Documentation Oracle Cloud Infrastructure

Création d'un sous-réseau de processus actif (pod natif VCN)

Sur Compute Cloud@Customer,

Créez les ressources suivantes dans l'ordre indiqué :

  1. Liste de sécurité des salariés

  2. Sous-réseau de processus actifs

Créer une liste de sécurité des salariés

Créez une liste de sécurité. Reportez-vous à la section Creating a Security List. Pour l'entrée Terraform, reportez-vous à Exemples de scripts Terraform (pod natif VCN).

Cette liste de sécurité définit le trafic autorisé à contacter directement les noeuds de processus actifs.

Dans cet exemple, utilisez l'entrée suivante pour la liste de sécurité de sous-réseau de processus actifs.

Propriété de console

Propriété de CLI

  • Nom : worker-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker-seclist

Une règle de sécurité sortante :

  • Sans conservation de statut : décocher la case

  • CIDR sortant : 0.0.0.0/0

  • Protocole IP : tous les protocole

  • Description : "Autoriser tout le trafic sortant."

Une règle de sécurité sortante :

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description : "Autoriser tout le trafic sortant".

Treize règles de sécurité entrante :

Treize règles de sécurité entrante :

--ingress-security-rules

Règle entrante 1

  • Sans conservation de statut : décocher la case

  • CIDR entrant : kube_client_cidr

  • Protocole IP : TCP

    • Plage de points de destination : 30000-32767

  • Description : "Autoriser les noeuds de processus actif à recevoir des connexions via le sous-réseau de pod".

Règle entrante 1

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description : permet aux noeuds de processus actif de recevoir des connexions via le sous-réseau de pod.

Règle entrante 2

  • Sans conservation de statut : décocher la case

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Plage de ports de destination: 22

  • Description : "Autoriser la connexion SSH à partir du sous-réseau de plan de contrôle".

Règle entrante 2

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description : "Autoriser la connexion SSH à partir du sous-réseau de plan de contrôle".

Règle entrante 3

  • Sans conservation de statut : décocher la case

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Plage de ports de destination: 22

  • Description : "Autoriser la connexion SSH à partir du sous-réseau de processus actif".

Règle entrante 3

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description : "Autoriser la connexion SSH à partir du sous-réseau de processus actif".

Règle entrante 4

  • Sans conservation de statut : décocher la case

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Plage de ports de destination: 10250

  • Description : "Autoriser la communication entre l'adresse d'API Kubernetes et le noeud de processus actifs".

Règle entrante 4

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description : "Autoriser la communication entre l'adresse d'API Kubernetes et le noeud de processus actifs".

Règle entrante 5

  • Sans conservation de statut : décocher la case

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Plage de ports de destination: 10256

  • Description : "Autoriser l'équilibreur de charge ou l'équilibreur de charge réseau à communiquer avec kube-proxy sur les noeuds de processus actif".

Règle entrante 5

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description : "Autoriser l'équilibreur de charge ou l'équilibreur de charge réseau à communiquer avec kube-proxy sur les noeuds de processus actif".

Règle entrante 6

  • Sans conservation de statut : décocher la case

  • CIDR entrant : worker_cidr

  • Protocole IP : TCP

    • Plage de points de destination : 30000-32767

  • Description : "Autoriser le trafic vers les noeuds de processus actifs".

Règle entrante 6

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description : "Autoriser le trafic vers les noeuds de processus actif".

Règle entrante 7

  • Sans conservation de statut : décocher la case

  • CIDR entrant : workerlb_cidr

  • Protocole IP : TCP

    • Plage de ports de destination: 10256

  • Description : "Autoriser l'équilibreur de charge ou l'équilibreur de charge réseau à communiquer avec kube-proxy sur les noeuds de processus actif".

Règle entrante 7

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description : "Autoriser l'équilibreur de charge ou l'équilibreur de charge réseau à communiquer avec kube-proxy sur les noeuds de processus actif".

Règle entrante 8

  • Sans conservation de statut : décocher la case

  • CIDR entrant : workerlb_cidr

  • Protocole IP : TCP

    • Plage de points de destination : 30000-32767

  • Description : "Autoriser les noeuds de processus actif à recevoir des connexions via l'équilibreur de charge réseau".

