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 30000-32767

  • Description : "Autoriser les noeuds de travail à recevoir des connexions au moyen du sous-réseau de pods."

Règle entrante 11

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description : "Autoriser les noeuds de travail à recevoir des connexions au moyen du sous-réseau de pods."

Règle entrante 12

  • Sans état : décochez la case

  • CIDR entrant : kmi_cidr

  • Protocole IP : ICMP

    • Type de paramètre : 8 : Echo

  • Description : "Tester l'accessibilité d'un pod de réseau à partir de kmi_cidr en envoyant une demande."

Règle entrante 12

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 8

  • description : "Tester l'accessibilité d'un pod de réseau à partir de kmi_cidr en envoyant une demande."

Règle entrante 13

  • Sans état : décochez la case

  • CIDR entrant : kmi_cidr

  • Protocole IP : ICMP

    • Type de paramètre : 0 : Réponse d'écho

  • Description : "Si le pod de destination est accessible à partir de kmi_cidr, répondez avec une réponse ICMP Echo."

Règle entrante 13

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 0

  • description : "Si le pod de destination est accessible à partir de kmi_cidr, répondez avec une réponse ICMP Echo."

Créer le sous-réseau du travailleur

Créer un sous-réseau. Voir Création d'un sous-réseau. Pour l'entrée Terraform, voir Exemples de scripts Terraform (VCN-Native Pod).

Pour cet exemple, utilisez l'entrée suivante pour créer le sous-réseau de travail. Utilisez l'OCID du VCN créé dans Création d'un VCN (VCN-Native Pod). Créez le sous-réseau de travail dans le compartiment où vous avez créé le VCN.

Créez un sous-réseau de traitement privé NAT ou un sous-réseau de traitement privé VCN. Créez un sous-réseau de traitement privé NAT pour communiquer en dehors du VCN.

Créer un sous-réseau de travail privé NAT

Propriété de la console

Propriété de l'interface de ligne de commande

  • Nom : travailleur

  • Bloc CIDR : worker_cidr

  • Table de routage : Sélectionnez "nat_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte DNS dans ce sous-réseau : cochez la case

    • Étiquette DNS : travailleur

  • Listes de sécurité : Sélectionnez "worker-seclist" et "Default Security List for oketest-vcn" dans la liste.

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "nat_private"

  • --security-list-ids : OCID de la liste de sécurité "worker-seclist" et de la liste de sécurité "Default Security List for oketest-vcn".

La différence dans le sous-réseau privé suivant est que la table de routage privée du VCN est utilisée à la place de la table de routage privée NAT.

Créer un sous-réseau de travail privé du VCN

Propriété de la console

Propriété de l'interface de ligne de commande

  • Nom : travailleur

  • Bloc CIDR : worker_cidr

  • Table de routage : Sélectionnez "vcn_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte DNS dans ce sous-réseau : cochez la case

    • Étiquette DNS : travailleur

  • Listes de sécurité : Sélectionnez "worker-seclist" et "Default Security List for oketest-vcn" dans la liste.

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "vcn_private"

  • --security-list-ids : OCID de la liste de sécurité "worker-seclist" et de la liste de sécurité "Default Security List for oketest-vcn".