Documentazione dell'infrastruttura Oracle Cloud

Creazione di una VCN (pod VCN nativo)

Scopri come creare una VCN Pod Networking nativa per la VCN su Compute Cloud@Customer.

Creare le risorse seguenti nell'ordine elencato:

  1. VCN

  2. Regole di instradamento

    • Cluster pubblici:

      • Gateway Internet e una tabella di instradamento con una regola di instradamento che fa riferimento a tale gateway Internet.

      • Gateway NAT e una tabella di instradamento con una regola di instradamento che fa riferimento a tale gateway NAT.

    • Cluster privati:

      • Tabella di instradamento senza regole di instradamento.

      • (Facoltativo) Gateway di instradamento dinamico (DRG), collegare la VCN OKE a tale DRG e creare una tabella di instradamento con una regola di instradamento che fa riferimento a tale DRG. Vedere Cluster privati.

      • (Facoltativo) Local Peering Gateway (LPG) e una tabella di instradamento con una regola di instradamento che fa riferimento a tale GPL. Vedere Cluster privati.

  3. Lista di sicurezza. Modificare la lista di sicurezza predefinita della VCN

I nomi delle risorse e i blocchi CIDR sono valori di esempio.

VCN

Per creare la VCN, utilizzare le istruzioni riportate in Creazione di una VCN. Per l'input Terraform, vedere Script Terraform di esempio (pod nativo per VCN).

Per creare la VCN, utilizzare l'input riportato di seguito. La VCN copre un blocco CIDR contiguo. Impossibile modificare il blocco CIDR dopo la creazione della VCN.

Proprietà console

Proprietà CLI

  • Nome: oketest-vcn

  • Blocco CIDR: vcn_cidr

  • Etichetta DNS: oketest

    Questa etichetta deve essere univoca in tutte le VCN nella tenancy.

  • --display-name: oketest-vcn

  • --cidr-blocks: '["vcn_cidr"]'

  • --dns-label: oketest

    Questa etichetta deve essere univoca in tutte le VCN nella tenancy.

Prendere nota dell'OCID della nuova VCN. Negli esempi riportati in questa guida, questo OCID VCN è ocid1.vcn.oke_vcn_id.

Passi successivi

  • Accesso a Internet pubblico. Per il traffico su una subnet pubblica che si connette a Internet utilizzando indirizzi IP pubblici, creare un gateway Internet e una regola di instradamento che fa riferimento a tale gateway Internet.

  • Accesso a Internet privato. Per il traffico su una subnet privata che deve connettersi a Internet senza esporre gli indirizzi IP privati, creare un gateway NAT e una regola di instradamento che faccia riferimento a tale gateway NAT.

  • Accesso solo alla VCN. Per limitare la comunicazione solo ad altre risorse nella stessa VCN, utilizzare la tabella di instradamento predefinita, che non dispone di regole di instradamento.

  • Istanze in un'altra VCN. Per abilitare la comunicazione tra il cluster e un'istanza in esecuzione su una VCN diversa, creare un Local Peering Gateway (LPG) e una regola di instradamento che faccia riferimento a tale LPG.

  • Spazio di indirizzi IP del data center. Per abilitare la comunicazione tra il cluster e lo spazio di indirizzi IP di rete in locale, creare un gateway di instradamento dinamico (DRG) e una regola di instradamento che faccia riferimento a tale DRG.

Tabella di instradamento privato VCN

Modificare la tabella di instradamento predefinita creata al momento della creazione della VCN. Modificare il nome della tabella di instradamento in vcn_private. Questa tabella di instradamento non dispone di regole di instradamento. Non aggiungere regole di instradamento.

Tabella di instradamento privato NAT

Creare un gateway NAT e una tabella di instradamento con una regola di instradamento che fa riferimento al gateway NAT.

Gateway NAT

Per creare il gateway NAT, utilizzare le istruzioni riportate in Abilitazione delle connessioni pubbliche tramite un gateway NAT. Per l'input Terraform, vedere Script Terraform di esempio (pod nativo per VCN).

Prendere nota del nome e dell'OCID del gateway NAT per l'assegnazione alla regola di instradamento privato.

Regola di instradamento privato

Creare una tabella di instradamento. Vedere Creazione di una tabella di instradamento. Per l'input Terraform, vedere Script Terraform di esempio (pod nativo per VCN).

In questo esempio, utilizzare l'input riportato di seguito per creare la tabella di instradamento con una regola di instradamento privata che fa riferimento al gateway NAT creato nel passo precedente.

Proprietà console

Proprietà CLI

  • Nome: nat_private

Regola di instradamento

  • Tipo di destinazione: gateway NAT

  • Gateway NAT: il nome del gateway NAT creato nel passo precedente

  • Blocco CIDR: 0.0.0.0/0

  • Descrizione: regola di instradamento privato NAT

  • --display-name: nat_private

--route-rules

  • networkEntityId: OCID del gateway NAT creato nel passo precedente

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: regola di instradamento privato NAT

Prendere nota del nome e dell'OCID di questa tabella di instradamento per l'assegnazione alle subnet private.

Local Peering Gateway

Creare un Local Peering Gateway (LPG) e una tabella di instradamento con una regola di instradamento che fa riferimento al GPL.

