Creazione di una subnet del load balancer del piano di controllo (pod VCN nativo)

Creare le risorse seguenti nell'ordine elencato:

Lista di sicurezza del load balancer del piano di controllo
Subnet del load balancer del piano di controllo

Creare una lista di sicurezza del load balancer del piano di controllo

Creare un elenco di sicurezza. Vedere Creazione di una lista di sicurezza. Per l'input Terraform, vedere Script Terraform di esempio (pod nativo per VCN).

Il load balancer del piano di controllo accetta il traffico sulla porta 6443, denominata anche kubernetes_api_port in questa guida. Modificare questa lista di sicurezza in modo che accetti solo le connessioni da cui prevedi l'esecuzione della rete. La porta 6443 deve accettare le connessioni dalle istanze del piano di controllo cluster e dalle istanze di worker.

Per questo esempio, utilizzare l'input riportato di seguito per la lista di sicurezza della subnet del load balancer del piano di controllo.


Proprietà console	Proprietà CLI
Nome: kmilb-seclist	`--vcn-id`: `ocid1.vcn.oke_vcn_id` `--display-name`: elenco di kmilb
Una regola di sicurezza di uscita: Senza stato: deselezionare la casella CIDR in uscita: 0.0.0.0/0 Protocollo IP: Tutti i protocolli Descrizione: "Consenti tutto il traffico in uscita".	Una regola di sicurezza di uscita: `--egress-security-rules` `isStateless`: `false` `destination`: `0.0.0.0/0` `destinationType`: `CIDR_BLOCK` `protocol`: `all` `description`: "Consenti tutto il traffico in uscita".
Otto regole di sicurezza di entrata:	Otto regole di sicurezza di entrata: `--ingress-security-rules`
Regola di entrata 1: Senza stato: deselezionare la casella CIDR in entrata: `kube_internal_cidr` Questo valore è obbligatorio. Non modificare questo valore CIDR. Protocollo IP: TCP Intervallo porte di destinazione: `kubernetes_api_port` Descrizione: "Consenti a un container Kubernetes di comunicare con le API Kubernetes".	Regola di entrata 1: `isStateless`: `false` `source`: `kube_internal_cidr` Questo valore è obbligatorio. Non modificare questo valore CIDR. `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `kubernetes_api_port` `min`: `kubernetes_api_port` `description`: "Consenti a un container Kubernetes di comunicare con le API Kubernetes".
Regola di entrata 2: Senza stato: deselezionare la casella CIDR in entrata: `kube_client_cidr` Protocollo IP: TCP Intervallo porte di destinazione: `kubernetes_api_port` Descrizione: "Consenti ai client di connettersi al cluster Kubernetes".	Regola di entrata 2: `isStateless`: `false` `source`: `kube_client_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `kubernetes_api_port` `min`: `kubernetes_api_port` `description`: "Consenti ai client di connettersi al cluster Kubernetes".
Regola di entrata 3: Senza stato: deselezionare la casella CIDR in entrata: `kmi_cidr` Protocollo IP: TCP Intervallo porte di destinazione: `kubernetes_api_port` Descrizione: "Consenti al piano di controllo di raggiungere se stesso tramite il load balancer".	Regola di entrata 3: `isStateless`: `false` `source`: `kmi_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `kubernetes_api_port` `min`: `kubernetes_api_port` `description`: "Consenti al piano di controllo di raggiungere se stesso tramite il load balancer."
Regola di entrata 4: Senza stato: deselezionare la casella CIDR in entrata: `worker_cidr` Protocollo IP: TCP Intervallo porte di destinazione: `kubernetes_api_port` Descrizione: "Consenti ai nodi di lavoro di connettersi al cluster tramite il load balancer del piano di controllo".	Regola di entrata 4: `isStateless`: `false` `source`: `worker_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `kubernetes_api_port` `min`: `kubernetes_api_port` `description`: "Consenti ai nodi di lavoro di connettersi al cluster tramite il load balancer del piano di controllo".
Regola di entrata 5: Senza stato: deselezionare la casella CIDR in entrata: `worker_cidr` Protocollo IP: TCP Intervallo delle porte di destinazione: `12250` Descrizione: "Consenti al worker Kubernetes di comunicare l'endpoint API Kubernetes tramite il load balancer."	Regola di entrata 5: `isStateless`: `false` `source`: `worker_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `12250` `min`: `12250` `description`: "Consentire la comunicazione dell'endpoint API Kubernetes al worker Kubernetes tramite il load balancer."
Regola di entrata 6: Senza stato: deselezionare la casella CIDR in entrata: `pod_cidr` Protocollo IP: TCP Intervallo delle porte di destinazione: `12250` Descrizione: "Consenti i pod Kubernetes alla comunicazione dell'endpoint API Kubernetes tramite il load balancer."	Regola di entrata 6: `isStateless`: `false` `source`: `pod_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `12250` `min`: `12250` `description`: "Consenti ai pod Kubernetes di comunicare con l'endpoint API Kubernetes tramite il load balancer."
Regola di entrata 7: endpoint privato Senza stato: deselezionare la casella di controllo CIDR in entrata: `kmilb_cidr` Protocollo IP: TCP Intervallo porte di destinazione: `kubernetes_api_port` Descrizione: "Utilizzato per creare un endpoint del piano di controllo privato".	Regola di entrata 7: endpoint privato `isStateless`: `false` `source`: `kmilb_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `kubernetes_api_port` `min`: `kubernetes_api_port` `description`: "Utilizzato per creare un endpoint del piano di controllo privato".
Regola di entrata 8: endpoint pubblico Senza stato: deselezionare la casella di controllo CIDR in entrata: `public_ip_cidr` Protocollo IP: TCP Intervallo porte di destinazione: `kubernetes_api_port` Descrizione: "Utilizzato per accedere all'endpoint del piano di controllo dal CIDR pubblico. Se non si conosce il CIDR IP pubblico, aprire una richiesta di supporto. Vedere Creazione di una richiesta di supporto. Per accedere al supporto, collegarsi alla console di Oracle Cloud come descritto in Accedi alla console OCI.	Regola di entrata 8: endpoint pubblico `isStateless`: `false` `source`: `public_ip_cidr` `sourceType`: `CIDR_BLOCK` `protocol`: `6` `tcpOptions` `destinationPortRange` `max`: `kubernetes_api_port` `min`: `kubernetes_api_port` `description`: "Utilizzato per accedere all'endpoint del piano di controllo dal CIDR pubblico. Se non si conosce il CIDR IP pubblico, aprire una richiesta di supporto. Vedere Creazione di una richiesta di supporto. Per accedere al supporto, collegarsi alla console di Oracle Cloud come descritto in Accedi alla console OCI.

