Documentation Oracle Cloud Infrastructure

Exemples de configuration de ressource réseau

Découvrez des exemples de configuration des ressources réseau en vue de la création et du déploiement de clusters hautement disponibles dans une région comportant trois domaines de disponibilité lorsque vous utilisez Kubernetes Engine (OKE).

Lorsque vous créez un cluster, vous pouvez utiliser le workflow Création rapide pour créer automatiquement des ressources réseau. Vous pouvez également utiliser le workflow Création personnalisée pour indiquer explicitement des ressources réseau existantes. Pour plus d'informations sur les ressources réseau requises, reportez-vous à Configuration de ressources réseau pour la création et le déploiement de clusters.

Cette rubrique donne des exemples de configuration des ressources réseau lors de l'utilisation du workflow Création personnalisée pour créer des clusters hautement disponibles dans une région avec trois domaines de disponibilité :

Un certain nombre de tutoriels de développeur connexes sont disponibles.

Remarque

Les exemples de cette section présentent l'utilisation de règles de sécurité dans les listes de sécurité pour contrôler l'accès aux clusters. Si vous préférez utiliser des groupes de sécurité réseau (recommandés) plutôt que des listes de sécurité, vous pouvez spécifier des règles de sécurité identiques pour les groupes de sécurité réseau.

Exemple 1 : cluster avec un module d'extension CNI de canal, une adresse d'API Kubernetes publique, des noeuds de processus actif privés et des équilibreurs de charge publics

Cet exemple part du principe que l'adresse d'API Kubernetes et les équilibreurs de charge sont accessibles directement à partir d'Internet. Les noeuds de processus actif sont accessibles au sein du réseau cloud virtuel.

Par défaut, une adresse IP privée est affectée à l'adresse d'API Kubernetes. Pour exposer l'adresse d'API Kubernetes sur Internet, effectuez les deux opérations suivantes :

  • Sélectionnez un sous-réseau public pour héberger l'adresse d'API Kubernetes.
  • Indiquez qu'une adresse IP publique doit être affectée à l'adresse d'API Kubernetes (ainsi que l'adresse IP privée).

Cette image montre un exemple de configuration de cluster avec un sous-réseau d'adresse d'API Kubernetes public, un sous-réseau de noeuds de processus actif privé, des sous-réseaux d'équilibreurs de charge publics et un sous-réseau de bastions privés. L'accès aux sous-réseaux est contrôlé respectivement par les listes de sécurité seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers et seclist-Bastion. Ce cluster utilise le module d'extension CNI flannel pour la mise en réseau de pods. Le sous-réseau d'adresse d'API Kubernetes est connecté au plan de contrôle de cluster par une carte d'interface réseau virtuelle. D'autres caractéristiques de cet exemple de configuration sont décrites dans le texte environnant.

Réseau cloud virtuel

Ressource Exemple
VCN
  • Nom : acme-dev-vcn
  • Bloc CIDR : 10.0.0.0/16
  • Résolution DNS : sélectionné
Passerelle Internet
  • Nom : internet-gateway-0
Passerelle NAT
  • Nom :nat-gateway-0
Passerelle de service
  • Nom : service-gateway-0
  • Services : Tous les services <region> dans Oracle Services Network
Options DHCP
  • Type DNS : défini sur Résolveur Internet et de réseau cloud virtuel

Sous-réseaux

Ressource Exemple
Sous-réseau public pour l'adresse d'API Kubernetes

Nom : KubernetesAPIendpoint, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.0.0/30
  • Table de routage : routetable-KubernetesAPIendpoint
  • Accès au sous-réseau : public
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-KubernetesAPIendpoint
Sous-réseau privé pour les noeuds de processus actif

Nom : workernodes, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.1.0/24
  • Table de routage : routetable-workernodes
  • Accès au sous-réseau : privé
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-workernodes
Sous-réseau public pour les équilibreurs de charge de service

Nom : loadbalancers, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.2.0/24
  • Table de routage : routetable-serviceloadbalancers
  • Accès au sous-réseau : public
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-loadbalancers
Sous-réseau privé pour Bastion

Nom : bastion avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.3.0/24
  • Accès au sous-réseau : privé
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-Bastion

Tables de routage

Ressource Exemple
Table de routage pour un sous-réseau d'adresse d'API Kubernetes public

Nom : routetable-KubernetesAPIendpoint, avec une règle de routage définie comme suit :

  • Bloc CIDR de destination : 0.0.0.0/0
  • Type de cible : passerelle Internet
  • Cible : internet-gateway-0
Table de routage pour un sous-réseau de noeuds de processus actif privé

Nom : routetable-workernodes, avec deux règles de routage définies comme suit :

  • Règle pour le trafic vers Internet :
    • Bloc CIDR de destination : 0.0.0.0/0
    • Type de cible : passerelle NAT
    • Cible : nat-gateway-0
  • Règle pour le trafic vers les services OCI :
    • Destination : Tous les services <region> dans Oracle Services Network
    • Type de cible : passerelle de service
    • Cible : service-gateway-0
Table de routage pour un sous-réseau d'équilibreurs de charge public

