Documentazione di Oracle Cloud Infrastructure

Configurazioni delle risorse di rete di esempio

Scopri alcuni esempi di come configurare le risorse di rete per la creazione e la distribuzione di cluster ad alta disponibilità in un'area con tre domini di disponibilità quando utilizzi Kubernetes Engine (OKE).

Quando si crea un nuovo cluster, è possibile utilizzare il workflow 'Creazione rapida' per creare automaticamente nuove risorse di rete. In alternativa, è possibile utilizzare il workflow 'Creazione personalizzata' per specificare in modo esplicito le risorse di rete esistenti. Per ulteriori informazioni sulle risorse di rete necessarie, vedere Configurazione delle risorse di rete per la creazione e la distribuzione del cluster.

In questo argomento vengono forniti esempi di come configurare le risorse di rete quando si utilizza il workflow 'Creazione personalizzata' per creare cluster ad alta disponibilità in un'area con tre domini di disponibilità:

Sono disponibili una serie di tutorial per sviluppatori correlati.

Nota

Gli esempi riportati in questa sezione mostrano l'uso delle regole di sicurezza nelle liste di sicurezza per controllare l'accesso ai cluster. Se si preferisce utilizzare i gruppi di sicurezza di rete (consigliati) nelle liste di sicurezza, è possibile specificare regole di sicurezza identiche per i gruppi di sicurezza di rete.

Esempio 1: cluster con plugin CNI Flannel, endpoint API Kubernetes pubblico, nodi di lavoro privati e load balancer pubblici

In questo esempio si presume che si desideri che l'endpoint API Kubernetes e i load balancer siano accessibili direttamente da Internet. I nodi di lavoro sono accessibili all'interno della VCN.

Si noti che all'endpoint API Kubernetes viene assegnato un indirizzo IP privato per impostazione predefinita. Per esporre l'endpoint API Kubernetes a Internet, effettuare le operazioni riportate di seguito.

  • Selezionare una subnet pubblica per ospitare l'endpoint API Kubernetes.
  • Specificare che si desidera assegnare un indirizzo IP pubblico all'endpoint API Kubernetes (così come l'indirizzo IP privato).

Questa immagine mostra una configurazione cluster di esempio con una subnet dell'endpoint API Kubernetes pubblico, una subnet del nodo di lavoro privato, subnet del load balancer pubblico e una subnet bastion privata. L'accesso alle subnet è controllato rispettivamente dalle liste di sicurezza seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers e seclist-Bastion. Questo cluster utilizza il plugin CNI flanella per il pod networking. La subnet dell'endpoint API Kubernetes è connessa al piano di controllo del cluster da una VNIC. Le altre funzioni di questa configurazione di esempio sono descritte nel testo circostante.

VCN

Risorsa Esempio
VCN
  • Nome: acme-dev-vcn
  • Blocco CIDR: 10.0.0.0/16
  • Risoluzione DNS: selezionata
Gateway Internet
  • Nome: internet-gateway-0
Gateway NAT
  • Nome:nat-gateway-0
Gateway del servizio
  • Nome: service-gateway-0
  • Servizi: tutti i servizi <region> in Oracle Services Network
Opzioni DHCP
  • Tipo DNS impostato su Internet e sul resolver VCN

Subnet

Risorsa Esempio
Subnet pubblica per l'endpoint API Kubernetes

Nome: KubernetesAPIendpoint con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.0.0/30
  • Tabella di instradamento: tabella di instradamento-KubernetesAPIendpoint
  • Accesso alla subnet: pubblico
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Lista di sicurezza: seclist-KubernetesAPIendpoint
Subnet privata per i nodi di lavoro

Nome: workernodes con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.1.0/24
  • Tabella di instradamento: routetable-workernodes
  • Accesso a subnet: privato
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-workernodes
Subnet pubblica per i load balancer dei servizi

Nome: loadbalancer con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.2.0/24
  • Tabella di instradamento: instradabili-serviceloadbalancer
  • Accesso alla subnet: pubblico
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-loadbalancer
Subnet privata per il bastion

Nome: bastion con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.3.0/24
  • Accesso a subnet: privato
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-Bastion

Tabelle di instradamento

Risorsa Esempio
Tabella di instradamento per la subnet API Kubernetes pubblica

Nome: tabella di instradamento-KubernetesAPIendpoint, con una regola di instradamento definita come segue:

  • Blocco CIDR di destinazione: 0.0.0.0/0
  • Tipo di destinazione: gateway Internet
  • Destinazione: internet-gateway-0
Tabella di instradamento per subnet nodi di lavoro privati

Nome: routetable-workernodes, con due regole di instradamento definite come indicato di seguito.

