Creazione di una subnet del load balancer del piano di controllo (pod VCN nativo)

Creare le risorse seguenti nell'ordine elencato:

  1. Lista di sicurezza del load balancer del piano di controllo

  2. Subnet del load balancer del piano di controllo

Creare una lista di sicurezza del load balancer del piano di controllo

Creare un elenco di sicurezza. Vedere Creazione di una lista di sicurezza. Per l'input Terraform, vedere Script Terraform di esempio (pod nativo per VCN).

Il load balancer del piano di controllo accetta il traffico sulla porta 6443, denominata anche kubernetes_api_port in questa guida. Modificare questa lista di sicurezza in modo che accetti solo le connessioni da cui prevedi l'esecuzione della rete. La porta 6443 deve accettare le connessioni dalle istanze del piano di controllo cluster e dalle istanze di worker.

Per questo esempio, utilizzare l'input riportato di seguito per la lista di sicurezza della subnet del load balancer del piano di controllo.

Proprietà console

Proprietà CLI

  • Nome: kmilb-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: elenco di kmilb

Una regola di sicurezza di uscita:

  • Senza stato: deselezionare la casella

  • CIDR in uscita: 0.0.0.0/0

  • Protocollo IP: Tutti i protocolli

  • Descrizione: "Consenti tutto il traffico in uscita".

Una regola di sicurezza di uscita:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: "Consenti tutto il traffico in uscita".

Otto regole di sicurezza di entrata:

Otto regole di sicurezza di entrata:

--ingress-security-rules

Regola di entrata 1:

  • Senza stato: deselezionare la casella

  • CIDR in entrata: kube_internal_cidr

    Questo valore è obbligatorio. Non modificare questo valore CIDR.

  • Protocollo IP: TCP

    • Intervallo porte di destinazione: kubernetes_api_port

  • Descrizione: "Consenti a un container Kubernetes di comunicare con le API Kubernetes".

Regola di entrata 1:

  • isStateless: false

  • source: kube_internal_cidr

    Questo valore è obbligatorio. Non modificare questo valore CIDR.

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Consenti a un container Kubernetes di comunicare con le API Kubernetes".

Regola di entrata 2:

  • Senza stato: deselezionare la casella

  • CIDR in entrata: kube_client_cidr

  • Protocollo IP: TCP

    • Intervallo porte di destinazione: kubernetes_api_port

  • Descrizione: "Consenti ai client di connettersi al cluster Kubernetes".

Regola di entrata 2:

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Consenti ai client di connettersi al cluster Kubernetes".

Regola di entrata 3:

  • Senza stato: deselezionare la casella

  • CIDR in entrata: kmi_cidr

  • Protocollo IP: TCP

    • Intervallo porte di destinazione: kubernetes_api_port

  • Descrizione: "Consenti al piano di controllo di raggiungere se stesso tramite il load balancer".

Regola di entrata 3:

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Consenti al piano di controllo di raggiungere se stesso tramite il load balancer."

Regola di entrata 4:

  • Senza stato: deselezionare la casella

  • CIDR in entrata: worker_cidr

  • Protocollo IP: TCP

    • Intervallo porte di destinazione: kubernetes_api_port

  • Descrizione: "Consenti ai nodi di lavoro di connettersi al cluster tramite il load balancer del piano di controllo".

Regola di entrata 4:

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Consenti ai nodi di lavoro di connettersi al cluster tramite il load balancer del piano di controllo".

Regola di entrata 5:

  • Senza stato: deselezionare la casella

  • CIDR in entrata: worker_cidr

  • Protocollo IP: TCP

    • Intervallo delle porte di destinazione: 12250

  • Descrizione: "Consenti al worker Kubernetes di comunicare l'endpoint API Kubernetes tramite il load balancer."

Regola di entrata 5:

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description: "Consentire la comunicazione dell'endpoint API Kubernetes al worker Kubernetes tramite il load balancer."

Regola di entrata 6:

  • Senza stato: deselezionare la casella

  • CIDR in entrata: pod_cidr

  • Protocollo IP: TCP

    • Intervallo delle porte di destinazione: 12250

  • Descrizione: "Consenti i pod Kubernetes alla comunicazione dell'endpoint API Kubernetes tramite il load balancer."

Regola di entrata 6:

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description: "Consenti ai pod Kubernetes di comunicare con l'endpoint API Kubernetes tramite il load balancer."

Regola di entrata 7: endpoint privato

  • Senza stato: deselezionare la casella di controllo

  • CIDR in entrata: kmilb_cidr

  • Protocollo IP: TCP

    • Intervallo porte di destinazione: kubernetes_api_port

  • Descrizione: "Utilizzato per creare un endpoint del piano di controllo privato".