Nom : routetable-serviceloadbalancers, avec une règle de routage définie comme suit :

  • Bloc CIDR de destination : 0.0.0.0/0
  • Type de cible : passerelle Internet
  • Cible : internet-gateway-0

Règles de liste de sécurité pour un sous-réseau d'adresse d'API Kubernetes public

La liste de sécurité seclist-KubernetesAPIendpoint contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat Source Protocole/Port de destination Description
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/6443 Communication entre le processus actif Kubernetes et l'adresse d'API Kubernetes.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/12250 Communication entre le processus actif Kubernetes et le plan de contrôle.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) ICMP 3,4 Repérage de chemin.
Avec conservation de statut 0.0.0.0/0, CIDR de sous-réseau du bastion ou CIDR spécifique TCP/6443

(Facultatif) Accès externe à l'adresse d'API Kubernetes.

  • 0.0.0.0/0 lorsque la source est Internet, que le sous-réseau est public et qu'une adresse IP publique est affectée à l'adresse d'API
  • CIDR de sous-réseau de bastion lorsque l'accès est effectué via OCI Bastion
  • CIDR spécifique lorsque l'accès est effectué à partir d'un autre CIDR spécifique

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut Tous les services <region> dans Oracle Services Network TCP/ALL Autorise le plan de contrôle Kubernetes à communiquer avec OKE.
Avec conservation de statut Tous les services <region> dans Oracle Services Network ICMP 3,4 Repérage de chemin.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/ALL Autorise le plan de contrôle Kubernetes à communiquer avec les noeuds de processus actif.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) ICMP 3,4 Repérage de chemin.

Règles de liste de sécurité pour un sous-réseau de noeuds de processus actif privé

La liste de sécurité seclist-workernodes contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat : Source Protocole/Port de destination Description :
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) ALL/ALL Autorise les pods sur un noeud de processus actif à communiquer avec les pods sur d'autres noeuds de processus actifs.
Avec conservation de statut 10.0.0.0/30 (CIDR de l'adresse d'API Kubernetes) TCP/ALL Autorise le plan de contrôle Kubernetes à communiquer avec les noeuds de processus actif.
Avec conservation de statut 0.0.0.0/0 ICMP 3,4 Repérage de chemin.
Avec conservation de statut CIDR du sous-réseau du bastion ou CIDR spécifique TCP/22 (Facultatif) Autorise le trafic SSH entrant vers les noeuds gérés.
Avec conservation de statut CIDR de sous-réseau de l'équilibreur de charge TOUT/300000-32767 Ports de noeud d'équilibreur de charge vers noeuds de processus actif.
Avec conservation de statut CIDR de sous-réseau de l'équilibreur de charge TOUT/10256 Autorisez l'équilibreur de charge à communiquer avec kube-proxy sur les noeuds de processus actif.

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) ALL/ALL Autorise les pods sur un noeud de processus actif à communiquer avec les pods sur d'autres noeuds de processus actifs.
Avec conservation de statut 0.0.0.0/0 ICMP 3,4 Repérage de chemin.
Avec conservation de statut Tous les services <region> dans Oracle Services Network TCP/ALL Autorise les noeuds de processus actif à communiquer avec OKE.
Avec conservation de statut 10.0.0.0/30 (CIDR de l'adresse d'API Kubernetes) TCP/6443 Communication entre le processus actif Kubernetes et l'adresse d'API Kubernetes.
Avec conservation de statut 10.0.0.0/30 (CIDR de l'adresse d'API Kubernetes) TCP/12250 Communication entre le processus actif Kubernetes et le plan de contrôle.
Avec conservation de statut 0.0.0.0/0 TCP/ALL (Facultatif) Autorise les noeuds de processus actif à communiquer avec Internet.

Règles de liste de sécurité pour un sous-réseau d'équilibreurs de charge public

La liste de sécurité seclist-loadbalancers contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat : Source Protocole/Port de destination Description :
Avec conservation de statut

Spécifique à l'application (Internet ou CIDR spécifique)

Spécifique à l'application (par exemple, TCP, UDP - 443, 8080)

 (Facultatif) Port et protocole de processus d'écoute d'équilibreur de charge. Personnalisez-le si nécessaire.

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TOUT/300000-32767 Ports de noeud d'équilibreur de charge vers noeuds de processus actif.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TOUT/10256 Autorisez l'équilibreur de charge à communiquer avec kube-proxy sur les noeuds de processus actif.

Règles de liste de sécurité pour un sous-réseau de bastions privé

La liste de sécurité seclist-Bastion contient les règles entrantes et sortantes indiquées ici.

Règles entrantes : aucune

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.0.0/30 (CIDR de l'adresse d'API Kubernetes) TCP/6443

(Facultatif) Autorisez le bastion à accéder à l'adresse d'API Kubernetes.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/22 (Facultatif) Autorise le trafic SSH vers les noeuds de processus actif.

Exemple 2 : cluster avec un module d'extension CNI de canal, une adresse d'API Kubernetes privée, des noeuds de processus actif privés et des équilibreurs de charge publics

Cet exemple part du principe que seuls les équilibreurs de charge sont accessibles directement à partir d'Internet. L'adresse d'API Kubernetes et les noeuds de processus actif sont accessibles au sein du réseau cloud virtuel.

