Documentation Oracle Cloud Infrastructure

Création d'un sous-réseau de plan de contrôle (pod natif VCN)

Créez les ressources suivantes dans l'ordre indiqué :

  1. Liste de sécurité du plan de contrôle

  2. Sous-réseau de plan de contrôle

Créer une liste de sécurité de plan de contrôle

Créez une liste de sécurité. Reportez-vous à la section Creating a Security List. Pour l'entrée Terraform, reportez-vous à Exemples de scripts Terraform (pod natif VCN).

Dans cet exemple, utilisez l'entrée suivante pour la liste de sécurité du sous-réseau du plan de contrôle. kubernetes_api_port est le port utilisé pour accéder à l'API Kubernetes : port 6443. Voir aussi Workload Cluster Network Ports (VCN-Native Pod).

Propriété de console

Propriété de CLI

  • Nom : kmi-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: kmi-seclist

Une règle de sécurité sortante :

  • Sans conservation de statut : décocher la case

  • CIDR sortant : 0.0.0.0/0

  • Protocole IP : tous les protocole

  • Description : "Autoriser tout le trafic sortant."

Une règle de sécurité sortante :

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description : "Autoriser tout le trafic sortant".

Onze règles de sécurité entrante :

Onze règles de sécurité entrante :

--ingress-security-rules

Règle entrante 1

  • Sans état : décochez la case

  • CIDR entrant : kube_client_cidr

  • Protocole IP : TCP

    • Port de destination - Plage : kubernetes_api_port

  • Description : "Autoriser les clients à communiquer avec l'API Kubernetes".

 Règle entrante 1

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser les clients à communiquer avec l'API Kubernetes".
Règle entrante 2

  • Sans état : décochez la case

  • CIDR entrant : kmilb_cidr

  • Protocole IP : TCP

    • Port de destination - Plage : kubernetes_api_port

  • Description : "Autoriser l'équilibreur de charge à communiquer avec les API de plan de contrôle Kubernetes."

 Règle entrante 2

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "autorise l'équilibreur de charge à communiquer avec les API de plan de contrôle Kubernetes".
Règle entrante 3

  • Sans état : décochez la case

  • CIDR entrant : kmilb_cidr

  • Protocole IP : TCP

    • Plage de ports de destination : 12250

  • Description : "Autoriser la communication de l'adresse d'API de processus actif Kubernetes vers Kubernetes via l'équilibreur de charge du plan de contrôle".

 Règle entrante 3

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description : "Autoriser la communication de l'adresse d'API Kubernetes du processus actif Kubernetes via l'équilibreur de charge du plan de contrôle".
Règle entrante 4

  • Sans état : décochez la case

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Port de destination - Plage : kubernetes_api_port

  • Description : "Autoriser les noeuds de processus actif à accéder à l'API Kubernetes".

 Règle entrante 4

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser les noeuds de processus actif à accéder à l'API Kubernetes".
Règle entrante 5

  • Sans état : décochez la case

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Plage de ports de destination : 12250

  • Description : "Autoriser la communication entre le processus actif de Kubernetes et l'adresse d'API Kubernetes."

 Règle entrante 5

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description : "Autoriser la communication entre l'instance de travail Kubernetes et l'adresse d'API Kubernetes."
Règle entrante 6

  • Sans état : décochez la case

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Port de destination - Plage : kubernetes_api_port

  • Description : "Autoriser le plan de contrôle à s'atteindre."

 Règle entrante 6

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser le plan de contrôle à s'atteindre".
Règle entrante 7

  • Sans état : décochez la case

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Plage de points de destination : 2379-2381

  • Description : permet au plan de contrôle d'atteindre les mesures et les services etcd. Les ports 2379 et 2380 sont utilisés par Kubernetes pour communiquer avec le serveur etcd. Le port 2381 est utilisé par Kubernetes pour collecter des mesures à partir de etcd."

