Documentation Oracle Cloud Infrastructure

Création d'un sous-réseau de processus actifs (superposition de canal)

Sur Compute Cloud@Customer, une partie de la configuration d'OKE nécessite des listes de sécurité d'accès externes et internes et un sous-réseau de processus actif.

Créez les ressources suivantes dans l'ordre indiqué :

  1. Création d'une liste de sécurité de salarié.
  2. Création du sous-réseau de processus actif.

Créer une liste de sécurité de salarié

Pour créer une liste de sécurité, suivez les instructions de la section Creating a Security List. Pour les entrées Terraform, reportez-vous à Exemples de scripts Terraform pour les ressources réseau (superposition de canal).

Cette liste de sécurité définit le trafic autorisé à contacter directement les noeuds de processus actif.

Dans cet exemple, utilisez l'entrée suivante pour la liste de sécurité de sous-réseau de processus actif.

Console Compute Cloud@Customer

Propriété dans la CLI

  • Nom : worker-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker-seclist

Cinq règles de sécurité entrante :

Cinq règles de sécurité entrante :

--ingress-security-rules

Règle entrante 1

  • Sans état : décochez la case

  • CIDR entrant : vcn_cidr

  • Protocole IP : TCP :

    • Plage de ports de destination : 22

  • Description : "Allow intra-VCN ssh".

Règle entrante 1

  • isStateless: false

  • source: vcn_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description : "Autoriser intra-VCN ssh".

Règle entrante 2

  • Sans état : décochez la case

  • CIDR entrant : kube_client_cidr

  • Protocole IP : TCP :

    • Plage de ports de destination : 3000-32767

  • Description : "Autoriser les clients à contacter la plage de ports du noeud".

Règle entrante 2

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description : permet aux clients de contacter la plage de ports de noeud.

Règle entrante 3

  • Sans état : décochez la case

  • CIDR entrant : workerlb_cidr

  • Protocole IP : TCP :

    • Plage de ports de destination : 3000-32767

  • Description : "Autoriser l'équilibreur de charge de processus actif à contacter les noeuds de processus actif".

Règle entrante 3

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description : autorise l'équilibreur de charge de processus actif à contacter les noeuds de processus actif.

Règle entrante 4

  • Sans état : décochez la case

  • CIDR entrant : workerlb_cidr

  • Protocole IP : TCP :

    • Plage de ports de destination : 10256

  • Description : "Autoriser l'équilibreur de charge de processus actif à contacter les noeuds de processus actif".

Règle entrante 4

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description : autorise l'équilibreur de charge de processus actif à contacter les noeuds de processus actif.

Règle entrante 5

  • Sans état : décochez la case

  • CIDR entrant : kmi_cidr

  • Protocole IP : TCP :

    • Plage de ports de destination : 22-65535

  • Description : "Autorisez le plan de contrôle à contacter les noeuds de processus actif".

Règle entrante 5

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 65535

    • min: 22

  • description : autorise le plan de contrôle à contacter les noeuds de processus actif.

Création du sous-réseau de processus actif

Pour créer un sous-réseau, suivez les instructions de la section Creating a Subnet. Pour les entrées Terraform, reportez-vous à Exemples de scripts Terraform pour les ressources réseau (superposition de canal).

Dans cet exemple, utilisez l'entrée suivante pour la liste de sécurité de sous-réseau de processus actifs. Utilisez l'OCID du VCN créé dans Création d'un VCN (superposition de canal). Créez le sous-réseau de processus actif dans le compartiment dans lequel vous avez créé le VCN.

Créez un sous-réseau de processus actif privé NAT ou un sous-réseau de processus actif privé VCN. Créez un sous-réseau de processus actif privé NAT pour communiquer en dehors du VCN.

Création d'un sous-réseau de processus actif privé NAT

Propriété Console Compute Cloud@Customer

Propriété dans la CLI

  • Nom : worker

  • Bloc CIDR : worker_cidr

  • Table de routage : sélectionnez "nat_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôtes DNS :

    Utiliser les noms d'hôte DNS dans ce sous-réseau : cochez la case

    • Libellé DNS : worker

  • Listes de sécurité : sélectionnez "worker-seclist" et "Default Security List for oketest-vcn" dans la liste.

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "nat_private"

  • --security-list-ids : OCID de la liste de sécurité "worker-seclist" et de la liste de sécurité "Default Security List for oketest-vcn"

La différence entre le sous-réseau privé suivant est que la table de routage privée VCN est utilisée à la place de la table de routage privée NAT.

Création d'un sous-réseau de processus actif privé VCN

Propriété de la console Compute Cloud@Customer

Propriété de CLI

  • Nom : worker

  • Bloc CIDR : worker_cidr

  • Table de routage : sélectionnez "vcn_private" dans la liste

  • Sous-réseau privé : cochez la case

  • Noms d'hôte DNS :

    Utiliser les noms d'hôte de DNS dans ce sous- réseau : cochez la case

    • Libellé DNS : worker

  • Listes de sécurité : sélectionnez "worker-seclist" et "Default Security List for oketest-vcn" dans la liste

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id : OCID de la table de routage "vcn_private"

  • --security-list-ids : OCID des listes de sécurité "worker-seclist" et "Default Security List for oketest-vcn"

Etapes suivantes :

Création d'un sous-réseau d'équilibreur de charge de processus actif (superposition de canal)