Cette image montre un exemple de configuration de cluster avec un sous-réseau d'adresse d'API Kubernetes privé, un sous-réseau de noeuds de processus actif privé, des sous-réseaux d'équilibreurs de charge publics et un sous-réseau de bastions privés. L'accès aux sous-réseaux est contrôlé respectivement par les listes de sécurité seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers et seclist-Bastion. Ce cluster utilise le module d'extension CNI flannel pour la mise en réseau de pods. Le sous-réseau d'adresse d'API Kubernetes est connecté au plan de contrôle de cluster par une carte d'interface réseau virtuelle. D'autres caractéristiques de cet exemple de configuration sont décrites dans le texte environnant.

Réseau cloud virtuel

Ressource Exemple
VCN
  • Nom : acme-dev-vcn
  • Bloc CIDR : 10.0.0.0/16
  • Résolution DNS : sélectionné
Passerelle Internet
  • Nom : internet-gateway-0
Passerelle NAT
  • Nom :nat-gateway-0
Passerelle de service
  • Nom : service-gateway-0
  • Services : Tous les services <region> dans Oracle Services Network
Options DHCP
  • Type DNS : défini sur Résolveur Internet et de réseau cloud virtuel

Sous-réseaux

Ressource Exemple
Sous-réseau privé pour l'adresse d'API Kubernetes

Nom : KubernetesAPIendpoint, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.0.0/30
  • Table de routage : routetable-KubernetesAPIendpoint
  • Accès au sous-réseau : privé
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-KubernetesAPIendpoint
Sous-réseau privé pour les noeuds de processus actif

Nom : workernodes, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.1.0/24
  • Table de routage : routetable-workernodes
  • Accès au sous-réseau : privé
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-workernodes
Sous-réseau public pour les équilibreurs de charge de service

Nom : loadbalancers, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.2.0/24
  • Table de routage : routetable-serviceloadbalancers
  • Accès au sous-réseau : public
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-loadbalancers
Sous-réseau privé pour Bastion

Nom : bastion avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.3.0/24
  • Accès au sous-réseau : privé
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-Bastion

Tables de routage

Ressource Exemple
Table de routage pour un sous-réseau d'adresse d'API Kubernetes privé

Nom : routetable-KubernetesAPIendpoint, avec une règle de routage définie comme suit :

  • Règle pour le trafic vers Internet :
    • Bloc CIDR de destination : 0.0.0.0/0
    • Type de cible : passerelle NAT
    • Cible : nat-gateway-0
  • Règle pour le trafic vers les services OCI :
    • Destination : Tous les services <region> dans Oracle Services Network
    • Type de cible : passerelle de service
    • Cible : service-gateway-0
Table de routage pour un sous-réseau de noeuds de processus actif privé

Nom : routetable-workernodes, avec deux règles de routage définies comme suit :

  • Règle pour le trafic vers Internet :
    • Bloc CIDR de destination : 0.0.0.0/0
    • Type de cible : passerelle NAT
    • Cible : nat-gateway-0
  • Règle pour le trafic vers les services OCI :
    • Destination : Tous les services <region> dans Oracle Services Network
    • Type de cible : passerelle de service
    • Cible : service-gateway-0
Table de routage pour un sous-réseau d'équilibreurs de charge public

Nom : routetable-serviceloadbalancers, avec une règle de routage définie comme suit :

  • Bloc CIDR de destination : 0.0.0.0/0
  • Type de cible : passerelle Internet
  • Cible : internet-gateway-0

Règles de liste de sécurité pour un sous-réseau d'adresse d'API Kubernetes privé

La liste de sécurité seclist-KubernetesAPIendpoint contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat Source Protocole/Port de destination Description
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/6443 Communication entre le processus actif Kubernetes et l'adresse d'API Kubernetes.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/12250 Communication entre le processus actif Kubernetes et le plan de contrôle.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) ICMP 3,4 Repérage de chemin.
Avec conservation de statut 0.0.0.0/0, CIDR de sous-réseau du bastion ou CIDR spécifique TCP/6443

(Facultatif) Accès externe à l'adresse d'API Kubernetes.

  • 0.0.0.0/0 lorsque la source est Internet, que le sous-réseau est public et qu'une adresse IP publique est affectée à l'adresse d'API
  • CIDR de sous-réseau de bastion lorsque l'accès est effectué via OCI Bastion
  • CIDR spécifique lorsque l'accès est effectué à partir d'un autre CIDR spécifique

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut

Tous les services <region> dans Oracle Services Network

 TCP/ALL Autorise le plan de contrôle Kubernetes à communiquer avec OKE.
Avec conservation de statut Tous les services <region> dans Oracle Services Network ICMP 3,4 Repérage de chemin.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/ALL Autorise le plan de contrôle Kubernetes à communiquer avec les noeuds de processus actif.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) ICMP 3,4 Repérage de chemin.

