Documentation sur Oracle Cloud Infrastructure

Création d'un sous-réseau de plan de contrôle (pod natif VCN)

Voyez comment créer un sous-réseau de plan de contrôle pour le réseau de pods natifs VCN sur le boîtier privé en nuage.

Créez les ressources suivantes dans l'ordre indiqué :

  1. Liste de sécurité du plan de contrôle

  2. Sous-réseau de plan de contrôle

Créer une liste de sécurité de plan de contrôle

Créez une liste de sécurité. Voir Création d'une liste de sécurité. Pour l'entrée Terraform, voir Exemples de scripts Terraform (VCN-Native Pod).

Pour cet exemple, utilisez l'entrée suivante pour la liste de sécurité du sous-réseau de plan de contrôle. kubernetes_api_port est le port utilisé pour accéder à l'API Kubernetes : port 6443. Voir aussi Ports de réseau en grappe de charge de travail (VCN-Native Pod).

Propriété de l'interface utilisateur Web de calcul

Propriété de l'interface de ligne de commande OCI

  • Nom : kmi-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: kmi-seclist

Une règle de sécurité de trafic sortant :

  • Sans état : effacer la boîte

  • CIDR de sortie : 0.0.0.0/0

  • Protocole IP : Tous les protocoles

  • Description : "Permettre tout le trafic sortant."

Une règle de sécurité de trafic sortant :

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description : "Autoriser tout le trafic sortant."

Onze règles de sécurité de trafic entrant :

Onze règles de sécurité de trafic entrant :

--ingress-security-rules

Règle entrante 1

  • Sans état : effacer la boîte

  • CIDR entrant : kube_client_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : kubernetes_api_port

  • Description : "Autoriser les clients à communiquer avec l'API Kubernetes."

 Règle entrante 1

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser les clients à communiquer avec l'API Kubernetes."
Règle entrante 2

  • Sans état : effacer la boîte

  • CIDR entrant : kmilb_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : kubernetes_api_port

  • Description : "Autoriser l'équilibreur de charge à communiquer avec les API de plan de contrôle Kubernetes."

 Règle entrante 2

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser l'équilibreur de charge à communiquer avec les API de plan de contrôle Kubernetes."
Règle entrante 3

  • Sans état : effacer la boîte

  • CIDR entrant : kmilb_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 12250

  • Description : "Autoriser le programme Kubernetes à communiquer avec le point d'extrémité de l'API Kubernetes au moyen de l'équilibreur de charge du plan de contrôle."

 Règle entrante 3

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description : "Autoriser le programme Kubernetes à communiquer avec le point d'extrémité de l'API Kubernetes au moyen de l'équilibreur de charge du plan de contrôle."
Règle entrante 4

  • Sans état : effacer la boîte

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : kubernetes_api_port

  • Description : "Autoriser les noeuds de travail à accéder à l'API Kubernetes."

 Règle entrante 4

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser les noeuds de travail à accéder à l'API Kubernetes."
Règle entrante 5

  • Sans état : effacer la boîte

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 12250

  • Description : "Autoriser les travailleurs Kubernetes à communiquer avec le point d'extrémité de l'API Kubernetes."

 Règle entrante 5

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description : "Autoriser le travailleur Kubernetes à communiquer avec le point d'extrémité de l'API Kubernetes."
Règle entrante 6

  • Sans état : effacer la boîte

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : kubernetes_api_port

  • Description : "Permettre au plan de contrôle d'atteindre lui-même."

 Règle entrante 6

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser le plan de contrôle à atteindre lui-même."
Règle entrante 7

  • Sans état : effacer la boîte

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 2379-2381

  • Description : "Autoriser le plan de contrôle à atteindre les services et les mesures etcd. Les ports 2379 et 2380 sont utilisés par Kubernetes pour communiquer avec le serveur etcd. Le port 2381 est utilisé par Kubernetes pour collecter des mesures à partir de etcd. "

 Règle entrante 7

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 2381

    • min: 2379

  • description : "Autoriser le plan de contrôle à atteindre les services et les mesures etcd. Les ports 2379 et 2380 sont utilisés par Kubernetes pour communiquer avec le serveur etcd. Le port 2381 est utilisé par Kubernetes pour collecter des mesures à partir de etcd. "
Règle entrante 8

  • Sans état : effacer la boîte

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 10250

  • Description : "Autoriser le point d'extrémité d'API Kubernetes à communiquer avec les noeuds du plan de contrôle."