  • Regola per il traffico su Internet:
    • Blocco CIDR di destinazione: 0.0.0.0/0
    • Tipo di destinazione: gateway NAT
    • Destinazione: nat-gateway-0
  • Regola per il traffico verso i servizi OCI:
    • Destinazione: tutti i servizi <region> in Oracle Services Network
    • Tipo di destinazione: gateway del servizio
    • Destinazione: service-gateway-0
Tabella di instradamento per la subnet dei load balancer pubblici

Nome: instradabile-serviceloadbalancers, con una regola di instradamento definita come segue:

  • Blocco CIDR di destinazione: 0.0.0.0/0
  • Tipo di destinazione: gateway Internet
  • Destinazione: internet-gateway-0

Regole della lista di sicurezza per la subnet dell'endpoint API Kubernetes pubblico

La lista di sicurezza seclist-KubernetesAPIendpoint contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato Origine Protocollo/destinazione. Porta descrizione;
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TCP/6443 Comunicazione da lavoratore Kubernetes a endpoint API Kubernetes.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TCP/12250 Lavoratore Kubernetes per controllare la comunicazione sul piano.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato 0.0.0.0/0, CIDR della subnet bastion o CIDR specifico TCP/6443

(facoltativo) Accesso esterno all'endpoint API Kubernetes.

  • 0.0.0.0/0 quando l'origine è Internet, la subnet è pubblica e all'endpoint API viene assegnato un IP pubblico
  • CIDR subnet bastion quando l'accesso viene eseguito tramite il bastion OCI
  • CIDR specifico quando l'accesso viene effettuato da altri CIDR specifici

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network PIANO CORRENTE/TUTTO Consenti al piano di controllo Kubernetes di comunicare con OKE.
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) PIANO CORRENTE/TUTTO Consenti al piano di controllo Kubernetes di comunicare con i nodi di lavoro.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) ICMP 3,4 Ricerca automatica percorso.

Regole della lista di sicurezza per la subnet dei nodi di lavoro privati

La lista di sicurezza seclist-workernodes contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato: Origine Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TUTTI/TUTTI Consenti ai pod su un nodo di lavoro di comunicare con i pod su altri nodi di lavoro.
Con conservazione dello stato 10.0.0.0/30 (CIDR endpoint API Kubernetes) PIANO CORRENTE/TUTTO Consenti al piano di controllo Kubernetes di comunicare con i nodi di lavoro.
Con conservazione dello stato 0.0.0.0/0 ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato CIDR subnet bastion o CIDR specifico TCP/22 (facoltativo) Consenti traffico SSH in entrata ai nodi gestiti.
Con conservazione dello stato CIDR della subnet del bilanciamento del carico TUTTI/30000-32767 Da load balancer a porte dei nodi di lavoro.
Con conservazione dello stato CIDR della subnet del bilanciamento del carico TUTTI/10256 Consenti al load balancer di comunicare con kube-proxy sui nodi di lavoro.

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TUTTI/TUTTI Consenti ai pod su un nodo di lavoro di comunicare con i pod su altri nodi di lavoro.
Con conservazione dello stato 0.0.0.0/0 ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network PIANO CORRENTE/TUTTO Consente ai nodi di lavoro di comunicare con OKE.
Con conservazione dello stato 10.0.0.0/30 (CIDR endpoint API Kubernetes) TCP/6443 Comunicazione da lavoratore Kubernetes a endpoint API Kubernetes.
Con conservazione dello stato 10.0.0.0/30 (CIDR endpoint API Kubernetes) TCP/12250 Lavoratore Kubernetes per controllare la comunicazione sul piano.
Con conservazione dello stato 0.0.0.0/0 PIANO CORRENTE/TUTTO (facoltativo) Consenti ai nodi di lavoro di comunicare con Internet.

Regole della lista di sicurezza per la subnet pubblica del load balancer

La lista di sicurezza seclist-loadbalancers contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato: Origine Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato

Specifico dell'applicazione (CIDR Internet o specifico)

Specifico dell'applicazione (ad esempio, TCP, UDP - 443, 8080)

 (facoltativo) Protocollo e porta del listener del load balancer. Personalizza in base alle esigenze.

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TUTTI/30000-32767 Da load balancer a porte dei nodi di lavoro.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TUTTI/10256 Consenti al load balancer di comunicare con kube-proxy sui nodi di lavoro.

Regole della lista di sicurezza per la subnet bastion privata

La lista di sicurezza seclist-Bastion contiene le regole di entrata e uscita mostrate qui.

Regole di entrata: nessuna

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.0.0/30 (CIDR endpoint API Kubernetes) TCP/6443

(facoltativo) Consenti a bastion di accedere all'endpoint API Kubernetes.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TCP/22 (facoltativo) Consenti traffico SSH ai nodi di lavoro.