Règles de liste de sécurité pour un sous-réseau de noeuds de processus actif privé

La liste de sécurité seclist-workernodes contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat : Source Protocole/Port de destination Description :
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) ALL/ALL Autorise les pods sur un noeud de processus actif à communiquer avec les pods sur d'autres noeuds de processus actifs.
Avec conservation de statut 10.0.0.0/30 (CIDR de l'adresse d'API Kubernetes) TCP/ALL Autorise le plan de contrôle Kubernetes à communiquer avec les noeuds de processus actif.
Avec conservation de statut 0.0.0.0/0 ICMP 3,4 Repérage de chemin.
Avec conservation de statut CIDR du sous-réseau du bastion ou CIDR spécifique TCP/22 (Facultatif) Autorise le trafic SSH entrant vers les noeuds gérés.
Avec conservation de statut CIDR de sous-réseau de l'équilibreur de charge TOUT/300000-32767 Ports de noeud d'équilibreur de charge vers noeuds de processus actif.
Avec conservation de statut CIDR de sous-réseau de l'équilibreur de charge TOUT/10256 Autorisez l'équilibreur de charge à communiquer avec kube-proxy sur les noeuds de processus actif.

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) ALL/ALL Autorise les pods sur un noeud de processus actif à communiquer avec les pods sur d'autres noeuds de processus actifs.
Avec conservation de statut Tous les services <region> dans Oracle Services Network TCP/ALL Autorise les noeuds de processus actif à communiquer avec OKE.
Avec conservation de statut 10.0.0.0/30 (CIDR de l'adresse d'API Kubernetes) TCP/6443 Communication entre le processus actif Kubernetes et l'adresse d'API Kubernetes.
Avec conservation de statut 10.0.0.0/30 (CIDR de l'adresse d'API Kubernetes) TCP/12250 Communication entre le processus actif Kubernetes et le plan de contrôle.
Avec conservation de statut 0.0.0.0/0 TCP/ALL (Facultatif) Autorise les noeuds de processus actif à communiquer avec Internet.

Règles de liste de sécurité pour un sous-réseau d'équilibreurs de charge public

La liste de sécurité seclist-loadbalancers contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat : Source Protocole/Port de destination Description :
Avec conservation de statut

Spécifique à l'application (Internet ou CIDR spécifique)

Spécifique à l'application (par exemple, TCP, UDP - 443, 8080)

 (Facultatif) Port et protocole de processus d'écoute d'équilibreur de charge. Personnalisez-le si nécessaire.

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TOUT/300000-32767 Ports de noeud d'équilibreur de charge vers noeuds de processus actif.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TOUT/10256 Autorisez l'équilibreur de charge à communiquer avec kube-proxy sur les noeuds de processus actif.

Règles de liste de sécurité pour un sous-réseau de bastions privé

La liste de sécurité seclist-Bastion contient les règles entrantes et sortantes indiquées ici.

Règles entrantes : aucune

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.0.0/30 (CIDR de l'adresse d'API Kubernetes) TCP/6443

(Facultatif) Autorisez le bastion à accéder à l'adresse d'API Kubernetes.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/22 (Facultatif) Autorise le trafic SSH vers les noeuds de processus actif.

Exemple 3 : cluster avec le module d'extension CNI OCI, l'adresse d'API Kubernetes publique, les noeuds de processus actif privés et les équilibreurs de charge publics

Cet exemple part du principe que l'adresse d'API Kubernetes et les équilibreurs de charge sont accessibles directement à partir d'Internet. Les noeuds de processus actif sont accessibles au sein du réseau cloud virtuel.

Par défaut, une adresse IP privée est affectée à l'adresse d'API Kubernetes. Pour exposer l'adresse d'API Kubernetes sur Internet, effectuez les deux opérations suivantes :

  • Sélectionnez un sous-réseau public pour héberger l'adresse d'API Kubernetes.
  • Indiquez qu'une adresse IP publique doit être affectée à l'adresse d'API Kubernetes (ainsi que l'adresse IP privée).

Cette image montre un exemple de configuration de cluster avec un sous-réseau d'adresse d'API Kubernetes public, un sous-réseau de noeuds de processus actif privé, des sous-réseaux d'équilibreurs de charge publics, un sous-réseau de pods privés et un sous-réseau de bastions privés. L'accès aux sous-réseaux est contrôlé respectivement par les listes de sécurité seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers, seclist-pods et seclist-Bastion. Ce cluster utilise le module d'extension CNI OCI pour la mise en réseau de pod. Le sous-réseau d'adresse d'API Kubernetes est connecté au plan de contrôle de cluster par une carte d'interface réseau virtuelle. D'autres caractéristiques de cet exemple de configuration sont décrites dans le texte environnant.

