Documentation Oracle Cloud Infrastructure

Exemple de configuration de ressource réseau pour un cluster avec des noeuds virtuels

Découvrez comment configurer des ressources réseau pour un cluster avec des noeuds virtuels lorsque vous utilisez OKE (Kubernetes Engine).

Réseau cloud virtuel

Ressource Exemple
VCN
  • Nom : acme-dev-vcn
  • Bloc CIDR : 10.0.0.0/16
  • Résolution DNS : sélectionné
Passerelle Internet
  • Nom : internet-gateway-0
Passerelle NAT
  • Nom :nat-gateway-0
Passerelle de service
  • Nom : service-gateway-0
  • Services : Tous les services <region> dans Oracle Services Network
Options DHCP
  • Type DNS : défini sur Résolveur Internet et de réseau cloud virtuel

Sous-réseaux

Ressource Exemple
Sous-réseau public pour l'adresse d'API Kubernetes

Nom : KubernetesAPIendpoint, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.0.0/28
  • Table de routage : routetable-KubernetesAPIendpoint
  • Accès au sous-réseau : public
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-KubernetesAPIendpoint
Sous-réseau privé pour les noeuds virtuels et les pods

Nom : nodespods, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.10.0/19
  • Table de routage : routetable-nodespods
  • Accès au sous-réseau : privé
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-nodespods
Sous-réseau public pour les équilibreurs de charge de service

Nom : loadbalancers, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.20.0/24
  • Table de routage : routetable-serviceloadbalancers
  • Accès au sous-réseau : public
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-loadbalancers

Tables de routage

Ressource Exemple
Table de routage pour un sous-réseau d'adresse d'API Kubernetes public

Nom : routetable-KubernetesAPIendpoint, avec une règle de routage définie comme suit :

  • Règle pour le trafic vers Internet :
    • Bloc CIDR de destination : 0.0.0.0/0
    • Type de cible : passerelle Internet
    • Cible : internet-gateway-0
Table de routage pour un sous-réseau de pods et de noeuds virtuels privés

Nom : routetable-nodespods, avec deux règles de routage définies comme suit :

  • Règle pour le trafic vers Internet :
    • Bloc CIDR de destination : 0.0.0.0/0
    • Type de cible : passerelle NAT
    • Cible : nat-gateway-0
  • Règle pour le trafic vers les services OCI :
    • Destination : Tous les services <region> dans Oracle Services Network
    • Type de cible : passerelle de service
    • Cible : service-gateway-0
Table de routage pour un sous-réseau d'équilibreurs de charge public

Nom : routetable-serviceloadbalancers, avec une règle de routage définie comme suit :

  • Bloc CIDR de destination : 0.0.0.0/0
  • Type de cible : passerelle Internet
  • Passerelle Internet cible : internet-gateway-0

Règles de liste de sécurité pour un sous-réseau d'adresse d'API Kubernetes public

La liste de sécurité seclist-KubernetesAPIendpoint contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat Source Protocole/Port de destination Description
Avec conservation de statut 0.0.0.0/0 TCP/6443 Accès externe à l'adresse d'API Kubernetes.
Avec conservation de statut 10.0.10.0/19 (CIDR de noeuds/pods) TCP/6443 Communication entre noeud virtuel et adresse d'API Kubernetes.
Avec conservation de statut 10.0.10.0/19 (CIDR de noeuds/pods) TCP/12250 Noeud virtuel pour la communication du plan de contrôle.
Avec conservation de statut 10.0.10.0/19 (CIDR de noeuds/pods) ICMP 3,4 Repérage de chemin.

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut Tous les services <region> dans Oracle Services Network TCP/443 Autorisez l'adresse d'API Kubernetes à communiquer avec les adresses de service OCI régionales.
Avec conservation de statut 10.0.10.0/19 (CIDR de noeuds/pods) TCP/ALL Autorisez l'adresse d'API Kubernetes à communiquer avec les noeuds virtuels.
Avec conservation de statut 10.0.10.0/19 (CIDR de noeuds/pods) ICMP 3,4 Repérage de chemin.

Règles de liste de sécurité pour un sous-réseau de noeuds/pods privés

La liste de sécurité seclist-nodespods contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat : Source Protocole/Port de destination Description :
Avec conservation de statut 10.0.10.0/19 ALL/ALL La communication pod-pod.
Avec conservation de statut 10.0.10.0/19 TOUT / 30000-32767 Trafic de l'équilibreur de charge vers le pod et le trafic du port du noeud de vérification de l'état pour external-traffic-policy=local
Avec conservation de statut 10.0.10.0/19 MODÈLE:TCP/UDP / 10256 Trafic de l'équilibreur de charge vers le port de vérification de l'état pour external-traffic-policy=cluster
Avec conservation de statut 10.0.0.0/28 ICMP 3,4 Repérage de chemin à partir du serveur d'API.
Avec conservation de statut 10.0.0.0/28 TCP/ALL Communication entre le serveur d'API et le noeud virtuel.

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.10.0/19 (CIDR de noeuds/pods) ALL/ALL La communication pod-pod.
Avec conservation de statut 10.0.0.0/28 TCP/6443 Communication entre noeud virtuel/pod et serveur d'API.
Avec conservation de statut 10.0.0.0/28 TCP/12250 Communication entre noeud virtuel/pod et serveur d'API.
Avec conservation de statut 10.0.0.0/28 ICMP 3,4 Repérage de chemin vers le serveur d'API.
Avec conservation de statut Tous les services <region> dans Oracle Services Network TCP/443 Communication entre noeud virtuel/pod et adresses de service OCI régionales.
Avec conservation de statut 0.0.0.0/0 ICMP 3,4 Accès du noeud virtuel/pod au plan de contrôle Kubernetes.
Avec conservation de statut 0.0.0.0/0 ALL/ALL Pod accès à Internet

Règles de liste de sécurité pour un sous-réseau d'équilibreurs de charge public

La liste de sécurité seclist-loadbalancers contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat : Source Protocole/Port de destination Description :
Avec conservation de statut

0.0.0.0/0

TCP / 443/80

 Trafic entrant vers l'équilibreur de charge, en supposant que le port du processus d'écoute est 80/443

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.10.0/19 (CIDR de noeuds/pods) TOUT / 30000-32767 Trafic vers le pod et le trafic du port du noeud de vérification de l'état pour external-traffic-policy=local
Avec conservation de statut 10.0.10.0/19 (CIDR de noeuds/pods) MODÈLE:TCP/UDP / 10256 Trafic vers le port de vérification de l'état pour external-traffic-policy=cluster