Esempio 2: cluster con plugin CNI Flannel, endpoint API Kubernetes privato, nodi di lavoro privati e load balancer pubblici

In questo esempio si presume che si desideri che solo i load balancer siano accessibili direttamente da Internet. L'endpoint API Kubernetes e i nodi di lavoro sono accessibili all'interno della VCN.

Questa immagine mostra una configurazione cluster di esempio con una subnet dell'endpoint API Kubernetes privato, una subnet del nodo di lavoro privato, subnet del load balancer pubblico e una subnet bastion privata. L'accesso alle subnet è controllato rispettivamente dalle liste di sicurezza seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers e seclist-Bastion. Questo cluster utilizza il plugin CNI flanella per il pod networking. La subnet dell'endpoint API Kubernetes è connessa al piano di controllo del cluster da una VNIC. Le altre funzioni di questa configurazione di esempio sono descritte nel testo circostante.

VCN

Risorsa Esempio
VCN
  • Nome: acme-dev-vcn
  • Blocco CIDR: 10.0.0.0/16
  • Risoluzione DNS: selezionata
Gateway Internet
  • Nome: internet-gateway-0
Gateway NAT
  • Nome:nat-gateway-0
Gateway del servizio
  • Nome: service-gateway-0
  • Servizi: tutti i servizi <region> in Oracle Services Network
Opzioni DHCP
  • Tipo DNS impostato su Internet e sul resolver VCN

Subnet

Risorsa Esempio
Subnet privata per l'endpoint API Kubernetes

Nome: KubernetesAPIendpoint con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.0.0/30
  • Tabella di instradamento: tabella di instradamento-KubernetesAPIendpoint
  • Accesso a subnet: privato
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Lista di sicurezza: seclist-KubernetesAPIendpoint
Subnet privata per i nodi di lavoro

Nome: workernodes con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.1.0/24
  • Tabella di instradamento: routetable-workernodes
  • Accesso a subnet: privato
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-workernodes
Subnet pubblica per i load balancer dei servizi

Nome: loadbalancer con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.2.0/24
  • Tabella di instradamento: instradabili-serviceloadbalancer
  • Accesso alla subnet: pubblico
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-loadbalancer
Subnet privata per il bastion

Nome: bastion con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.3.0/24
  • Accesso a subnet: privato
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-Bastion

Tabelle di instradamento

Risorsa Esempio
Tabella di instradamento per subnet endpoint API Kubernetes privata

Nome: tabella di instradamento-KubernetesAPIendpoint, con una regola di instradamento definita come segue:

  • Regola per il traffico su Internet:
    • Blocco CIDR di destinazione: 0.0.0.0/0
    • Tipo di destinazione: gateway NAT
    • Destinazione: nat-gateway-0
  • Regola per il traffico verso i servizi OCI:
    • Destinazione: tutti i servizi <region> in Oracle Services Network
    • Tipo di destinazione: gateway del servizio
    • Destinazione: service-gateway-0
Tabella di instradamento per subnet nodi di lavoro privati

Nome: routetable-workernodes, con due regole di instradamento definite come indicato di seguito.

  • Regola per il traffico su Internet:
    • Blocco CIDR di destinazione: 0.0.0.0/0
    • Tipo di destinazione: gateway NAT
    • Destinazione: nat-gateway-0
  • Regola per il traffico verso i servizi OCI:
    • Destinazione: tutti i servizi <region> in Oracle Services Network
    • Tipo di destinazione: gateway del servizio
    • Destinazione: service-gateway-0
Tabella di instradamento per la subnet dei load balancer pubblici

Nome: instradabile-serviceloadbalancers, con una regola di instradamento definita come segue:

  • Blocco CIDR di destinazione: 0.0.0.0/0
  • Tipo di destinazione: gateway Internet
  • Destinazione: internet-gateway-0

Regole della lista di sicurezza per la subnet dell'endpoint API Kubernetes privata

La lista di sicurezza seclist-KubernetesAPIendpoint contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato Origine Protocollo/destinazione. Porta descrizione;
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TCP/6443 Comunicazione da lavoratore Kubernetes a endpoint API Kubernetes.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TCP/12250 Lavoratore Kubernetes per controllare la comunicazione sul piano.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato 0.0.0.0/0, CIDR della subnet bastion o CIDR specifico TCP/6443

(facoltativo) Accesso esterno all'endpoint API Kubernetes.

  • 0.0.0.0/0 quando l'origine è Internet, la subnet è pubblica e all'endpoint API viene assegnato un IP pubblico
  • CIDR subnet bastion quando l'accesso viene eseguito tramite il bastion OCI
  • CIDR specifico quando l'accesso viene effettuato da altri CIDR specifici

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato

Tutti i servizi <region> in Oracle Services Network

 PIANO CORRENTE/TUTTO Consenti al piano di controllo Kubernetes di comunicare con OKE.
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) PIANO CORRENTE/TUTTO Consenti al piano di controllo Kubernetes di comunicare con i nodi di lavoro.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) ICMP 3,4 Ricerca automatica percorso.

