Documentazione dell'infrastruttura Oracle Cloud

Creazione di una subnet del piano di controllo (pod VCN nativo)

Creare le risorse seguenti nell'ordine elencato:

  1. Lista di sicurezza piano di controllo

  2. Subnet del piano di controllo

Creare una lista di sicurezza per il piano di controllo

Creare un elenco di sicurezza. Vedere Creazione di una lista di sicurezza. Per l'input Terraform, vedere Script Terraform di esempio (pod nativo per VCN).

Per questo esempio, utilizzare l'input seguente per l'elenco di sicurezza della subnet del piano di controllo. kubernetes_api_port è la porta utilizzata per accedere all'API Kubernetes: porta 6443. Vedere anche Porte di rete cluster del carico di lavoro (Pod VCN nativo).

Proprietà console

Proprietà CLI

  • Nome: kmi-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: kmi-seclist

Una regola di sicurezza di uscita:

  • Senza stato: deselezionare la casella

  • CIDR in uscita: 0.0.0.0/0

  • Protocollo IP: Tutti i protocolli

  • Descrizione: "Consenti tutto il traffico in uscita".

Una regola di sicurezza di uscita:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: "Consenti tutto il traffico in uscita".

Undici regole di sicurezza di entrata:

Undici regole di sicurezza di entrata:

--ingress-security-rules

Regola di entrata 1

  • Senza stato: cancella la scatola

  • CIDR in entrata: kube_client_cidr

  • Protocollo IP: TCP

    • Intervallo porte di destinazione: kubernetes_api_port

  • Descrizione: "Consenti ai client di comunicare con l'API Kubernetes".

 Regola di entrata 1

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Consenti ai client di comunicare con l'API Kubernetes".
Regola di entrata 2

  • Senza stato: cancella la scatola

  • CIDR in entrata: kmilb_cidr

  • Protocollo IP: TCP

    • Intervallo porte di destinazione: kubernetes_api_port

  • Descrizione: "Consenti al load balancer di comunicare con le API del piano di controllo Kubernetes".

 Regola di entrata 2

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Consenti al load balancer di comunicare con le API del piano di controllo Kubernetes".
Regola di entrata 3

  • Senza stato: cancella la scatola

  • CIDR in entrata: kmilb_cidr

  • Protocollo IP: TCP

    • Intervallo delle porte di destinazione: 12250

  • Descrizione: "Consenti al worker Kubernetes di comunicare con l'endpoint API Kubernetes tramite il load balancer del piano di controllo."

 Regola di entrata 3

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description: "Consenti al worker Kubernetes di comunicare con l'endpoint API Kubernetes tramite il load balancer del piano di controllo."
Regola di entrata 4

  • Senza stato: cancella la scatola

  • CIDR in entrata: worker_cidr

  • Protocollo IP: TCP

    • Intervallo porte di destinazione: kubernetes_api_port

  • Descrizione: "Consenti ai nodi di lavoro di accedere all'API Kubernetes".

 Regola di entrata 4

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Consenti ai nodi di lavoro di accedere all'API Kubernetes".
Regola di entrata 5

  • Senza stato: cancella la scatola

  • CIDR in entrata: worker_cidr

  • Protocollo IP: TCP

    • Intervallo delle porte di destinazione: 12250

  • Descrizione: "Consenti al worker Kubernetes di comunicare con l'endpoint API Kubernetes".

 Regola di entrata 5

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description: "Consenti al worker Kubernetes di comunicare con l'endpoint API Kubernetes".
Regola di entrata 6

  • Senza stato: cancella la scatola

  • CIDR in entrata: kmi_cidr

  • Protocollo IP: TCP

    • Intervallo porte di destinazione: kubernetes_api_port

  • Descrizione: "Consenti al piano di controllo di raggiungere se stesso."

 Regola di entrata 6

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Consenti al piano di controllo di raggiungere se stesso".
Regola di entrata 7

  • Senza stato: cancella la scatola

  • CIDR in entrata: kmi_cidr

  • Protocollo IP: TCP

    • Intervallo delle porte di destinazione: 2379-2381

  • Descrizione: "Consenti al piano di controllo di raggiungere i servizi e le metriche etcd. Le porte 2379 e 2380 vengono utilizzate da Kubernetes per comunicare con il server etcd. La porta 2381 viene utilizzata da Kubernetes per raccogliere le metriche da etcd."

