Configurazione delle risorse di rete di esempio per il cluster con nodi virtuali
Scopri come configurare le risorse di rete per un cluster con nodi virtuali quando utilizzi Kubernetes Engine (OKE).
VCN
Risorsa | Esempio |
---|---|
VCN |
|
Gateway Internet |
|
Gateway NAT |
|
Gateway del servizio |
|
Opzioni DHCP |
|
Subnet
Risorsa | Esempio |
---|---|
Subnet pubblica per l'endpoint API Kubernetes |
Nome: KubernetesAPIendpoint con le seguenti proprietà:
|
Subnet privata per nodi e pod virtuali |
Nome: nodespods con le seguenti proprietà:
|
Subnet pubblica per i load balancer dei servizi |
Nome: loadbalancer con le seguenti proprietà:
|
Tabelle di instradamento
Risorsa | Esempio |
---|---|
Tabella di instradamento per la subnet API Kubernetes pubblica |
Nome: tabella di instradamento-KubernetesAPIendpoint, con una regola di instradamento definita come segue:
|
Tabella di instradamento per nodi virtuali privati e subnet pod |
Nome: routetable-nodespods, con due regole di instradamento definite come indicato di seguito.
|
Tabella di instradamento per la subnet dei load balancer pubblici |
Nome: instradabile-serviceloadbalancers, con una regola di instradamento definita come segue:
|
Regole della lista di sicurezza per la subnet dell'endpoint API Kubernetes pubblico
La lista di sicurezza seclist-KubernetesAPIendpoint contiene le regole di entrata e uscita mostrate qui.
Regole di entrata:
Stato | Origine | Protocollo/destinazione. Porta | descrizione; |
---|---|---|---|
Con conservazione dello stato | 0.0.0.0/0 | TCP/6443 | Accesso esterno all'endpoint API Kubernetes. |
Con conservazione dello stato | 10.0.10.0/19 (CIDR nodi/pod) | TCP/6443 | Comunicazione da nodo virtuale a endpoint API Kubernetes. |
Con conservazione dello stato | 10.0.10.0/19 (CIDR nodi/pod) | TCP/12250 | Nodo virtuale per controllare la comunicazione sul piano. |
Con conservazione dello stato | 10.0.10.0/19 (CIDR nodi/pod) | ICMP 3,4 | Ricerca automatica percorso. |
Regole di uscita:
Stato: | Destinazione | Protocollo/destinazione Porta | Descrizione: |
---|---|---|---|
Con conservazione dello stato | Tutti i servizi <region> in Oracle Services Network | TCP/443 | Consenti all'endpoint API Kubernetes di comunicare con gli endpoint del servizio OCI regionali. |
Con conservazione dello stato | 10.0.10.0/19 (CIDR nodi/pod) | PIANO CORRENTE/TUTTO | Consenti all'endpoint API Kubernetes di comunicare con i nodi virtuali. |
Con conservazione dello stato | 10.0.10.0/19 (CIDR nodi/pod) | ICMP 3,4 | Ricerca automatica percorso. |
Regole della lista di sicurezza per la subnet di nodi/pod privati
La lista di sicurezza seclist-nodespods contiene le regole di entrata e uscita mostrate qui.
Regole di entrata:
Stato: | Origine | Protocollo/destinazione Porta | Descrizione: |
---|---|---|---|
Con conservazione dello stato | 10.0.10.0/19 | TUTTI/TUTTI | Comunicazione pod-to-pod. |
Con conservazione dello stato | 10.0.10.0/19 | TUTTI / 30000-32767 | Traffico dal load balancer al pod e traffico della porta del nodo di controllo dello stato per external-traffic-policy=local |
Con conservazione dello stato | 10.0.10.0/19 | PC/UPD/10256 | Traffico dal load balancer alla porta di controllo dello stato per external-traffic-policy=cluster |
Con conservazione dello stato | 10.0.0.0/28 | ICMP 3,4 | Ricerca automatica del percorso dal server API. |
Con conservazione dello stato | 10.0.0.0/28 | PIANO CORRENTE/TUTTO | Comunicazione tra server API e nodo virtuale. |
Regole di uscita:
Stato: | Destinazione | Protocollo/destinazione Porta | Descrizione: |
---|---|---|---|
Con conservazione dello stato | 10.0.10.0/19 (CIDR nodi/pod) | TUTTI/TUTTI | Comunicazione pod-to-pod. |
Con conservazione dello stato | 10.0.0.0/28 | TCP/6443 | Comunicazione tra nodo virtuale/pod e server API. |
Con conservazione dello stato | 10.0.0.0/28 | TCP/12250 | Comunicazione tra nodo virtuale/pod e server API. |
Con conservazione dello stato | 10.0.0.0/28 | ICMP 3,4 | Ricerca automatica del percorso al server API. |
Con conservazione dello stato | Tutti i servizi <region> in Oracle Services Network | TCP/443 | Comunicazione tra nodo virtuale/pod e endpoint del servizio OCI regionale. |
Con conservazione dello stato | 0.0.0.0/0 | ICMP 3,4 | Accesso da nodo/pod virtuale al piano di controllo Kubernetes. |
Con conservazione dello stato | 0.0.0.0/0 | TUTTI/TUTTI | Accesso pod a Internet |
Regole della lista di sicurezza per la subnet pubblica del load balancer
La lista di sicurezza seclist-loadbalancers contiene le regole di entrata e uscita mostrate qui.
Regole di entrata:
Stato: | Origine | Protocollo/destinazione Porta | Descrizione: |
---|---|---|---|
Con conservazione dello stato |
0.0.0.0/0 |
TCP / 443/80 |
Traffico in entrata verso il load balancer a condizione che la porta del listener sia 80/443 |
Regole di uscita:
Stato: | Destinazione | Protocollo/destinazione Porta | Descrizione: |
---|---|---|---|
Con conservazione dello stato | 10.0.10.0/19 (CIDR nodi/pod) | TUTTI / 30000-32767 | Traffico verso il pod e il traffico della porta del nodo di controllo dello stato per external-traffic-policy=local |
Con conservazione dello stato | 10.0.10.0/19 (CIDR nodi/pod) | PC/UPD/10256 | Traffico per la porta di controllo dello stato per external-traffic-policy=cluster |