Regole della lista di sicurezza per la subnet dei nodi di lavoro privati

La lista di sicurezza seclist-workernodes contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato: Origine Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TUTTI/TUTTI Consenti ai pod su un nodo di lavoro di comunicare con i pod su altri nodi di lavoro.
Con conservazione dello stato 10.0.0.0/30 (CIDR endpoint API Kubernetes) PIANO CORRENTE/TUTTO Consenti al piano di controllo Kubernetes di comunicare con i nodi di lavoro.
Con conservazione dello stato 0.0.0.0/0 ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato CIDR subnet bastion o CIDR specifico TCP/22 (facoltativo) Consenti traffico SSH in entrata ai nodi gestiti.
Con conservazione dello stato CIDR della subnet del bilanciamento del carico TUTTI/30000-32767 Da load balancer a porte dei nodi di lavoro.
Con conservazione dello stato CIDR della subnet del bilanciamento del carico TUTTI/10256 Consenti al load balancer di comunicare con kube-proxy sui nodi di lavoro.

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TUTTI/TUTTI Consenti ai pod su un nodo di lavoro di comunicare con i pod su altri nodi di lavoro.
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network PIANO CORRENTE/TUTTO Consente ai nodi di lavoro di comunicare con OKE.
Con conservazione dello stato 10.0.0.0/30 (CIDR endpoint API Kubernetes) TCP/6443 Comunicazione da lavoratore Kubernetes a endpoint API Kubernetes.
Con conservazione dello stato 10.0.0.0/30 (CIDR endpoint API Kubernetes) TCP/12250 Lavoratore Kubernetes per controllare la comunicazione sul piano.
Con conservazione dello stato 0.0.0.0/0 PIANO CORRENTE/TUTTO (facoltativo) Consenti ai nodi di lavoro di comunicare con Internet.

Regole della lista di sicurezza per la subnet pubblica del load balancer

La lista di sicurezza seclist-loadbalancers contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato: Origine Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato

Specifico dell'applicazione (CIDR Internet o specifico)

Specifico dell'applicazione (ad esempio, TCP, UDP - 443, 8080)

 (facoltativo) Protocollo e porta del listener del load balancer. Personalizza in base alle esigenze.

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TUTTI/30000-32767 Da load balancer a porte dei nodi di lavoro.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TUTTI/10256 Consenti al load balancer di comunicare con kube-proxy sui nodi di lavoro.

Regole della lista di sicurezza per la subnet bastion privata

La lista di sicurezza seclist-Bastion contiene le regole di entrata e uscita mostrate qui.

Regole di entrata: nessuna

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.0.0/30 (CIDR endpoint API Kubernetes) TCP/6443

(facoltativo) Consenti a bastion di accedere all'endpoint API Kubernetes.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TCP/22 (facoltativo) Consenti traffico SSH ai nodi di lavoro.

Esempio 3: cluster con plugin CNI OCI, endpoint API Kubernetes pubblico, nodi di lavoro privati e load balancer pubblici

In questo esempio si presume che si desideri che l'endpoint API Kubernetes e i load balancer siano accessibili direttamente da Internet. I nodi di lavoro sono accessibili all'interno della VCN.

Si noti che all'endpoint API Kubernetes viene assegnato un indirizzo IP privato per impostazione predefinita. Per esporre l'endpoint API Kubernetes a Internet, effettuare le operazioni riportate di seguito.

  • Selezionare una subnet pubblica per ospitare l'endpoint API Kubernetes.
  • Specificare che si desidera assegnare un indirizzo IP pubblico all'endpoint API Kubernetes (così come l'indirizzo IP privato).

Questa immagine mostra una configurazione cluster di esempio con una subnet di endpoint API Kubernetes pubblico, una subnet di nodi di lavoro privato, subnet di load balancer pubbliche, una subnet di pod privati e una subnet di bastion privata. L'accesso alle subnet è controllato rispettivamente dalle liste di sicurezza seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers, seclist-pods e seclist-Bastion. Questo cluster utilizza il plugin CNI OCI per il pod networking. La subnet dell'endpoint API Kubernetes è connessa al piano di controllo del cluster da una VNIC. Le altre funzioni di questa configurazione di esempio sono descritte nel testo circostante.