Regola di entrata 7: endpoint privato

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Utilizzato per creare un endpoint del piano di controllo privato".

Regola di entrata 8: endpoint pubblico

  • Senza stato: deselezionare la casella di controllo

  • CIDR in entrata: public_ip_cidr

  • Protocollo IP: TCP

    • Intervallo porte di destinazione: kubernetes_api_port

  • Descrizione: "Utilizzato per accedere all'endpoint del piano di controllo dal CIDR pubblico. Se non si conosce il CIDR IP pubblico, aprire una richiesta di supporto. Vedere Creazione di una richiesta di supporto. Per accedere al supporto, collegarsi alla console di Oracle Cloud come descritto in Accedi alla console OCI.

Regola di entrata 8: endpoint pubblico

  • isStateless: false

  • source: public_ip_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Utilizzato per accedere all'endpoint del piano di controllo dal CIDR pubblico. Se non si conosce il CIDR IP pubblico, aprire una richiesta di supporto. Vedere Creazione di una richiesta di supporto. Per accedere al supporto, collegarsi alla console di Oracle Cloud come descritto in Accedi alla console OCI.

Creare la subnet del load balancer del piano di controllo

Creare una subnet. Vedere Creazione di una sottorete. Per l'input Terraform, vedere Script Terraform di esempio (pod nativo per VCN).

Per questo esempio, utilizzare l'input riportato di seguito per creare la subnet del load balancer del piano di controllo. Utilizzare l'OCID della VCN creata nella creazione di una VCN (pod VCN nativo). Creare la subnet del load balancer del piano di controllo nello stesso compartimento in cui è stata creata la VCN.

Creare una subnet del load balancer del piano di controllo privato o pubblico. Creare una subnet del load balancer del piano di controllo pubblico da utilizzare con un cluster pubblico. Creare una subnet del load balancer del piano di controllo privato da utilizzare con un cluster privato.

Vedere Cluster privati per informazioni sull'uso dei Local Peering Gateway per connettere un cluster privato ad altre istanze in Compute Cloud@Customer e sull'uso dei Dynamic Routing Gateway per connettere un cluster privato allo spazio di indirizzi IP in locale. Per creare una subnet del load balancer del piano di controllo privato, specificare una delle tabelle di instradamento riportate di seguito.

  • vcn_private

  • lpg_rt

  • drg_rt

Creare una subnet del load balancer del piano di controllo pubblico

Proprietà console

Proprietà CLI

  • Nome: control-plane-endpoint

  • Blocco CIDR: kmilb_cidr

  • Tabella di instradamento: selezionare "pubblico" dall'elenco

  • Subnet pubblica: selezionare la casella

  • Nomi host DNS:

    Utilizza nomi host DNS in questa sottorete: selezionare la casella

    • Etichetta DNS: kmilb

  • Liste di sicurezza: selezionare "kmilb-seclist" e "Lista di sicurezza predefinita per oketest-vcn" dall'elenco

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane-endpoint

  • --cidr-block: kmilb_cidr

  • --dns-label: kmilb

  • --prohibit-public-ip-on-vnic: false

  • --route-table-id: OCID della tabella di instradamento "pubblico"

  • --security-list-ids: OCID della lista di sicurezza "kmilb-seclist" e della lista di sicurezza "Default Security List for oketest-vcn"

La differenza nella subnet privata riportata di seguito è che viene utilizzata la tabella di instradamento privato VCN anziché la tabella di instradamento pubblico. A seconda delle esigenze, è possibile specificare la tabella di instradamento LPG o la tabella di instradamento DRG.

Creare una subnet del load balancer del piano di controllo privato

Proprietà console

Proprietà CLI

  • Nome: control-plane-endpoint

  • Blocco CIDR: kmilb_cidr

  • Tabella di instradamento: selezionare "vcn_private" dall'elenco

  • Subnet privata: selezionare la casella

  • Nomi host DNS:

    Utilizza nomi host DNS in questa sottorete: selezionare la casella

    • Etichetta DNS: kmilb

  • Liste di sicurezza: selezionare "kmilb-seclist" e "Lista di sicurezza predefinita per oketest-vcn" dall'elenco

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane-endpoint

  • --cidr-block: kmilb_cidr

  • --dns-label: kmilb

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID della tabella di instradamento "vcn_private"

  • --security-list-ids: OCID della lista di sicurezza "kmilb-seclist" e della lista di sicurezza "Default Security List for oketest-vcn"