Réseau cloud virtuel

Ressource Exemple
VCN
  • Nom : acme-dev-vcn
  • Bloc CIDR : 10.0.0.0/16
  • Résolution DNS : sélectionné
Passerelle Internet
  • Nom : internet-gateway-0
Passerelle NAT
  • Nom :nat-gateway-0
Passerelle de service
  • Nom : service-gateway-0
  • Services : Tous les services <region> dans Oracle Services Network
Options DHCP
  • Type DNS : défini sur Résolveur Internet et de réseau cloud virtuel

Sous-réseaux

Ressource Exemple
Sous-réseau public pour l'adresse d'API Kubernetes

Nom : KubernetesAPIendpoint, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.0.0/29
  • Table de routage : routetable-KubernetesAPIendpoint
  • Accès au sous-réseau : public
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-KubernetesAPIendpoint
Sous-réseau privé pour les noeuds de processus actif

Nom : workernodes, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.1.0/24
  • Table de routage : routetable-workernodes
  • Accès au sous-réseau : privé
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-workernodes
Sous-réseau privé pour les pods

Nom : pods, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.32.0/19
  • Table de routage : routetable-pods
  • Accès au sous-réseau : privé
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-pods
Sous-réseau public pour les équilibreurs de charge de service

Nom : loadbalancers, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.2.0/24
  • Table de routage : routetable-serviceloadbalancers
  • Accès au sous-réseau : public
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-loadbalancers
Sous-réseau privé pour Bastion

Nom : bastion avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.3.0/24
  • Accès au sous-réseau : privé
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-Bastion

Tables de routage

Ressource Exemple
Table de routage pour un sous-réseau d'adresse d'API Kubernetes public

Nom : routetable-KubernetesAPIendpoint, avec une règle de routage définie comme suit :

  • Bloc CIDR de destination : 0.0.0.0/0
  • Type de cible : passerelle Internet
  • Cible : internet-gateway-0
Table de routage pour un sous-réseau de noeuds de processus actif privé

Nom : routetable-workernodes, avec une règle de routage définie comme suit :

  • Destination : Tous les services <region> dans Oracle Services Network
  • Type de cible : passerelle de service
  • Cible : service-gateway-0
Table de routage pour sous-réseau de pods privés

Nom : routetable-pods, avec deux règles de routage définies comme suit :

  • Règle pour le trafic vers Internet :
    • Bloc CIDR de destination : 0.0.0.0/0
    • Type de cible : passerelle NAT
    • Cible : nat-gateway-0
  • Règle pour le trafic vers les services OCI :
    • Destination : Tous les services <region> dans Oracle Services Network
    • Type de cible : passerelle de service
    • Cible : service-gateway-0
Table de routage pour un sous-réseau d'équilibreurs de charge public

Nom : routetable-serviceloadbalancers, avec une règle de routage définie comme suit :

  • Bloc CIDR de destination : 0.0.0.0/0
  • Type de cible : passerelle Internet
  • Cible : internet-gateway-0

Règles de liste de sécurité pour un sous-réseau d'adresse d'API Kubernetes public

La liste de sécurité seclist-KubernetesAPIendpoint contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat Source Protocole/Port de destination Description
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/6443 Communication entre le processus actif Kubernetes et l'adresse d'API Kubernetes.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/12250 Communication entre le processus actif Kubernetes et l'adresse d'API Kubernetes.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) ICMP 3,4 Repérage de chemin.
Avec conservation de statut 10.0.32.0/19 (CIDR de pods) TCP/6443 Communication d'adresse d'API de pod vers Kubernetes (lors de l'utilisation d'un réseau de pod natif VCN).
Avec conservation de statut 10.0.32.0/19 (CIDR de pods) TCP/12250 Communication d'adresse d'API de pod vers Kubernetes (lors de l'utilisation d'un réseau de pod natif VCN).
Avec conservation de statut 0.0.0.0/0, CIDR de sous-réseau du bastion ou CIDR spécifique TCP/6443

(Facultatif) Accès externe à l'adresse d'API Kubernetes.

  • 0.0.0.0/0 lorsque la source est Internet, que le sous-réseau est public et qu'une adresse IP publique est affectée à l'adresse d'API
  • CIDR de sous-réseau de bastion lorsque l'accès est effectué via OCI Bastion
  • CIDR spécifique lorsque l'accès est effectué à partir d'un autre CIDR spécifique

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut Tous les services <region> dans Oracle Services Network TCP/ALL Autorisez l'adresse d'API Kubernetes à communiquer avec OKE.
Avec conservation de statut Tous les services <region> dans Oracle Services Network ICMP 3,4 Repérage de chemin.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/10250 Autorisez l'adresse d'API Kubernetes à communiquer avec les noeuds de processus actif.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) ICMP 3,4 Repérage de chemin.
Avec conservation de statut 10.0.32.0/19 (CIDR de pods) ALL/ALL Autorisez l'adresse d'API Kubernetes à communiquer avec les pods (lors de l'utilisation d'un réseau de pod natif VCN).

