Documentation Oracle Cloud Infrastructure

Création d'un sous-réseau d'équilibreur de charge de plan de contrôle (pod natif VCN)

Découvrez comment créer un sous-réseau d'équilibreur de charge de plan de contrôle pour la mise en réseau de pod natif VCN sur Compute Cloud@Customer.

Créez les ressources suivantes dans l'ordre indiqué :

  1. Liste de sécurité de l'équilibreur de charge du plan de contrôle

  2. Sous-réseau de l'équilibreur de charge du plan de contrôle

Création d'une liste de sécurité d'équilibreur de charge de plan de contrôle

Créez une liste de sécurité. Reportez-vous à la section Creating a Security List. Pour l'entrée Terraform, reportez-vous à Exemples de scripts Terraform (pod natif VCN).

L'équilibreur de charge du plan de contrôle accepte le trafic sur le port 6443, également appelé kubernetes_api_port dans ce guide. Ajustez cette liste de sécurité pour accepter uniquement les connexions à partir desquelles le réseau doit s'exécuter. Le port 6443 doit accepter les connexions des instances de plan de contrôle de cluster et des instances de processus actif.

Dans cet exemple, utilisez l'entrée suivante pour la liste de sécurité du sous-réseau de l'équilibreur de charge du plan de contrôle.

Propriété de la console Compute Cloud@Customer

Propriété de CLI

  • Nom : kmilb-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name : kmilb-seclist

Une règle de sécurité sortante :

  • Sans état : décochez la case

  • CIDR sortant : 0.0.0.0/0

  • Protocole IP : tous les protocole

  • Description : "Autoriser tout le trafic sortant."

Une règle de sécurité sortante :

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description : "Autoriser tout le trafic sortant".

Huit règles de sécurité entrante :

Huit règles de sécurité entrante :

--ingress-security-rules

Règle entrante 1:

  • Sans état : décochez la case

  • CIDR entrant : kube_internal_cidr

    Cette valeur est obligatoire. Ne modifiez pas cette valeur CIDR.

  • Protocole IP : TCP

    • Port de destination - Plage : kubernetes_api_port

  • Description : "Autoriser un conteneur Kubernetes à communiquer avec les API Kubernetes."

Règle entrante 1:

  • isStateless: false

  • source: kube_internal_cidr

    Cette valeur est obligatoire. Ne modifiez pas cette valeur CIDR.

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser un conteneur Kubernetes à communiquer avec les API Kubernetes."

Règle entrante 2:

  • Sans état : décochez la case

  • CIDR entrant : kube_client_cidr

  • Protocole IP : TCP

    • Port de destination : kubernetes_api_port

  • Description : "Autoriser les clients à se connecter au cluster Kubernetes".

Règle entrante 2:

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser les clients à se connecter au cluster Kubernetes".

Règle entrante 3:

  • Sans état : décochez la case

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Port de destination : kubernetes_api_port

  • Description : "Autoriser le plan de contrôle à s'atteindre via l'équilibreur de charge".

Règle entrante 3:

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "autorise le plan de contrôle à s'atteindre via l'équilibreur de charge".

Règle entrante 4:

  • Sans état : décochez la case

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Port de destination - Plage : kubernetes_api_port

  • Description : permet aux noeuds de processus actif de se connecter au cluster via l'équilibreur de charge du plan de contrôle.

Règle entrante 4:

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : permet aux noeuds de processus actif de se connecter au cluster via l'équilibreur de charge du plan de contrôle.

Règle entrante 5:

  • Sans état : décochez la case

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Plage de ports de destination : 12250

  • Description : "Autoriser la communication entre le processus actif Kubernetes et l'adresse d'API Kubernetes via l'équilibreur de charge".

Règle entrante 5:

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description : "Autoriser la communication entre le processus actif Kubernetes et l'adresse d'API Kubernetes via l'équilibreur de charge".

Règle entrante 6:

  • Sans état : décochez la case

  • CIDR entrant : pod_cidr

  • Protocole IP : TCP

    • Plage de ports de destination : 12250

  • Description : "Autoriser les pods Kubernetes à communiquer sur l'adresse d'API Kubernetes via l'équilibreur de charge".

Règle entrante 6:

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description : "Autoriser les pods Kubernetes à communiquer sur l'adresse d'API Kubernetes via l'équilibreur de charge".

Règle entrante 7 : adresse privée

  • Sans état : décochez la case

  • CIDR entrant : kmilb_cidr

  • Protocole IP : TCP

    • Port de destination : kubernetes_api_port

  • Description : "Utilisé pour créer une adresse de plan de contrôle privé".