Creare la subnet del load balancer del piano di controllo

Creare una subnet. Vedere Creazione di una sottorete. Per l'input Terraform, vedere Script Terraform di esempio (pod nativo per VCN).

Per questo esempio, utilizzare l'input riportato di seguito per creare la subnet del load balancer del piano di controllo. Utilizzare l'OCID della VCN creata nella creazione di una VCN (pod VCN nativo). Creare la subnet del load balancer del piano di controllo nello stesso compartimento in cui è stata creata la VCN.

Creare una subnet del load balancer del piano di controllo privato o pubblico. Creare una subnet del load balancer del piano di controllo pubblico da utilizzare con un cluster pubblico. Creare una subnet del load balancer del piano di controllo privato da utilizzare con un cluster privato.

Vedere Cluster privati per informazioni sull'uso dei Local Peering Gateway per connettere un cluster privato ad altre istanze in Compute Cloud@Customer e sull'uso dei Dynamic Routing Gateway per connettere un cluster privato allo spazio di indirizzi IP in locale. Per creare una subnet del load balancer del piano di controllo privato, specificare una delle tabelle di instradamento riportate di seguito.

vcn_private
lpg_rt
drg_rt

Creare una subnet del load balancer del piano di controllo pubblico
Proprietà console	Proprietà CLI
Nome: control-plane-endpoint Blocco CIDR: `kmilb_cidr` Tabella di instradamento: selezionare "pubblico" dall'elenco Subnet pubblica: selezionare la casella Nomi host DNS: Utilizza nomi host DNS in questa sottorete: selezionare la casella Etichetta DNS: kmilb Liste di sicurezza: selezionare "kmilb-seclist" e "Lista di sicurezza predefinita per oketest-vcn" dall'elenco	`--vcn-id`: `ocid1.vcn.oke_vcn_id` `--display-name`: `control-plane-endpoint` `--cidr-block`: `kmilb_cidr` `--dns-label`: `kmilb` `--prohibit-public-ip-on-vnic`: `false` `--route-table-id`: OCID della tabella di instradamento "pubblico" `--security-list-ids`: OCID della lista di sicurezza "kmilb-seclist" e della lista di sicurezza "Default Security List for oketest-vcn"

La differenza nella subnet privata riportata di seguito è che viene utilizzata la tabella di instradamento privato VCN anziché la tabella di instradamento pubblico. A seconda delle esigenze, è possibile specificare la tabella di instradamento LPG o la tabella di instradamento DRG.

Creare una subnet del load balancer del piano di controllo privato
Proprietà console	Proprietà CLI
Nome: control-plane-endpoint Blocco CIDR: `kmilb_cidr` Tabella di instradamento: selezionare "vcn_private" dall'elenco Subnet privata: selezionare la casella Nomi host DNS: Utilizza nomi host DNS in questa sottorete: selezionare la casella Etichetta DNS: kmilb Liste di sicurezza: selezionare "kmilb-seclist" e "Lista di sicurezza predefinita per oketest-vcn" dall'elenco	`--vcn-id`: `ocid1.vcn.oke_vcn_id` `--display-name`: `control-plane-endpoint` `--cidr-block`: `kmilb_cidr` `--dns-label`: `kmilb` `--prohibit-public-ip-on-vnic`: `true` `--route-table-id`: OCID della tabella di instradamento "vcn_private" `--security-list-ids`: OCID della lista di sicurezza "kmilb-seclist" e della lista di sicurezza "Default Security List for oketest-vcn"

Documentazione dell'infrastruttura Oracle Cloud

Creazione di una subnet del load balancer del piano di controllo (pod VCN nativo)

Creare una lista di sicurezza del load balancer del piano di controllo

Creare la subnet del load balancer del piano di controllo