Creazione di una subnet di lavoratori (pod VCN nativo)

Su Compute Cloud@Customer,

Creare le risorse seguenti nell'ordine elencato:

  1. Lista di sicurezza lavoratore

  2. Subnet di lavoro

Crea lista di sicurezza lavoratore

Creare un elenco di sicurezza. Vedere Creazione di una lista di sicurezza. Per l'input Terraform, vedere Script Terraform di esempio (pod nativo per VCN).

Questa lista di sicurezza definisce il traffico consentito per contattare direttamente i nodi di lavoro.

Per questo esempio, utilizzare l'input seguente per la lista di sicurezza della subnet del lavoratore.

Proprietà console

Proprietà CLI

  • Nome: worker-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker-seclist

Una regola di sicurezza di uscita:

  • Senza stato: deselezionare la casella

  • CIDR in uscita: 0.0.0.0/0

  • Protocollo IP: Tutti i protocolli

  • Descrizione: "Consenti tutto il traffico in uscita".

Una regola di sicurezza di uscita:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: "Consenti tutto il traffico in uscita".

Tredici regole di sicurezza di entrata:

Tredici regole di sicurezza di entrata:

--ingress-security-rules

Regola di entrata 1

  • Senza stato: deselezionare la casella

  • CIDR in entrata: kube_client_cidr

  • Protocollo IP: TCP

    • Intervallo delle porte di destinazione: 30000-32767

  • Descrizione: "Consenti ai nodi di lavoro di ricevere connessioni attraverso la subnet pod".

Regola di entrata 1

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Consenti ai nodi di lavoro di ricevere connessioni attraverso la subnet pod".

Regola di entrata 2

  • Senza stato: deselezionare la casella

  • CIDR in entrata: kmi_cidr

  • Protocollo IP: TCP

    • Intervallo di porte di destinazione: 22

  • Descrizione: "Consenti connessione SSH dalla subnet del piano di controllo".

Regola di entrata 2

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description: "Consenti connessione SSH dalla subnet del piano di controllo".

Regola di entrata 3

  • Senza stato: deselezionare la casella

  • CIDR in entrata: worker_cidr

  • Protocollo IP: TCP

    • Intervallo di porte di destinazione: 22

  • Descrizione: "Consenti connessione SSH dalla subnet del worker".

Regola di entrata 3

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description: "Consenti connessione SSH dalla subnet del worker".

Regola di entrata 4

  • Senza stato: deselezionare la casella

  • CIDR in entrata: worker_cidr

  • Protocollo IP: TCP

    • Intervallo di porte di destinazione: 10250

  • Descrizione: "Consenti l'endpoint API Kubernetes alla comunicazione del nodo di lavoro".

Regola di entrata 4

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description: "Consenti l'endpoint API Kubernetes alla comunicazione del nodo di lavoro".

Regola di entrata 5

  • Senza stato: deselezionare la casella

  • CIDR in entrata: worker_cidr

  • Protocollo IP: TCP

    • Intervallo di porte di destinazione: 10256

  • Descrizione: consente al load balancer o al load balancer di rete di comunicare con kube-proxy sui nodi di lavoro.

Regola di entrata 5

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: "Consenti al load balancer o al load balancer di rete di comunicare con kube-proxy sui nodi di lavoro".

Regola di entrata 6

  • Senza stato: deselezionare la casella

  • CIDR in entrata: worker_cidr

  • Protocollo IP: TCP

    • Intervallo delle porte di destinazione: 30000-32767

  • Descrizione: "Consenti traffico ai nodi di lavoro".

Regola di entrata 6

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Consenti traffico ai nodi di lavoro".

Regola di entrata 7

  • Senza stato: deselezionare la casella

  • CIDR in entrata: workerlb_cidr

  • Protocollo IP: TCP

    • Intervallo di porte di destinazione: 10256

  • Descrizione: consente al load balancer o al load balancer di rete di comunicare con kube-proxy sui nodi di lavoro.

Regola di entrata 7

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: "Consenti al load balancer o al load balancer di rete di comunicare con kube-proxy sui nodi di lavoro".

Regola di entrata 8

  • Senza stato: deselezionare la casella

  • CIDR in entrata: workerlb_cidr

  • Protocollo IP: TCP

    • Intervallo delle porte di destinazione: 30000-32767

  • Descrizione: "Consenti ai nodi di lavoro di ricevere connessioni tramite il load balancer di rete".

Regola di entrata 8

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Consenti ai nodi di lavoro di ricevere connessioni tramite il load balancer di rete".