VCN

Risorsa Esempio
VCN
  • Nome: acme-dev-vcn
  • Blocco CIDR: 10.0.0.0/16
  • Risoluzione DNS: selezionata
Gateway Internet
  • Nome: internet-gateway-0
Gateway NAT
  • Nome:nat-gateway-0
Gateway del servizio
  • Nome: service-gateway-0
  • Servizi: tutti i servizi <region> in Oracle Services Network
Opzioni DHCP
  • Tipo DNS impostato su Internet e sul resolver VCN

Subnet

Risorsa Esempio
Subnet pubblica per l'endpoint API Kubernetes

Nome: KubernetesAPIendpoint con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.0.0/29
  • Tabella di instradamento: tabella di instradamento-KubernetesAPIendpoint
  • Accesso alla subnet: pubblico
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Lista di sicurezza: seclist-KubernetesAPIendpoint
Subnet privata per i nodi di lavoro

Nome: workernodes con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.1.0/24
  • Tabella di instradamento: routetable-workernodes
  • Accesso a subnet: privato
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-workernodes
Subnet privata per i pod

Nome: pod con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.32.0/19
  • Tabella di instradamento: routetable-pods
  • Accesso a subnet: privato
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-pods
Subnet pubblica per i load balancer dei servizi

Nome: loadbalancer con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.2.0/24
  • Tabella di instradamento: instradabili-serviceloadbalancer
  • Accesso alla subnet: pubblico
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-loadbalancer
Subnet privata per il bastion

Nome:bastion con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.3.0/24
  • Accesso a subnet: privato
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-Bastion

Tabelle di instradamento

Risorsa Esempio
Tabella di instradamento per la subnet API Kubernetes pubblica

Nome: tabella di instradamento-KubernetesAPIendpoint, con una regola di instradamento definita come segue:

  • Blocco CIDR di destinazione: 0.0.0.0/0
  • Tipo di destinazione: gateway Internet
  • Destinazione: internet-gateway-0
Tabella di instradamento per subnet nodi di lavoro privati

Nome: routetable-workernodes, con una regola di instradamento definita come indicato di seguito.

  • Destinazione: tutti i servizi <region> in Oracle Services Network
  • Tipo di destinazione: gateway del servizio
  • Destinazione: service-gateway-0
Tabella di instradamento per subnet pod privati

Nome: routetable-pods, con due regole di instradamento definite come indicato di seguito.

  • Regola per il traffico su Internet:
    • Blocco CIDR di destinazione: 0.0.0.0/0
    • Tipo di destinazione: gateway NAT
    • Destinazione: nat-gateway-0
  • Regola per il traffico verso i servizi OCI:
    • Destinazione: tutti i servizi <region> in Oracle Services Network
    • Tipo di destinazione: gateway del servizio
    • Destinazione: service-gateway-0
Tabella di instradamento per la subnet dei load balancer pubblici

Nome: instradabile-serviceloadbalancers, con una regola di instradamento definita come segue:

  • Blocco CIDR di destinazione: 0.0.0.0/0
  • Tipo di destinazione: gateway Internet
  • Destinazione: internet-gateway-0

Regole della lista di sicurezza per la subnet dell'endpoint API Kubernetes pubblico

La lista di sicurezza seclist-KubernetesAPIendpoint contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato Origine Protocollo/destinazione. Porta descrizione;
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TCP/6443 Comunicazione da lavoratore Kubernetes a endpoint API Kubernetes.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TCP/12250 Comunicazione da lavoratore Kubernetes a endpoint API Kubernetes.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato 10.0.32.0/19 (CIDR) dei pod TCP/6443 Comunicazione da pod a endpoint API Kubernetes (quando si utilizza il networking pod nativo VCN).
Con conservazione dello stato 10.0.32.0/19 (CIDR) dei pod TCP/12250 Comunicazione da pod a endpoint API Kubernetes (quando si utilizza il networking pod nativo VCN).
Con conservazione dello stato 0.0.0.0/0, CIDR della subnet bastion o CIDR specifico TCP/6443

(facoltativo) Accesso esterno all'endpoint API Kubernetes.

  • 0.0.0.0/0 quando l'origine è Internet, la subnet è pubblica e all'endpoint API viene assegnato un IP pubblico
  • CIDR subnet bastion quando l'accesso viene eseguito tramite il bastion OCI
  • CIDR specifico quando l'accesso viene effettuato da altri CIDR specifici

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network PIANO CORRENTE/TUTTO Consenti all'endpoint API Kubernetes di comunicare con OKE.
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TCP/10250 Consenti all'endpoint API Kubernetes di comunicare con i nodi di lavoro.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato 10.0.32.0/19 (CIDR) dei pod TUTTI/TUTTI Consenti all'endpoint API Kubernetes di comunicare con i pod (quando si utilizza il networking pod nativo VCN).

