Documentation sur Oracle Cloud Infrastructure

Création d'un sous-réseau d'équilibreur de charge de plan de contrôle OKE (superposition de canal)

Voyez comment créer un sous-réseau d'équilibreurs de charge de plan de contrôle pour le réseau superposé de canal sur le boîtier privé en nuage.

Créez les ressources suivantes dans l'ordre indiqué :

  1. Créer une liste de sécurité d'équilibreur de charge de plan de contrôle.
  2. Créez le sous-réseau de l'équilibreur de charge du plan de contrôle.

Créer une liste de sécurité d'équilibreur de charge de plan de contrôle

Pour créer une liste de sécurité, utilisez les instructions sous Création d'une liste de sécurité. Pour l'entrée Terraform, voir Exemples de scripts Terraform pour les ressources de réseau (remplacement de canal).

L'équilibreur de charge du plan de contrôle accepte le trafic sur le port 6443, également appelé kubernetes_api_port dans ces instructions. Ajustez cette liste de sécurité pour accepter uniquement les connexions à partir de l'emplacement prévu pour l'exécution du réseau. Le port 6443 doit accepter les connexions à partir des instances de plan de contrôle de grappe et des instances de travail.

Pour cet exemple, utilisez l'entrée suivante pour la liste de sécurité du sous-réseau de l'équilibreur de charge du plan de contrôle.

Propriété de l'interface utilisateur Web de calcul

Propriété de l'interface de ligne de commande OCI

  • Nom : kmilb-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name : kmilb-seclist

Quatre règles de sécurité de trafic entrant :

Quatre règles de sécurité de trafic entrant :

--ingress-security-rules

Règle entrante 1 :

  • Sans état : effacer la boîte

  • Bloc CIDR entrant :

    kube_internal_cidr

    Cette valeur est obligatoire. Ne modifiez pas cette valeur CIDR.

  • Protocole IP : TCP

    • Intervalle de ports de destination : kubernetes_api_port

  • Description : "Autoriser les connexions entrantes à l'équilibreur de charge du plan de contrôle."

Règle entrante 1 :

  • isStateless: false

  • source :

    kube_internal_cidr

    Cette valeur est obligatoire. Ne modifiez pas cette valeur CIDR.

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser les connexions entrantes à l'équilibreur de charge du plan de contrôle."

Règle entrante 2 :

  • Sans état : effacer la boîte

  • CIDR entrant : kube_client_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : kubernetes_api_port

  • Description : "Autoriser les connexions entrantes à l'équilibreur de charge du plan de contrôle."

Règle entrante 2 :

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser les connexions entrantes à l'équilibreur de charge du plan de contrôle."

Règle entrante 3 :

  • Sans état : effacer la boîte

  • CIDR entrant : vcn_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : kubernetes_api_port

  • Description : "Autoriser les connexions entrantes à l'équilibreur de charge du plan de contrôle."

Règle entrante 3 :

  • isStateless: false

  • source: vcn_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser les connexions entrantes à l'équilibreur de charge du plan de contrôle."

Règle de trafic entrant 4 : Point d'extrémité public

  • Sans état : effacer la boîte

  • CIDR entrant : public_ip_cidr

  • Protocole IP : TCP

    • Intervalle de ports de destination : kubernetes_api_port

  • Description : "Utilisé pour accéder au point d'extrémité du plan de contrôle à partir du bloc CIDR public. Le bloc CIDR d'adresse IP publique est configuré dans l'enclave de service. Si vous ne savez pas quel est votre bloc CIDR d'adresse IP publique, demandez à l'administrateur de Service Enclave."

Règle de trafic entrant 4 : Point d'extrémité public

  • isStateless: false

  • source: public_ip_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Utilisé pour accéder au point d'extrémité du plan de contrôle à partir du bloc CIDR public. Le bloc CIDR d'adresse IP publique est configuré dans l'enclave de service. Si vous ne savez pas quel est votre bloc CIDR d'adresse IP publique, demandez à l'administrateur de Service Enclave."

Créer le sous-réseau de l'équilibreur de charge du plan de contrôle

Pour créer un sous-réseau, utilisez les instructions sous Création d'un sous-réseau. Pour l'entrée Terraform, voir Exemples de scripts Terraform pour les ressources de réseau (remplacement de canal).

Pour cet exemple, utilisez l'entrée suivante pour créer le sous-réseau de l'équilibreur de charge du plan de contrôle. Utilisez l'OCID du VCN créé lors de la création d'un VCN (superposition de canal). Créez le sous-réseau de l'équilibreur de charge du plan de contrôle dans le même compartiment que celui où vous avez créé le VCN.

Créez un sous-réseau d'équilibreurs de charge de plan de contrôle privé ou public. Créez un sous-réseau d'équilibreurs de charge de plan de contrôle public à utiliser avec une grappe publique. Créez un sous-réseau d'équilibreurs de charge de plan de contrôle privé à utiliser avec une grappe privée.

Voir Grappes privées pour plus d'informations sur l'utilisation de passerelles d'appairage local pour connecter une grappe privée à d'autres instances sur le boîtier Private Cloud Appliance et l'utilisation de passerelles de routage dynamique pour connecter une grappe privée à l'espace d'adresses IP sur place. Pour créer un sous-réseau d'équilibreurs de charge de plan de contrôle privé, spécifiez l'une des tables de routage suivantes (voir Création d'un VCN (superposition de canal)) :

  • vcn_private

  • lpg_rt

  • drg_rt

Créer un sous-réseau d'équilibreurs de charge de plan de contrôle public

Propriété de l'interface utilisateur Web de calcul

Propriété de l'interface de ligne de commande OCI

  • Nom : control-plane-endpoint

  • Bloc CIDR : kmilb_cidr

  • Table de routage : Sélectionnez "public" dans la liste

  • Sous-réseau public : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte DNS dans ce sous-réseau : cochez la case

    • Étiquette DNS : kmilb

  • Listes de sécurité : Sélectionnez "kmilb-seclist" et "Liste de sécurité par défaut pour oketest-vcn" dans la liste

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane-endpoint

  • --cidr-block: kmilb_cidr

  • --dns-label: kmilb

  • --prohibit-public-ip-on-vnic: false

  • --route-table-id : OCID de la table de routage "public"

  • --security-list-ids : OCID de la liste de sécurité "kmilb-seclist" et de la liste de sécurité "Default Security List for oketest-vcn"

La différence dans le sous-réseau privé suivant est que la table de routage privée du VCN est utilisée à la place de la table de routage publique. Selon vos besoins, vous pouvez spécifier la table de routage LPG ou la table de routage DRG à la place.

Créer un sous-réseau d'équilibreurs de charge de plan de contrôle privé

Propriété de l'interface utilisateur Web de calcul

Propriété de l'interface de ligne de commande OCI

  • Nom : control-plane-endpoint

  • Bloc CIDR : kmilb_cidr

  • Table de routage : Sélectionnez "vcn_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte DNS dans ce sous-réseau : cochez la case

    • Étiquette DNS : kmilb

  • Listes de sécurité : Sélectionnez "kmilb-seclist" et "Liste de sécurité par défaut pour oketest-vcn" dans la liste

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane-endpoint

  • --cidr-block: kmilb_cidr

  • --dns-label: kmilb

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "vcn_private"

  • --security-list-ids : OCID de la liste de sécurité "kmilb-seclist" et de la liste de sécurité "Default Security List for oketest-vcn"

Étape suivante :

Création d'une grappe OKE