Documentation Oracle Cloud Infrastructure

Création d'un sous-réseau de pod (pod natif VCN)

Les instructions de cette rubrique créent un sous-réseau de pod nommé "pod" dans le VCN qui fournit les adresses IP privées pour les pods exécutés sur les noeuds de plan de contrôle. Le nombre d'adresses IP dans ce sous-réseau doit être supérieur ou égal au nombre d'adresses IP dans le sous-réseau du plan de contrôle. Le sous-réseau de pod doit être privé.

Le sous-réseau de pod prend en charge la communication entre les pods et l'accès direct à des pods individuels à l'aide d'adresses IP de pod privé. Le sous-réseau de pod doit être privé. Le sous-réseau de pod permet aux pods de communiquer avec d'autres pods sur le même noeud de processus actif, avec des pods sur d'autres noeuds de processus actif, avec les services OCI (via une passerelle de service) et avec Internet (via une passerelle NAT).

Créez les ressources suivantes dans l'ordre indiqué :

  1. Liste de sécurité de pod

  2. Sous-réseau de pod

Créer une liste de sécurité de pod

Créez une liste de sécurité. Reportez-vous à la section Creating a Security List. Pour l'entrée Terraform, reportez-vous à Exemples de scripts Terraform (pod natif VCN).

Les règles de sécurité indiquées dans le tableau suivant définissent le trafic autorisé à contacter directement les pods. Utilisez ces règles de sécurité dans le cadre de groupes de sécurité réseau ou de listes de sécurité. Nous vous recommandons d'utiliser des groupes de sécurité réseau.

Les règles de sécurité s'appliquent à tous les pods de tous les noeuds de processus actif connectés au sous-réseau de pod indiqué pour un pool de noeuds.

Acheminez les demandes entrantes vers les pods en fonction des stratégies de routage indiquées par les règles de routage et les tables de routage. Reportez-vous aux tables de routage définies dans Création d'un VCN (pod natif VCN).

Dans cet exemple, utilisez l'entrée suivante pour la liste de sécurité du sous-réseau de pod.

Propriété de console

Propriété de CLI

  • Nom : pod-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: pod-seclist

Une règle de sécurité sortante :

  • Sans conservation de statut : décocher la case

  • CIDR sortant : 0.0.0.0/0

  • Protocole IP : tous les protocole

  • Description : "Autoriser tout le trafic sortant."

Une règle de sécurité sortante :

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description : "Autoriser tout le trafic sortant".

Huit règles de sécurité entrante :

Huit règles de sécurité entrante :

--ingress-security-rules

Règle entrante 1

  • Sans conservation de statut : décocher la case

  • CIDR entrant : vcn_cidr

  • Protocole IP : TCP

    • Plage de ports de destination: 22

  • Description : "Autoriser la connexion SSH au sous-réseau de pod à partir de tous les sous-réseaux du VCN".

Règle entrante 1

  • isStateless: false

  • source: vcn_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description : "Autoriser la connexion SSH au sous-réseau de pod à partir de tous les sous-réseaux du VCN".

Règle entrante 2

  • Sans conservation de statut : décocher la case

  • CIDR entrant : workerlb_cidr

  • Protocole IP : TCP

    • Plage de ports de destination: 10256

  • Description : "Autoriser l'équilibreur de charge de travail à contacter les pods".

Règle entrante 2

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description : "autorise l'équilibreur de charge de travail à contacter les pods".

Règle entrante 3

  • Sans conservation de statut : décocher la case

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Plage de ports de destination: 10250

  • Description : "Autoriser la communication entre l'adresse d'API Kubernetes et le pod (via le noeud de processus actif)."

Règle entrante 3

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description : "Autoriser la communication entre l'adresse d'API Kubernetes et le pod (via le noeud de processus actif)."

Règle entrante 4

  • Sans conservation de statut : décocher la case

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Plage de ports de destination: 10256

  • Description : "Autoriser l'équilibreur de charge ou l'équilibreur de charge réseau à communiquer avec le pod kube-proxy (via le sous-réseau de processus actif)."

Règle entrante 4

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description : "Autoriser l'équilibreur de charge ou l'équilibreur de charge réseau à communiquer avec le pod kube-proxy (via le sous-réseau de processus actif)."

Règle entrante 5

  • Sans état : décochez la case

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Plage de ports de destination: 80

  • Description : "Autoriser le noeud de processus actif à contacter les pods".

Cette entrée est facultative. Ce port est ouvert pour une application utilisateur. Cette règle peut être différente en fonction des applications déployées.

Règle entrante 5

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 80

    • min: 80

  • description : permet au noeud de processus actif de contacter les pods.

Cette entrée est facultative. Ce port est ouvert pour une application utilisateur. Cette règle peut être différente en fonction des applications déployées.

Règle entrante 6

  • Sans conservation de statut : décocher la case

  • CIDR entrant : kmi_cidr

  • IP Protocol : ICMP

    • Type de paramètre : 8 : Echo

  • Description : "Testez l'accessibilité d'un pod réseau à partir de kmi_cidr en envoyant une demande."

Règle entrante 6

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 8

  • description : "Test de l'accessibilité d'un pod réseau à partir de kmi_cidr en envoyant une demande".

Règle entrante 7

  • Sans conservation de statut : décocher la case

  • CIDR entrant : kmi_cidr

  • IP Protocol : ICMP

    • Type de paramètre : 0 : Réponse d'écho

  • Description : "Si le pod de destination est accessible à partir de kmi_cidr, répondez par une réponse d'écho ICMP."

Règle entrante 7

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 0

  • description : "Si le pod de destination est accessible à partir de kmi_cidr, répondez par une réponse d'écho ICMP."

Règle entrante 8

  • Sans état : décochez la case

  • CIDR entrant : pod_cidr

  • Protocole IP : tous les protocole

  • Description : "Permettre au CIDR de pod de communiquer avec lui-même."

Règle entrante 8

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: all

  • description : "Autoriser le CIDR de pod à communiquer avec lui-même".

Création du sous-réseau de pod

Créer un sous-réseau. Reportez-vous à Création d'un sous-net. Pour l'entrée Terraform, reportez-vous à Exemples de scripts Terraform (pod natif VCN).

Pour cet exemple, utilisez l'entrée suivante pour créer le sous-réseau de pod. Utilisez l'OCID du VCN créé dans Création d'un VCN (pod natif VCN). Créez le sous-réseau de pod dans le compartiment dans lequel vous avez créé le VCN.

Important

Le nom de ce sous-réseau doit être exactement "pod".

Propriété de console

Propriété de CLI

  • Nom : pod

  • Bloc CIDR : pod_cidr

  • Table de routage : sélectionnez "nat_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte de DNS dans ce sous- réseau : cochez la case

    • Libellé DNS : pod

  • Listes de sécurité : sélectionnez "pod-seclist" et "Default Security List for oketest-vcn" dans la liste

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: pod

  • --cidr-block: pod_cidr

  • --dns-label: pod

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "nat_private"

  • --security-list-ids : OCID des listes de sécurité "pod-seclist" et "Liste de sécurité par défaut pour oketest-vcn"