 Règle entrante 8

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description : "Autoriser le point d'extrémité de l'API Kubernetes à communiquer avec les noeuds du plan de contrôle."
Règle entrante 9

  • Sans état : effacer la boîte

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 10257-10260

  • Description : "Autoriser la connexion entrante pour les composants Kubernetes."

 Règle entrante 9

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10260

    • min: 10257

  • description : "Autoriser la connexion entrante pour les composants Kubernetes."
Règle entrante 10

  • Sans état : effacer la boîte

  • CIDR entrant : pod_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : kubernetes_api_port

  • Description : "Autoriser les pods à communiquer avec les API Kubernetes."

 Règle entrante 10

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser les pods à communiquer avec les API Kubernetes."
Règle entrante 11

  • Sans état : effacer la boîte

  • CIDR entrant : pod_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : 12250

  • Description : "Autoriser les pods Kubernetes à la communication de point d'extrémité d'API Kubernetes."

 Règle entrante 11

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description : "Autoriser les pods Kubernetes à la communication de point d'extrémité d'API Kubernetes."

Créer le sous-réseau de plan de contrôle

Créer un sous-réseau. Voir Création d'un sous-réseau. Pour l'entrée Terraform, voir Exemples de scripts Terraform (VCN-Native Pod).

Utilisez l'entrée suivante pour créer le sous-réseau de plan de contrôle. Utilisez l'OCID du VCN créé dans Création d'un VCN (VCN-Native Pod Networking). Créez le sous-réseau de plan de contrôle dans le même compartiment que celui où vous avez créé le VCN.

Créez un sous-réseau de plan de contrôle privé NAT ou un sous-réseau de plan de contrôle privé du VCN. Créez un sous-réseau de plan de contrôle privé NAT pour communiquer en dehors du VCN.

Important

Le nom de ce sous-réseau doit être exactement "control-plane".

Créer un sous-réseau de plan de contrôle privé de centre de données

Propriété de l'interface utilisateur Web de calcul

Propriété de l'interface de ligne de commande OCI

  • Nom : plan de contrôle

  • Bloc CIDR : kmi_cidr

  • Table de routage : Sélectionnez "nat_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte DNS dans ce sous-réseau : cochez la case

    • Étiquette DNS : kmi

  • Listes de sécurité : Sélectionnez "kmi-seclist" et "Default Security List for oketest-vcn" dans la liste

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane

  • --cidr-block: kmi_cidr

  • --dns-label: kmi

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "nat_private"

  • --security-list-ids : OCID de la liste de sécurité "kmi-seclist" et de la liste de sécurité "Default Security List for oketest-vcn".

La différence dans le sous-réseau privé suivant est que la table de routage privée du VCN est utilisée à la place de la table de routage privée NAT.

Créer un sous-réseau de plan de contrôle privé du VCN

Propriété de l'interface utilisateur Web de calcul

Propriété de l'interface de ligne de commande OCI

  • Nom : plan de contrôle

  • Bloc CIDR : kmi_cidr

  • Table de routage : Sélectionnez "vcn_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte DNS dans ce sous-réseau : cochez la case

    • Étiquette DNS : kmi

  • Listes de sécurité : Sélectionnez "kmi-seclist" et "Default Security List for oketest-vcn" dans la liste

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane

  • --cidr-block: kmi_cidr

  • --dns-label: kmi

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "vcn_private"

  • --security-list-ids : OCID de la liste de sécurité "kmi-seclist" et de la liste de sécurité "Default Security List for oketest-vcn".