Règles de liste de sécurité pour un sous-réseau de noeuds de processus actif privé

La liste de sécurité seclist-workernodes contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat : Source Protocole/Port de destination Description :
Avec conservation de statut 10.0.0.0/29 (CIDR de l'adresse d'API Kubernetes) TCP/10250 Autorisez l'adresse d'API Kubernetes à communiquer avec les noeuds de processus actif.
Avec conservation de statut 0.0.0.0/0 ICMP 3,4 Repérage de chemin.
Avec conservation de statut CIDR du sous-réseau du bastion ou CIDR spécifique TCP/22 (Facultatif) Autorise le trafic SSH entrant vers les noeuds gérés.
Avec conservation de statut CIDR de sous-réseau de l'équilibreur de charge TOUT/300000-32767 Ports de noeud d'équilibreur de charge vers noeuds de processus actif.
Avec conservation de statut CIDR de sous-réseau de l'équilibreur de charge TOUT/10256 Autorisez l'équilibreur de charge à communiquer avec kube-proxy sur les noeuds de processus actif.

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.32.0/19 (CIDR de pods) ALL/ALL Autoriser les noeuds de processus actif à accéder aux pods.
Avec conservation de statut 0.0.0.0/0 ICMP 3,4 Repérage de chemin.
Avec conservation de statut Tous les services <region> dans Oracle Services Network TCP/ALL Autorise les noeuds de processus actif à communiquer avec OKE.
Avec conservation de statut 10.0.0.0/29 (CIDR de l'adresse d'API Kubernetes) TCP/6443 Communication entre le processus actif Kubernetes et l'adresse d'API Kubernetes.
Avec conservation de statut 10.0.0.0/29 (CIDR de l'adresse d'API Kubernetes) TCP/12250 Communication entre le processus actif Kubernetes et l'adresse d'API Kubernetes.

Règles de liste de sécurité pour un sous-réseau de pods privés

La liste de sécurité seclist-pods contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat : Source Protocole/Port de destination Description :
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) ALL/ALL Autoriser les noeuds de processus actif à accéder aux pods.
Avec conservation de statut 10.0.0.0/29 (CIDR de l'adresse d'API Kubernetes) ALL/ALL Autoriser l'adresse d'API Kubernetes à communiquer avec les pods.
Avec conservation de statut 10.0.32.0/19 (CIDR de pods) ALL/ALL Permettre aux pods de communiquer avec d'autres pods.

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.32.0/19 (CIDR de pods) ALL/ALL Permettre aux pods de communiquer avec d'autres pods.
Avec conservation de statut Tous les services <region> dans Oracle Services Network

ICMP 3,4

 Repérage de chemin.
Avec conservation de statut Tous les services <region> dans Oracle Services Network

TCP/ALL

 Autorisez les pods à communiquer avec les services OCI.
Avec conservation de statut 0.0.0.0/0

TCP/443

 (Facultatif) Autoriser les pods à communiquer avec Internet.
Avec conservation de statut 10.0.0.0/29 (CIDR de l'adresse d'API Kubernetes) TCP/6443 Communication d'adresse d'API de pod vers Kubernetes (lors de l'utilisation d'un réseau de pod natif VCN).
Avec conservation de statut 10.0.0.0/29 (CIDR de l'adresse d'API Kubernetes) TCP/12250 Communication d'adresse d'API de pod vers Kubernetes (lors de l'utilisation d'un réseau de pod natif VCN).

Règles de liste de sécurité pour un sous-réseau d'équilibreurs de charge public

La liste de sécurité seclist-loadbalancers contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat : Source Protocole/Port de destination Description :
Avec conservation de statut

Spécifique à l'application (Internet ou CIDR spécifique)

Spécifique à l'application (par exemple, TCP, UDP - 443, 8080)

 (Facultatif) Port et protocole de processus d'écoute d'équilibreur de charge. Personnalisez-le si nécessaire.

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TOUT/300000-32767 Ports de noeud d'équilibreur de charge vers noeuds de processus actif.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TOUT/10256 Autorisez l'équilibreur de charge à communiquer avec kube-proxy sur les noeuds de processus actif.

Règles de liste de sécurité pour un sous-réseau de bastions privé

La liste de sécurité seclist-Bastion contient les règles entrantes et sortantes indiquées ici.

Règles entrantes : aucune

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.0.0/29 (CIDR de l'adresse d'API Kubernetes) TCP/6443

(Facultatif) Autorisez le bastion à accéder à l'adresse d'API Kubernetes.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/22 (Facultatif) Autorise le trafic SSH vers les noeuds de processus actif.

Exemple 4 : cluster avec le module d'extension CNI OCI, l'adresse d'API Kubernetes privée, les noeuds de processus actif privés et les équilibreurs de charge publics

Cet exemple part du principe que seuls les équilibreurs de charge sont accessibles directement à partir d'Internet. L'adresse d'API Kubernetes et les noeuds de processus actif sont accessibles au sein du réseau cloud virtuel.

Cette image présente un exemple de configuration de cluster avec un sous-réseau d'adresse d'API Kubernetes privé, un sous-réseau de noeud de processus actif privé, des sous-réseaux d'équilibreur de charge publics, un sous-réseau de pods privés et un sous-réseau de bastion privé. L'accès aux sous-réseaux est contrôlé respectivement par les listes de sécurité seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers, seclist-pods et seclist-Bastion. Ce cluster utilise le module d'extension CNI OCI pour la mise en réseau de pod. Le sous-réseau d'adresse d'API Kubernetes est connecté au plan de contrôle de cluster par une carte d'interface réseau virtuelle. D'autres caractéristiques de cet exemple de configuration sont décrites dans le texte environnant.