Regole della lista di sicurezza per la subnet dei nodi di lavoro privati

La lista di sicurezza seclist-workernodes contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato: Origine Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.0.0/29 (CIDR endpoint API Kubernetes) TCP/10250 Consenti all'endpoint API Kubernetes di comunicare con i nodi di lavoro.
Con conservazione dello stato 0.0.0.0/0 ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato CIDR subnet bastion o CIDR specifico TCP/22 (facoltativo) Consenti traffico SSH in entrata ai nodi gestiti.
Con conservazione dello stato CIDR della subnet del bilanciamento del carico TUTTI/30000-32767 Da load balancer a porte dei nodi di lavoro.
Con conservazione dello stato CIDR della subnet del bilanciamento del carico TUTTI/10256 Consenti al load balancer di comunicare con kube-proxy sui nodi di lavoro.

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.32.0/19 (CIDR) dei pod TUTTI/TUTTI Consenti ai nodi di lavoro di accedere ai pod.
Con conservazione dello stato 0.0.0.0/0 ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network PIANO CORRENTE/TUTTO Consente ai nodi di lavoro di comunicare con OKE.
Con conservazione dello stato 10.0.0.0/29 (CIDR endpoint API Kubernetes) TCP/6443 Comunicazione da lavoratore Kubernetes a endpoint API Kubernetes.
Con conservazione dello stato 10.0.0.0/29 (CIDR endpoint API Kubernetes) TCP/12250 Comunicazione da lavoratore Kubernetes a endpoint API Kubernetes.

Regole della lista di sicurezza per la subnet dei pod privati

La lista di sicurezza seclist-pods contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato: Origine Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TUTTI/TUTTI Consenti ai nodi di lavoro di accedere ai pod.
Con conservazione dello stato 10.0.0.0/29 (CIDR endpoint API Kubernetes) TUTTI/TUTTI Consenti all'endpoint API Kubernetes di comunicare con i pod.
Con conservazione dello stato 10.0.32.0/19 (CIDR) dei pod TUTTI/TUTTI Consenti ai pod di comunicare con altri pod.

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.32.0/19 (CIDR) dei pod TUTTI/TUTTI Consenti ai pod di comunicare con altri pod.
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network

ICMP 3,4

 Ricerca automatica percorso.
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network

PIANO CORRENTE/TUTTO

 Consente ai pod di comunicare con i servizi OCI.
Con conservazione dello stato 0.0.0.0/0

TCP/443

 (facoltativo) Consentire ai pod di comunicare con Internet.
Con conservazione dello stato 10.0.0.0/29 (CIDR endpoint API Kubernetes) TCP/6443 Comunicazione da pod a endpoint API Kubernetes (quando si utilizza il networking pod nativo VCN).
Con conservazione dello stato 10.0.0.0/29 (CIDR endpoint API Kubernetes) TCP/12250 Comunicazione da pod a endpoint API Kubernetes (quando si utilizza il networking pod nativo VCN).

Regole della lista di sicurezza per la subnet pubblica del load balancer

La lista di sicurezza seclist-loadbalancers contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato: Origine Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato

Specifico dell'applicazione (CIDR Internet o specifico)

Specifico dell'applicazione (ad esempio, TCP, UDP - 443, 8080)

 (facoltativo) Protocollo e porta del listener del load balancer. Personalizza in base alle esigenze.

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TUTTI/30000-32767 Da load balancer a porte dei nodi di lavoro.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TUTTI/10256 Consenti al load balancer di comunicare con kube-proxy sui nodi di lavoro.

Regole della lista di sicurezza per la subnet bastion privata

La lista di sicurezza seclist-Bastion contiene le regole di entrata e uscita mostrate qui.

Regole di entrata: nessuna

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.0.0/29 (CIDR endpoint API Kubernetes) TCP/6443

(facoltativo) Consenti a bastion di accedere all'endpoint API Kubernetes.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TCP/22 (facoltativo) Consenti traffico SSH ai nodi di lavoro.

Esempio 4: cluster con plugin CNI OCI, endpoint API Kubernetes privato, nodi di lavoro privati e load balancer pubblici

In questo esempio si presume che si desideri che solo i load balancer siano accessibili direttamente da Internet. L'endpoint API Kubernetes e i nodi di lavoro sono accessibili all'interno della VCN.

Questa immagine mostra una configurazione cluster di esempio con una subnet di endpoint API Kubernetes privato, una subnet di nodi di lavoro privato, subnet di load balancer pubbliche, una subnet di pod privati e una subnet di bastion privata. L'accesso alle subnet è controllato rispettivamente dalle liste di sicurezza seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers, seclist-pods e seclist-Bastion. Questo cluster utilizza il plugin CNI OCI per il pod networking. La subnet dell'endpoint API Kubernetes è connessa al piano di controllo del cluster da una VNIC. Le altre funzioni di questa configurazione di esempio sono descritte nel testo circostante.

