Configurazione delle risorse di rete di esempio per il cluster con nodi virtuali

Scopri come configurare le risorse di rete per un cluster con nodi virtuali quando utilizzi Kubernetes Engine (OKE).

VCN

Risorsa Esempio
VCN
  • Nome: acme-dev-vcn
  • Blocco CIDR: 10.0.0.0/16
  • Risoluzione DNS: selezionata
Gateway Internet
  • Nome: internet-gateway-0
Gateway NAT
  • Nome:nat-gateway-0
Gateway del servizio
  • Nome: service-gateway-0
  • Servizi: tutti i servizi <region> in Oracle Services Network
Opzioni DHCP
  • Tipo DNS impostato su Internet e sul resolver VCN

Subnet

Risorsa Esempio
Subnet pubblica per l'endpoint API Kubernetes

Nome: KubernetesAPIendpoint con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.0.0/28
  • Tabella di instradamento: tabella di instradamento-KubernetesAPIendpoint
  • Accesso alla subnet: pubblico
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Lista di sicurezza: seclist-KubernetesAPIendpoint
Subnet privata per nodi e pod virtuali

Nome: nodespods con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.10.0/19
  • Tabella di instradamento: routetable-nodespods
  • Accesso a subnet: privato
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-nodespods
Subnet pubblica per i load balancer dei servizi

Nome: loadbalancer con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.20.0/24
  • Tabella di instradamento: instradabili-serviceloadbalancer
  • Accesso alla subnet: pubblico
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-loadbalancer

Tabelle di instradamento

Risorsa Esempio
Tabella di instradamento per la subnet API Kubernetes pubblica

Nome: tabella di instradamento-KubernetesAPIendpoint, con una regola di instradamento definita come segue:

  • Regola per il traffico su Internet:
    • Blocco CIDR di destinazione: 0.0.0.0/0
    • Tipo di destinazione: gateway Internet
    • Destinazione: internet-gateway-0
Tabella di instradamento per nodi virtuali privati e subnet pod

Nome: routetable-nodespods, con due regole di instradamento definite come indicato di seguito.

  • Regola per il traffico su Internet:
    • Blocco CIDR di destinazione: 0.0.0.0/0
    • Tipo di destinazione: gateway NAT
    • Destinazione: nat-gateway-0
  • Regola per il traffico verso i servizi OCI:
    • Destinazione: tutti i servizi <region> in Oracle Services Network
    • Tipo di destinazione: gateway del servizio
    • Destinazione: service-gateway-0
Tabella di instradamento per la subnet dei load balancer pubblici

Nome: instradabile-serviceloadbalancers, con una regola di instradamento definita come segue:

  • Blocco CIDR di destinazione: 0.0.0.0/0
  • Tipo di destinazione: gateway Internet
  • Gateway Internet di destinazione: Internet-gateway-0

Regole della lista di sicurezza per la subnet dell'endpoint API Kubernetes pubblico

La lista di sicurezza seclist-KubernetesAPIendpoint contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato Origine Protocollo/destinazione. Porta descrizione;
Con conservazione dello stato 0.0.0.0/0 TCP/6443 Accesso esterno all'endpoint API Kubernetes.
Con conservazione dello stato 10.0.10.0/19 (CIDR nodi/pod) TCP/6443 Comunicazione da nodo virtuale a endpoint API Kubernetes.
Con conservazione dello stato 10.0.10.0/19 (CIDR nodi/pod) TCP/12250 Nodo virtuale per controllare la comunicazione sul piano.
Con conservazione dello stato 10.0.10.0/19 (CIDR nodi/pod) ICMP 3,4 Ricerca automatica percorso.

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network TCP/443 Consenti all'endpoint API Kubernetes di comunicare con gli endpoint del servizio OCI regionali.
Con conservazione dello stato 10.0.10.0/19 (CIDR nodi/pod) PIANO CORRENTE/TUTTO Consenti all'endpoint API Kubernetes di comunicare con i nodi virtuali.
Con conservazione dello stato 10.0.10.0/19 (CIDR nodi/pod) ICMP 3,4 Ricerca automatica percorso.

Regole della lista di sicurezza per la subnet di nodi/pod privati

La lista di sicurezza seclist-nodespods contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato: Origine Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.10.0/19 TUTTI/TUTTI Comunicazione pod-to-pod.
Con conservazione dello stato 10.0.10.0/19 TUTTI / 30000-32767 Traffico dal load balancer al pod e traffico della porta del nodo di controllo dello stato per external-traffic-policy=local
Con conservazione dello stato 10.0.10.0/19 PC/UPD/10256 Traffico dal load balancer alla porta di controllo dello stato per external-traffic-policy=cluster
Con conservazione dello stato 10.0.0.0/28 ICMP 3,4 Ricerca automatica del percorso dal server API.
Con conservazione dello stato 10.0.0.0/28 PIANO CORRENTE/TUTTO Comunicazione tra server API e nodo virtuale.

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.10.0/19 (CIDR nodi/pod) TUTTI/TUTTI Comunicazione pod-to-pod.
Con conservazione dello stato 10.0.0.0/28 TCP/6443 Comunicazione tra nodo virtuale/pod e server API.
Con conservazione dello stato 10.0.0.0/28 TCP/12250 Comunicazione tra nodo virtuale/pod e server API.
Con conservazione dello stato 10.0.0.0/28 ICMP 3,4 Ricerca automatica del percorso al server API.
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network TCP/443 Comunicazione tra nodo virtuale/pod e endpoint del servizio OCI regionale.
Con conservazione dello stato 0.0.0.0/0 ICMP 3,4 Accesso da nodo/pod virtuale al piano di controllo Kubernetes.
Con conservazione dello stato 0.0.0.0/0 TUTTI/TUTTI Accesso pod a Internet

Regole della lista di sicurezza per la subnet pubblica del load balancer

La lista di sicurezza seclist-loadbalancers contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato: Origine Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato

0.0.0.0/0

TCP / 443/80

Traffico in entrata verso il load balancer a condizione che la porta del listener sia 80/443

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.10.0/19 (CIDR nodi/pod) TUTTI / 30000-32767 Traffico verso il pod e il traffico della porta del nodo di controllo dello stato per external-traffic-policy=local
Con conservazione dello stato 10.0.10.0/19 (CIDR nodi/pod) PC/UPD/10256 Traffico per la porta di controllo dello stato per external-traffic-policy=cluster