Réseau cloud virtuel

Ressource Exemple
VCN
  • Nom : acme-dev-vcn
  • Bloc CIDR : 10.0.0.0/16
  • Résolution DNS : sélectionné
Passerelle Internet
  • Nom : internet-gateway-0
Passerelle NAT
  • Nom :nat-gateway-0
Passerelle de service
  • Nom : service-gateway-0
  • Services : Tous les services <region> dans Oracle Services Network
Options DHCP
  • Type DNS : défini sur Résolveur Internet et de réseau cloud virtuel

Sous-réseaux

Ressource Exemple
Sous-réseau privé pour l'adresse d'API Kubernetes

Nom : KubernetesAPIendpoint, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.0.0/29
  • Table de routage : routetable-KubernetesAPIendpoint
  • Accès au sous-réseau : privé
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-KubernetesAPIendpoint
Sous-réseau privé pour les noeuds de processus actif

Nom : workernodes, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.1.0/24
  • Table de routage : routetable-workernodes
  • Accès au sous-réseau : privé
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-workernodes
Sous-réseau privé pour les pods

Nom : pods, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.32.0/19
  • Table de routage : routetable-pods
  • Accès au sous-réseau : privé
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-pods
Sous-réseau public pour les équilibreurs de charge de service

Nom : loadbalancers, avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.2.0/24
  • Table de routage : routetable-serviceloadbalancers
  • Accès au sous-réseau : public
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-loadbalancers
Sous-réseau privé pour Bastion

Nom : bastion avec les propriétés suivantes :

  • Type : Régional
  • Bloc CIDR : 10.0.3.0/24
  • Accès au sous-réseau : privé
  • Résolution DNS : sélectionné
  • Options DHCP : par défaut
  • Liste de sécurité : seclist-Bastion

Tables de routage

Ressource Exemple
Table de routage pour un sous-réseau d'adresse d'API Kubernetes privé

Nom : routetable-KubernetesAPIendpoint, avec une règle de routage définie comme suit :

  • Règle pour le trafic vers Internet :
    • Bloc CIDR de destination : 0.0.0.0/0
    • Type de cible : passerelle NAT
    • Cible : nat-gateway-0
  • Règle pour le trafic vers les services OCI :
    • Destination : Tous les services <region> dans Oracle Services Network
    • Type de cible : passerelle de service
    • Cible : service-gateway-0
Table de routage pour un sous-réseau de noeuds de processus actif privé

Nom : routetable-workernodes, avec une règle de routage définie comme suit :

  • Destination : Tous les services <region> dans Oracle Services Network
  • Type de cible : passerelle de service
  • Cible : service-gateway-0
Table de routage pour sous-réseau de pods privés

Nom : routetable-pods, avec deux règles de routage définies comme suit :

  • Règle pour le trafic vers Internet :
    • Bloc CIDR de destination : 0.0.0.0/0
    • Type de cible : passerelle NAT
    • Cible : nat-gateway-0
  • Règle pour le trafic vers les services OCI :
    • Destination : Tous les services <region> dans Oracle Services Network
    • Type de cible : passerelle de service
    • Cible : service-gateway-0
Table de routage pour un sous-réseau d'équilibreurs de charge public

Nom : routetable-serviceloadbalancers, avec une règle de routage définie comme suit :

  • Bloc CIDR de destination : 0.0.0.0/0
  • Type de cible : passerelle Internet
  • Passerelle Internet cible : internet-gateway-0

Règles de liste de sécurité pour un sous-réseau d'adresse d'API Kubernetes privé

La liste de sécurité seclist-KubernetesAPIendpoint contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat Source Protocole/Port de destination Description
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/6443 Communication entre le processus actif Kubernetes et l'adresse d'API Kubernetes.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/12250 Communication entre le processus actif Kubernetes et l'adresse d'API Kubernetes.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) ICMP 3,4 Repérage de chemin.
Avec conservation de statut 10.0.32.0/19 (CIDR de pods) TCP/6443 Communication d'adresse d'API de pod vers Kubernetes (lors de l'utilisation d'un réseau de pod natif VCN).
Avec conservation de statut 10.0.32.0/19 (CIDR de pods) TCP/12250 Communication d'adresse d'API de pod vers Kubernetes (lors de l'utilisation d'un réseau de pod natif VCN).
Avec conservation de statut CIDR du sous-réseau du bastion ou CIDR spécifique TCP/6443

(Facultatif) Accès externe à l'adresse d'API Kubernetes.

  • CIDR de sous-réseau de bastion lorsque l'accès est effectué via OCI Bastion
  • CIDR spécifique lorsque l'accès est effectué à partir d'un autre CIDR spécifique

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut

Tous les services <region> dans Oracle Services Network

 TCP/ALL Autorisez l'adresse d'API Kubernetes à communiquer avec OKE.
Avec conservation de statut Tous les services <region> dans Oracle Services Network ICMP 3,4 Repérage de chemin.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/10250 Autorisez l'adresse d'API Kubernetes à communiquer avec les noeuds de processus actif.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) ICMP 3,4 Repérage de chemin.
Avec conservation de statut 10.0.32.0/19 (CIDR de pods) ALL/ALL Autoriser l'adresse d'API Kubernetes à communiquer avec les pods.