Règle entrante 8

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description : "Autoriser les noeuds de processus actif à recevoir des connexions via l'équilibreur de charge réseau".

Règle entrante 9

  • Sans conservation de statut : décocher la case

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Plage de ports de destination: 10250

  • Description : "Autoriser la communication entre l'adresse d'API Kubernetes et le noeud de processus actifs".

Règle entrante 9

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description : "Autoriser la communication entre l'adresse d'API Kubernetes et le noeud de processus actifs".

Règle entrante 10

  • Sans conservation de statut : décocher la case

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP

    • Plage de ports de destination: 10256

  • Description : "Autoriser l'équilibreur de charge ou l'équilibreur de charge réseau à communiquer avec kube-proxy sur les noeuds de processus actif".

Règle entrante 10

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description : "Autoriser l'équilibreur de charge ou l'équilibreur de charge réseau à communiquer avec kube-proxy sur les noeuds de processus actif".

Règle entrante 11

  • Sans conservation de statut : décocher la case

  • CIDR entrant : pod_cidr

  • Protocole IP : TCP

    • Plage de points de destination : 30000-32767

  • Description : "Autoriser les noeuds de processus actif à recevoir des connexions via le sous-réseau de pod".

Règle entrante 11

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description : permet aux noeuds de processus actif de recevoir des connexions via le sous-réseau de pod.

Règle entrante 12

  • Sans conservation de statut : décocher la case

  • CIDR entrant : kmi_cidr

  • IP Protocol : ICMP

    • Type de paramètre : 8 : Echo

  • Description : "Testez l'accessibilité d'un pod réseau à partir de kmi_cidr en envoyant une demande."

Règle entrante 12

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 8

  • description : "Test de l'accessibilité d'un pod réseau à partir de kmi_cidr en envoyant une demande".

Règle entrante 13

  • Sans conservation de statut : décocher la case

  • CIDR entrant : kmi_cidr

  • IP Protocol : ICMP

    • Type de paramètre : 0 : Réponse d'écho

  • Description : "Si le pod de destination est accessible à partir de kmi_cidr, répondez par une réponse d'écho ICMP."

Règle entrante 13

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 0

  • description : "Si le pod de destination est accessible à partir de kmi_cidr, répondez par une réponse d'écho ICMP."

Création du sous-réseau de processus actifs

Créer un sous-réseau. Reportez-vous à Création d'un sous-net. Pour l'entrée Terraform, reportez-vous à Exemples de scripts Terraform (pod natif VCN).

Dans cet exemple, utilisez l'entrée suivante pour créer le sous-réseau de processus actif. Utilisez l'OCID du VCN créé dans Création d'un VCN (pod natif VCN). Créez le sous-réseau de processus actif dans le compartiment dans lequel vous avez créé le VCN.

Créez un sous-réseau de processus actif privé NAT ou un sous-réseau de processus actif privé VCN. Créez un sous-réseau de processus actif privé NAT pour communiquer en dehors du VCN.

Création d'un sous-réseau de processus actif privé NAT

Propriété de console

Propriété de CLI

  • Nom : worker

  • Bloc CIDR : worker_cidr

  • Table de routage : sélectionnez "nat_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte de DNS dans ce sous- réseau : cochez la case

    • Libellé DNS : worker

  • Listes de sécurité : sélectionnez "worker-seclist" et "Default Security List for oketest-vcn" dans la liste

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "nat_private"

  • --security-list-ids : OCID des listes de sécurité "worker-seclist" et "Default Security List for oketest-vcn"

La différence entre le sous-réseau privé suivant est que la table de routage privée VCN est utilisée à la place de la table de routage privée NAT.

Création d'un sous-réseau de processus actif privé VCN

Propriété de console

Propriété de CLI

  • Nom : worker

  • Bloc CIDR : worker_cidr

  • Table de routage : sélectionnez "vcn_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte de DNS dans ce sous- réseau : cochez la case

    • Libellé DNS : worker

  • Listes de sécurité : sélectionnez "worker-seclist" et "Default Security List for oketest-vcn" dans la liste

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "vcn_private"

  • --security-list-ids : OCID des listes de sécurité "worker-seclist" et "Default Security List for oketest-vcn"