Regola di entrata 9

  • Senza stato: deselezionare la casella

  • CIDR in entrata: kmi_cidr

  • Protocollo IP: TCP

    • Intervallo di porte di destinazione: 10250

  • Descrizione: "Consenti l'endpoint API Kubernetes alla comunicazione del nodo di lavoro".

Regola di entrata 9

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description: "Consenti l'endpoint API Kubernetes alla comunicazione del nodo di lavoro".

Regola di entrata 10

  • Senza stato: deselezionare la casella

  • CIDR in entrata: kmi_cidr

  • Protocollo IP: TCP

    • Intervallo di porte di destinazione: 10256

  • Descrizione: consente al load balancer o al load balancer di rete di comunicare con kube-proxy sui nodi di lavoro.

Regola di entrata 10

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: "Consenti al load balancer o al load balancer di rete di comunicare con kube-proxy sui nodi di lavoro".

Regola di entrata 11

  • Senza stato: deselezionare la casella

  • CIDR in entrata: pod_cidr

  • Protocollo IP: TCP

    • Intervallo delle porte di destinazione: 30000-32767

  • Descrizione: "Consenti ai nodi di lavoro di ricevere connessioni attraverso la subnet pod".

Regola di entrata 11

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Consenti ai nodi di lavoro di ricevere connessioni attraverso la subnet pod".

Regola di entrata 12

  • Senza stato: deselezionare la casella

  • CIDR in entrata: kmi_cidr

  • Protocollo IP: ICMP

    • Tipo di parametro: 8: Eco

  • Descrizione: "Test della raggiungibilità di un pod di rete da kmi_cidr inviando una richiesta."

Regola di entrata 12

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 8

  • description: "Test della raggiungibilità di un pod di rete da kmi_cidr inviando una richiesta."

Regola di entrata 13

  • Senza stato: deselezionare la casella

  • CIDR in entrata: kmi_cidr

  • Protocollo IP: ICMP

    • Tipo di parametro: 0: Risposta dell'eco

  • Descrizione: "Se il pod di destinazione è raggiungibile da kmi_cidr, rispondere con un ICMP Echo Reply."

Regola di entrata 13

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 0

  • description: "Se il pod di destinazione è raggiungibile da kmi_cidr, rispondere con un ICMP Echo Reply."

Crea subnet lavoratore

Creare una subnet. Vedere Creazione di una sottorete. Per l'input Terraform, vedere Script Terraform di esempio (pod nativo per VCN).

In questo esempio, utilizzare l'input seguente per creare la subnet del worker. Utilizzare l'OCID della VCN creata nella creazione di una VCN (pod VCN nativo). Creare la subnet del worker nello stesso compartimento in cui è stata creata la VCN.

Creare una subnet di worker privata NAT o una subnet di worker privata VCN. Creare una subnet di worker privata NAT per comunicare all'esterno della VCN.

Creare una subnet del worker privato NAT

Proprietà console

Proprietà CLI

  • Nome: lavoratore

  • Blocco CIDR: worker_cidr

  • Tabella di instradamento: selezionare "nat_private" dall'elenco

  • Subnet privata: selezionare la casella

  • Nomi host DNS:

    Utilizza nomi host DNS in questa sottorete: selezionare la casella

    • Etichetta DNS: worker

  • Liste di sicurezza: selezionare "worker-seclist" e "Lista di sicurezza predefinita per oketest-vcn" dalla lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID della tabella di instradamento "nat_private"

  • --security-list-ids: OCID della lista di sicurezza "worker-seclist" e della lista di sicurezza "Default Security List for oketest-vcn"

La differenza nella subnet privata riportata di seguito è che viene utilizzata la tabella di instradamento privato VCN anziché la tabella di instradamento privato NAT.

Creare una subnet di worker privato VCN

Proprietà console

Proprietà CLI

  • Nome: lavoratore

  • Blocco CIDR: worker_cidr

  • Tabella di instradamento: selezionare "vcn_private" dall'elenco

  • Subnet privata: selezionare la casella

  • Nomi host DNS:

    Utilizza nomi host DNS in questa sottorete: selezionare la casella

    • Etichetta DNS: worker

  • Liste di sicurezza: selezionare "worker-seclist" e "Lista di sicurezza predefinita per oketest-vcn" dalla lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID della tabella di instradamento "vcn_private"

  • --security-list-ids: OCID della lista di sicurezza "worker-seclist" e della lista di sicurezza "Default Security List for oketest-vcn"