VCN

Risorsa Esempio
VCN
  • Nome: acme-dev-vcn
  • Blocco CIDR: 10.0.0.0/16
  • Risoluzione DNS: selezionata
Gateway Internet
  • Nome: internet-gateway-0
Gateway NAT
  • Nome:nat-gateway-0
Gateway del servizio
  • Nome: service-gateway-0
  • Servizi: tutti i servizi <region> in Oracle Services Network
Opzioni DHCP
  • Tipo DNS impostato su Internet e sul resolver VCN

Subnet

Risorsa Esempio
Subnet privata per l'endpoint API Kubernetes

Nome: KubernetesAPIendpoint con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.0.0/29
  • Tabella di instradamento: tabella di instradamento-KubernetesAPIendpoint
  • Accesso a subnet: privato
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Lista di sicurezza: seclist-KubernetesAPIendpoint
Subnet privata per i nodi di lavoro

Nome: workernodes con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.1.0/24
  • Tabella di instradamento: routetable-workernodes
  • Accesso a subnet: privato
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-workernodes
Subnet privata per i pod

Nome: pod con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.32.0/19
  • Tabella di instradamento: routetable-pods
  • Accesso a subnet: privato
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-pods
Subnet pubblica per i load balancer dei servizi

Nome: loadbalancer con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.2.0/24
  • Tabella di instradamento: instradabili-serviceloadbalancer
  • Accesso alla subnet: pubblico
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-loadbalancer
Subnet privata per il bastion

Nome: bastion con le seguenti proprietà:

  • Tipo: regionale
  • Blocco CIDR: 10.0.3.0/24
  • Accesso a subnet: privato
  • Risoluzione DNS: selezionata
  • Opzioni DHCP: impostazione predefinita
  • Elenco di sicurezza: seclist-Bastion

Tabelle di instradamento

Risorsa Esempio
Tabella di instradamento per subnet endpoint API Kubernetes privata

Nome: tabella di instradamento-KubernetesAPIendpoint, con una regola di instradamento definita come segue:

  • Regola per il traffico su Internet:
    • Blocco CIDR di destinazione: 0.0.0.0/0
    • Tipo di destinazione: gateway NAT
    • Destinazione: nat-gateway-0
  • Regola per il traffico verso i servizi OCI:
    • Destinazione: tutti i servizi <region> in Oracle Services Network
    • Tipo di destinazione: gateway del servizio
    • Destinazione: service-gateway-0
Tabella di instradamento per subnet nodi di lavoro privati

Nome: routetable-workernodes, con una regola di instradamento definita come indicato di seguito.

  • Destinazione: tutti i servizi <region> in Oracle Services Network
  • Tipo di destinazione: gateway del servizio
  • Destinazione: service-gateway-0
Tabella di instradamento per subnet pod privati

Nome: routetable-pods, con due regole di instradamento definite come indicato di seguito.

  • Regola per il traffico su Internet:
    • Blocco CIDR di destinazione: 0.0.0.0/0
    • Tipo di destinazione: gateway NAT
    • Destinazione: nat-gateway-0
  • Regola per il traffico verso i servizi OCI:
    • Destinazione: tutti i servizi <region> in Oracle Services Network
    • Tipo di destinazione: gateway del servizio
    • Destinazione: service-gateway-0
Tabella di instradamento per la subnet dei load balancer pubblici

Nome: instradabile-serviceloadbalancers, con una regola di instradamento definita come segue:

  • Blocco CIDR di destinazione: 0.0.0.0/0
  • Tipo di destinazione: gateway Internet
  • Gateway Internet di destinazione: Internet-gateway-0

Regole della lista di sicurezza per la subnet dell'endpoint API Kubernetes privata

La lista di sicurezza seclist-KubernetesAPIendpoint contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato Origine Protocollo/destinazione. Porta descrizione;
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TCP/6443 Comunicazione da lavoratore Kubernetes a endpoint API Kubernetes.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TCP/12250 Comunicazione da lavoratore Kubernetes a endpoint API Kubernetes.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato 10.0.32.0/19 (CIDR) dei pod TCP/6443 Comunicazione da pod a endpoint API Kubernetes (quando si utilizza il networking pod nativo VCN).
Con conservazione dello stato 10.0.32.0/19 (CIDR) dei pod TCP/12250 Comunicazione da pod a endpoint API Kubernetes (quando si utilizza il networking pod nativo VCN).
Con conservazione dello stato CIDR subnet bastion o CIDR specifico TCP/6443

(facoltativo) Accesso esterno all'endpoint API Kubernetes.