 Regola di entrata 7

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 2381

    • min: 2379

  • description: "Consenti al piano di controllo di raggiungere i servizi e le metriche etcd. Le porte 2379 e 2380 vengono utilizzate da Kubernetes per comunicare con il server etcd. La porta 2381 viene utilizzata da Kubernetes per raccogliere le metriche da etcd."
Regola di entrata 8

  • Senza stato: cancella la scatola

  • CIDR in entrata: kmi_cidr

  • Protocollo IP: TCP

    • Intervallo di porte di destinazione: 10250

  • Descrizione: "Consenti all'endpoint API Kubernetes di controllare la comunicazione dei nodi del piano."

 Regola di entrata 8

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description: "Consenti all'endpoint API Kubernetes di controllare la comunicazione dei nodi del piano."
Regola di entrata 9

  • Senza stato: cancella la scatola

  • CIDR in entrata: kmi_cidr

  • Protocollo IP: TCP

    • Intervallo delle porte di destinazione: 10257-10260

  • Descrizione: "Consenti connessione in entrata per i componenti Kubernetes".

 Regola di entrata 9

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10260

    • min: 10257

  • description: "Consenti connessione in entrata per i componenti Kubernetes".
Regola di entrata 10

  • Senza stato: cancella la scatola

  • CIDR in entrata: pod_cidr

  • Protocollo IP: TCP

    • Intervallo porte di destinazione: kubernetes_api_port

  • Descrizione: "Consenti ai pod di comunicare con le API Kubernetes".

 Regola di entrata 10

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Consenti ai pod di comunicare con le API Kubernetes".
Regola di entrata 11

  • Senza stato: cancella la scatola

  • CIDR in entrata: pod_cidr

  • Protocollo IP: TCP

    • Intervallo di porte di destinazione: 12250

  • Descrizione: "Consenti pod Kubernetes alla comunicazione dell'endpoint API Kubernetes."

 Regola di entrata 11

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description: "Consenti pod Kubernetes alla comunicazione dell'endpoint API Kubernetes."

Creare la subnet del piano di controllo

Creare una subnet. Vedere Creazione di una sottorete. Per l'input Terraform, vedere Script Terraform di esempio (pod nativo per VCN).

Utilizzare l'input seguente per creare la subnet del piano di controllo. Utilizzare l'OCID della VCN creata nella creazione di una VCN (pod VCN nativo). Creare la subnet del piano di controllo nello stesso compartimento in cui è stata creata la VCN.

Creare una subnet del piano di controllo privato NAT o una subnet del piano di controllo privato VCN. Creare una subnet del piano di controllo privato NAT per comunicare all'esterno della VCN.

Importante

Il nome di questa subnet deve essere esattamente "piano di controllo".

Creare una subnet del piano di controllo privato del data center

Proprietà console

Proprietà CLI

  • Nome: piano di controllo

  • Blocco CIDR: kmi_cidr

  • Tabella di instradamento: selezionare "nat_private" dall'elenco

  • Subnet privata: selezionare la casella

  • Nomi host DNS:

    Utilizza nomi host DNS in questa sottorete: selezionare la casella

    • Etichetta DNS: kmi

  • Liste di sicurezza: selezionare "kmi-seclist" e "Lista di sicurezza predefinita per oketest-vcn" dall'elenco

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane

  • --cidr-block: kmi_cidr

  • --dns-label: kmi

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID della tabella di instradamento "nat_private"

  • --security-list-ids: OCID della lista di sicurezza "kmi-seclist" e della lista di sicurezza "Default Security List for oketest-vcn"

La differenza nella subnet privata riportata di seguito è che viene utilizzata la tabella di instradamento privato VCN anziché la tabella di instradamento privato NAT.

Creare una subnet del piano di controllo privato VCN

Proprietà console

Proprietà CLI

  • Nome: piano di controllo

  • Blocco CIDR: kmi_cidr

  • Tabella di instradamento: selezionare "vcn_private" dall'elenco

  • Subnet privata: selezionare la casella

  • Nomi host DNS:

    Utilizza nomi host DNS in questa sottorete: selezionare la casella

    • Etichetta DNS: kmi

  • Liste di sicurezza: selezionare "kmi-seclist" e "Lista di sicurezza predefinita per oketest-vcn" dall'elenco

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane

  • --cidr-block: kmi_cidr

  • --dns-label: kmi

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID della tabella di instradamento "vcn_private"

  • --security-list-ids: OCID della lista di sicurezza "kmi-seclist" e della lista di sicurezza "Default Security List for oketest-vcn"