 Règle entrante 7

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 2381

    • min: 2379

  • description : permet au plan de contrôle d'atteindre les mesures et les services etcd. Les ports 2379 et 2380 sont utilisés par Kubernetes pour communiquer avec le serveur etcd. Le port 2381 est utilisé par Kubernetes pour collecter des mesures à partir de etcd."
Règle entrante 8

  • Sans état : décochez la case

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Plage de ports de destination: 10250

  • Description : "Autoriser l'adresse d'API Kubernetes à contrôler la communication de noeud de plan".

 Règle entrante 8

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description : "Autoriser l'adresse d'API Kubernetes à contrôler la communication de noeud de plan".
Règle entrante 9

  • Sans état : décochez la case

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Plage de points de destination : 10257-10260

  • Description : "Autoriser la connexion entrante pour les composants Kubernetes".

 Règle entrante 9

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10260

    • min: 10257

  • description : permet la connexion entrante pour les composants Kubernetes.
Règle entrante 10

  • Sans état : décochez la case

  • CIDR entrant : pod_cidr

  • Protocole IP : TCP

    • Port de destination - Plage : kubernetes_api_port

  • Description : "Autoriser les pods à communiquer avec les API Kubernetes".

 Règle entrante 10

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description : "Autoriser les pods à communiquer avec les API Kubernetes".
Règle entrante 11

  • Sans état : décochez la case

  • CIDR entrant : pod_cidr

  • Protocole IP : TCP

    • Plage de ports de destination: 12250

  • Description : "Autoriser la communication entre les pods Kubernetes et les adresses d'API Kubernetes."

 Règle entrante 11

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description : "Autoriser la communication entre les pods Kubernetes et les adresses d'API Kubernetes".

Création du sous-réseau de plan de contrôle

Créer un sous-réseau. Reportez-vous à Création d'un sous-net. Pour l'entrée Terraform, reportez-vous à Exemples de scripts Terraform (pod natif VCN).

Utilisez l'entrée suivante pour créer le sous-réseau de plan de contrôle. Utilisez l'OCID du VCN créé dans Création d'un VCN (pod natif VCN). Créez le sous-réseau de plan de contrôle dans le compartiment dans lequel vous avez créé le VCN.

Créez un sous-réseau de plan de contrôle privé NAT ou un sous-réseau de plan de contrôle privé VCN. Créez un sous-réseau de plan de contrôle privé NAT pour communiquer en dehors du VCN.

Important

Le nom de ce sous-réseau doit être exactement "contrôle-plan".

Création d'un sous-réseau de plan de contrôle privé de centre de données

Propriété de console

Propriété de CLI

  • Nom : plan de contrôle

  • Bloc CIDR : kmi_cidr

  • Table de routage : sélectionnez "nat_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte de DNS dans ce sous- réseau : cochez la case

    • Etiquette DNS : kmi

  • Listes de sécurité : sélectionnez "kmi-seclist" et "Default Security List for oketest-vcn" dans la liste

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane

  • --cidr-block: kmi_cidr

  • --dns-label: kmi

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "nat_private"

  • --security-list-ids : OCID de la liste de sécurité "kmi-seclist" et de la liste de sécurité "Par défaut pour oketest-vcn".

La différence entre le sous-réseau privé suivant est que la table de routage privée VCN est utilisée à la place de la table de routage privée NAT.

Création d'un sous-réseau de plan de contrôle privé VCN

Propriété de console

Propriété CLI

  • Nom : plan de contrôle

  • Bloc CIDR : kmi_cidr

  • Table de routage : sélectionnez "vcn_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte de DNS dans ce sous- réseau : cochez la case

    • Etiquette DNS : kmi

  • Listes de sécurité : sélectionnez "kmi-seclist" et "Default Security List for oketest-vcn" dans la liste

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane

  • --cidr-block: kmi_cidr

  • --dns-label: kmi

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "vcn_private"

  • --security-list-ids : OCID de la liste de sécurité "kmi-seclist" et de la liste de sécurité "Par défaut pour oketest-vcn".