  • CIDR subnet bastion quando l'accesso viene eseguito tramite il bastion OCI
  • CIDR specifico quando l'accesso viene effettuato da altri CIDR specifici

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato

Tutti i servizi <region> in Oracle Services Network

 PIANO CORRENTE/TUTTO Consenti all'endpoint API Kubernetes di comunicare con OKE.
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TCP/10250 Consenti all'endpoint API Kubernetes di comunicare con i nodi di lavoro.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato 10.0.32.0/19 (CIDR) dei pod TUTTI/TUTTI Consenti all'endpoint API Kubernetes di comunicare con i pod.

Regole della lista di sicurezza per la subnet dei nodi di lavoro privati

La lista di sicurezza seclist-workernodes contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato: Origine Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.0.0/29 (CIDR endpoint API Kubernetes) TCP/10250 Consenti all'endpoint API Kubernetes di comunicare con i nodi di lavoro.
Con conservazione dello stato 0.0.0.0/0 ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato CIDR subnet bastion o CIDR specifico TCP/22 (facoltativo) Consenti traffico SSH in entrata ai nodi gestiti.
Con conservazione dello stato CIDR della subnet del bilanciamento del carico TUTTI/30000-32767 Da load balancer a porte dei nodi di lavoro.
Con conservazione dello stato CIDR della subnet del bilanciamento del carico TUTTI/10256 Consenti al load balancer di comunicare con kube-proxy sui nodi di lavoro.

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.32.0/19 (CIDR) dei pod TUTTI/TUTTI Consenti ai nodi di lavoro di accedere ai pod.
Con conservazione dello stato 0.0.0.0/0 ICMP 3,4 Ricerca automatica percorso.
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network PIANO CORRENTE/TUTTO Consente ai nodi di lavoro di comunicare con OKE.
Con conservazione dello stato 10.0.0.0/29 (CIDR endpoint API Kubernetes) TCP/6443 Comunicazione da lavoratore Kubernetes a endpoint API Kubernetes.
Con conservazione dello stato 10.0.0.0/29 (CIDR endpoint API Kubernetes) TCP/12250 Comunicazione da lavoratore Kubernetes a endpoint API Kubernetes.

Regole della lista di sicurezza per la subnet dei pod privati

La lista di sicurezza seclist-pods contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato: Origine Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TUTTI/TUTTI Consenti ai nodi di lavoro di accedere ai pod.
Con conservazione dello stato 10.0.0.0/29 (CIDR endpoint API Kubernetes) TUTTI/TUTTI Consenti all'endpoint API Kubernetes di comunicare con i pod.
Con conservazione dello stato 10.0.32.0/19 (CIDR) dei pod TUTTI/TUTTI Consenti ai pod di comunicare con altri pod.

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.32.0/19 (CIDR) dei pod TUTTI/TUTTI Consenti ai pod di comunicare con altri pod.
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network

ICMP 3,4

 Ricerca automatica percorso.
Con conservazione dello stato Tutti i servizi <region> in Oracle Services Network

PIANO CORRENTE/TUTTO

 Consente ai pod di comunicare con i servizi OCI.
Con conservazione dello stato 0.0.0.0/0

TCP/443

 (facoltativo) Consentire ai pod di comunicare con Internet.
Con conservazione dello stato 10.0.0.0/29 (CIDR endpoint API Kubernetes) TCP/6443 Comunicazione da pod a endpoint API Kubernetes (quando si utilizza il networking pod nativo VCN).
Con conservazione dello stato 10.0.0.0/29 (CIDR endpoint API Kubernetes) TCP/12250 Comunicazione da pod a endpoint API Kubernetes (quando si utilizza il networking pod nativo VCN).

Regole della lista di sicurezza per la subnet pubblica del load balancer

La lista di sicurezza seclist-loadbalancers contiene le regole di entrata e uscita mostrate qui.

Regole di entrata:

Stato: Origine Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato

Specifico dell'applicazione (CIDR Internet o specifico)

Specifico dell'applicazione (ad esempio, TCP, UDP - 443, 8080)

 (facoltativo) Protocollo e porta del listener del load balancer. Personalizza in base alle esigenze.

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TUTTI/30000-32767 Da load balancer a porte dei nodi di lavoro.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TUTTI/10256 Consenti al load balancer di comunicare con kube-proxy sui nodi di lavoro.

Regole della lista di sicurezza per la subnet bastion privata

La lista di sicurezza seclist-Bastion contiene le regole di entrata e uscita mostrate qui.

Regole di entrata: nessuna

Regole di uscita:

Stato: Destinazione Protocollo/destinazione Porta Descrizione:
Con conservazione dello stato 10.0.0.0/29 (CIDR endpoint API Kubernetes) TCP/6443

(facoltativo) Consenti a bastion di accedere all'endpoint API Kubernetes.
Con conservazione dello stato 10.0.1.0/24 (CIDR nodi lavoratore) TCP/22 (facoltativo) Consenti traffico SSH ai nodi di lavoro.