Règles de liste de sécurité pour un sous-réseau de noeuds de processus actif privé

La liste de sécurité seclist-workernodes contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat : Source Protocole/Port de destination Description :
Avec conservation de statut 10.0.0.0/29 (CIDR de l'adresse d'API Kubernetes) TCP/10250 Autorisez l'adresse d'API Kubernetes à communiquer avec les noeuds de processus actif.
Avec conservation de statut 0.0.0.0/0 ICMP 3,4 Repérage de chemin.
Avec conservation de statut CIDR du sous-réseau du bastion ou CIDR spécifique TCP/22 (Facultatif) Autorise le trafic SSH entrant vers les noeuds gérés.
Avec conservation de statut CIDR de sous-réseau de l'équilibreur de charge TOUT/300000-32767 Ports de noeud d'équilibreur de charge vers noeuds de processus actif.
Avec conservation de statut CIDR de sous-réseau de l'équilibreur de charge TOUT/10256 Autorisez l'équilibreur de charge à communiquer avec kube-proxy sur les noeuds de processus actif.

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.32.0/19 (CIDR de pods) ALL/ALL Autoriser les noeuds de processus actif à accéder aux pods.
Avec conservation de statut 0.0.0.0/0 ICMP 3,4 Repérage de chemin.
Avec conservation de statut Tous les services <region> dans Oracle Services Network TCP/ALL Autorise les noeuds de processus actif à communiquer avec OKE.
Avec conservation de statut 10.0.0.0/29 (CIDR de l'adresse d'API Kubernetes) TCP/6443 Communication entre le processus actif Kubernetes et l'adresse d'API Kubernetes.
Avec conservation de statut 10.0.0.0/29 (CIDR de l'adresse d'API Kubernetes) TCP/12250 Communication entre le processus actif Kubernetes et l'adresse d'API Kubernetes.

Règles de liste de sécurité pour un sous-réseau de pods privés

La liste de sécurité seclist-pods contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat : Source Protocole/Port de destination Description :
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) ALL/ALL Autoriser les noeuds de processus actif à accéder aux pods.
Avec conservation de statut 10.0.0.0/29 (CIDR de l'adresse d'API Kubernetes) ALL/ALL Autoriser l'adresse d'API Kubernetes à communiquer avec les pods.
Avec conservation de statut 10.0.32.0/19 (CIDR de pods) ALL/ALL Permettre aux pods de communiquer avec d'autres pods.

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.32.0/19 (CIDR de pods) ALL/ALL Permettre aux pods de communiquer avec d'autres pods.
Avec conservation de statut Tous les services <region> dans Oracle Services Network

ICMP 3,4

 Repérage de chemin.
Avec conservation de statut Tous les services <region> dans Oracle Services Network

TCP/ALL

 Autorisez les pods à communiquer avec les services OCI.
Avec conservation de statut 0.0.0.0/0

TCP/443

 (Facultatif) Autoriser les pods à communiquer avec Internet.
Avec conservation de statut 10.0.0.0/29 (CIDR de l'adresse d'API Kubernetes) TCP/6443 Communication d'adresse d'API de pod vers Kubernetes (lors de l'utilisation d'un réseau de pod natif VCN).
Avec conservation de statut 10.0.0.0/29 (CIDR de l'adresse d'API Kubernetes) TCP/12250 Communication d'adresse d'API de pod vers Kubernetes (lors de l'utilisation d'un réseau de pod natif VCN).

Règles de liste de sécurité pour un sous-réseau d'équilibreurs de charge public

La liste de sécurité seclist-loadbalancers contient les règles entrantes et sortantes indiquées ici.

Règles entrantes :

Etat : Source Protocole/Port de destination Description :
Avec conservation de statut

Spécifique à l'application (Internet ou CIDR spécifique)

Spécifique à l'application (par exemple, TCP, UDP - 443, 8080)

 (Facultatif) Port et protocole de processus d'écoute d'équilibreur de charge. Personnalisez-le si nécessaire.

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TOUT/300000-32767 Ports de noeud d'équilibreur de charge vers noeuds de processus actif.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TOUT/10256 Autorisez l'équilibreur de charge à communiquer avec kube-proxy sur les noeuds de processus actif.

Règles de liste de sécurité pour un sous-réseau de bastions privé

La liste de sécurité seclist-Bastion contient les règles entrantes et sortantes indiquées ici.

Règles entrantes : aucune

Règles sortantes :

Etat : Destination Protocole/Port de destination Description :
Avec conservation de statut 10.0.0.0/29 (CIDR de l'adresse d'API Kubernetes) TCP/6443

(Facultatif) Autorisez le bastion à accéder à l'adresse d'API Kubernetes.
Avec conservation de statut 10.0.1.0/24 (CIDR des noeuds de processus actif) TCP/22 (Facultatif) Autorise le trafic SSH vers les noeuds de processus actif.