Règle entrante 7 : adresse privée

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : permet de créer une adresse de plan de contrôle privé.

Règle entrante 8 : adresse publique

  • Sans état : décochez la case

  • CIDR entrant : public_ip_cidr

  • Protocole IP : TCP

    • Port de destination - Plage : kubernetes_api_port

  • Description : permet d'accéder à l'adresse de plan de contrôle à partir du CIDR public. Si vous ne savez pas quel est votre CIDR d'adresse IP publique, ouvrez une demande d'assistance. Reportez-vous à Création d'une demande d'assistance. Pour accéder au support technique, connectez-vous à la console Oracle Cloud comme décrit dans Connexion à la console OCI.

Règle entrante 8 : adresse publique

  • isStateless: false

  • source: public_ip_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : utilisé pour accéder à l'adresse de plan de contrôle à partir du CIDR public. Si vous ne savez pas quel est votre CIDR d'adresse IP publique, ouvrez une demande d'assistance. Reportez-vous à Création d'une demande d'assistance. Pour accéder au support technique, connectez-vous à la console Oracle Cloud comme décrit dans Connexion à la console OCI.

Création du sous-réseau d'équilibreur de charge du plan de contrôle

Créer un sous-réseau. Reportez-vous à Création d'un sous-net. Pour l'entrée Terraform, reportez-vous à Exemples de scripts Terraform (pod natif VCN).

Dans cet exemple, utilisez l'entrée suivante pour créer le sous-réseau d'équilibreur de charge du plan de contrôle. Utilisez l'OCID du VCN créé dans Création d'un VCN (pod natif VCN). Créez le sous-réseau d'équilibreur de charge du plan de contrôle dans le compartiment dans lequel vous avez créé le VCN.

Créez un sous-réseau d'équilibreur de charge de plan de contrôle privé ou public. Créez un sous-réseau d'équilibreur de charge de plan de contrôle public à utiliser avec un cluster public. Créez un sous-réseau d'équilibreur de charge de plan de contrôle privé à utiliser avec un cluster privé.

Reportez-vous à Clusters privés pour plus d'informations sur l'utilisation de passerelles d'appairage local pour connecter un cluster privé à d'autres instances sur Compute Cloud@Customer et sur l'utilisation de passerelles de routage dynamique pour connecter un cluster privé à l'espace d'adressage IP sur site. Pour créer un sous-réseau d'équilibreur de charge de plan de contrôle privé, indiquez l'une des tables de routage suivantes :

  • vcn_private

  • lpg_rt

  • drg_rt

Création d'un sous-réseau d'équilibreur de charge de plan de contrôle public

Propriété de la console Compute Cloud@Customer

Propriété de CLI

  • Nom : control-plane-endpoint

  • Bloc CIDR : kmilb_cidr

  • Table de routage : sélectionnez "public" dans la liste

  • Sous-réseau public : case à cocher

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte de DNS dans ce sous- réseau : cochez la case

    • Étiquette DNS : kmilb

  • Listes de sécurité : Sélectionnez "kmilb-seclist" et "Liste de sécurité par défaut pour oketest-vcn" dans la liste

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane-endpoint

  • --cidr-block: kmilb_cidr

  • --dns-label: kmilb

  • --prohibit-public-ip-on-vnic: false

  • --route-table-id : OCID de la table de routage "public"

  • --security-list-ids : OCID de la liste de sécurité "kmilb-seclist" et de la liste de sécurité "Par défaut pour oketest-vcn".

La différence dans le sous-réseau privé suivant est que la table de routage privée VCN est utilisée à la place de la table de routage publique. En fonction de vos besoins, vous pouvez spécifier la table de routage LPG ou la table de routage DRG à la place.

Création d'un sous-réseau d'équilibreur de charge de plan de contrôle privé

Propriété de la console Compute Cloud@Customer

Propriété de CLI

  • Nom : control-plane-endpoint

  • Bloc CIDR : kmilb_cidr

  • Table de routage : sélectionnez "vcn_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte de DNS dans ce sous- réseau : cochez la case

    • Étiquette DNS : kmilb

  • Listes de sécurité : Sélectionnez "kmilb-seclist" et "Liste de sécurité par défaut pour oketest-vcn" dans la liste

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane-endpoint

  • --cidr-block: kmilb_cidr

  • --dns-label: kmilb

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "vcn_private"

  • --security-list-ids : OCID de la liste de sécurité "kmilb-seclist" et de la liste de sécurité "Par défaut pour oketest-vcn".