Local Peering Gateway

Creare il GPL. Vedere Connessione di VCN tramite Local Peering Gateway (LPG).

Prendere nota del nome e dell'OCID del GPL per l'assegnazione alla regola di instradamento privato.

Regola di instradamento privato

Creare una tabella di instradamento. Vedere Creazione di una tabella di instradamento.

In questo esempio, utilizzare l'input seguente per creare la tabella di instradamento con una regola di instradamento privata che fa riferimento al GPL creato nel passo precedente.

Proprietà console

Proprietà CLI

  • Nome: lpg_rt

Regola di instradamento

  • Tipo di destinazione: Local Peering Gateway

  • Local Peering Gateway: nome del GPL creato nel passo precedente

  • Blocco CIDR: CIDR_for_the_second_VCN

  • Descrizione: LPG private route rule

  • --display-name: lpg_rt

--route-rules

  • networkEntityId: OCID del GPL creato nel passo precedente

  • destinationType: CIDR_BLOCK

  • destination: CIDR_for_the_second_VCN

  • description: regola di instradamento privato LPG

Prendere nota del nome e dell'OCID di questa tabella di instradamento per l'assegnazione alla subnet "control-plane-endpoint" (Creazione di una subnet del load balancer del piano di controllo (VCN-Native Pod)).

Aggiungere la stessa regola di instradamento nella seconda VCN (VCN sottoposta a peering), specificando il CIDR della VCN OKE come destinazione.

Gateway di instradamento dinamico

Creare un gateway di instradamento dinamico (DRG) e una tabella di instradamento con una regola di instradamento che fa riferimento al DRG.

Gateway di instradamento dinamico

Creare il DRG e collegare la VCN OKE a tale DRG. Vedere Connessione alla rete in locale tramite un gateway di instradamento dinamico (DRG). Creare il DRG nel compartimento VCN OKE, quindi collegare la VCN OKE a tale DRG.

Prendere nota del nome e dell'OCID del DRG per l'assegnazione alla regola di instradamento privato.

Regola di instradamento privato

Creare una tabella di instradamento. Vedere Creazione di una tabella di instradamento.

In questo esempio, utilizzare l'input riportato di seguito per creare la tabella di instradamento con una regola di instradamento privata che fa riferimento al DRG creato nel passo precedente.

Proprietà console

Proprietà CLI

  • Nome: drg_rt

Regola di instradamento

  • Tipo di destinazione: gateway di instradamento dinamico

  • Instradamento dinamico: nome del DRG creato nel passo precedente

  • Blocco CIDR: 0.0.0.0/0

  • Descrizione: regola di instradamento privato DRG

  • --display-name: drg_rt

--route-rules

  • networkEntityId: OCID del DRG creato nel passo precedente

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: regola di instradamento privato DRG

Prendere nota del nome e dell'OCID di questa tabella di instradamento per l'assegnazione alla subnet "control-plane-endpoint" (Creazione di una subnet del load balancer del piano di controllo (VCN-Native Pod)).

Tabella di instradamento pubblica

Creare un gateway Internet e una tabella di instradamento con una regola di instradamento che fa riferimento al gateway Internet.

Gateway Internet

Per creare il gateway Internet, utilizzare le istruzioni riportate in Configurazione di un gateway Internet. Per l'input Terraform, vedere Script Terraform di esempio (pod nativo per VCN).

Prendere nota del nome e dell'OCID del gateway Internet per l'assegnazione alla regola di instradamento pubblico.

Regola instradamento pubblico

Per creare una tabella di instradamento, utilizzare le istruzioni riportate in Creazione di una tabella di instradamento. Per l'input Terraform, vedere Script Terraform di esempio (pod nativo per VCN).

In questo esempio, utilizzare l'input riportato di seguito per creare la tabella di instradamento con una regola di instradamento pubblica che fa riferimento al gateway Internet creato nel passo precedente.

Proprietà console

Proprietà CLI

  • Nome: pubblico

Regola di instradamento

  • Tipo di destinazione: Gateway Internet

  • Gateway Internet: il nome del gateway Internet creato nel passo precedente

  • Blocco CIDR: 0.0.0.0/0

  • Descrizione: regola di instradamento pubblico OKE

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: pubblico

--route-rules

  • networkEntityId: OCID del gateway Internet creato nel passo precedente

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: regola di instradamento pubblico OKE

Prendere nota del nome e dell'OCID di questa tabella di instradamento per l'assegnazione alle subnet pubbliche.

Lista di sicurezza predefinita VCN

Modificare l'elenco di sicurezza predefinito utilizzando l'input mostrato nella tabella seguente. Eliminare tutte le regole predefinite e creare le regole visualizzate nella tabella seguente.

Per modificare un elenco di sicurezza, utilizzare le istruzioni riportate in Aggiornamento di una lista di sicurezza. Per l'input Terraform, vedere Script Terraform di esempio (pod nativo per VCN).

Proprietà console

Proprietà CLI

  • Nome: predefinito

--security-list-id: ocid1.securitylist.default_securitylist_id

Una regola di sicurezza di uscita:

  • Senza stato: cancella la scatola

  • CIDR in uscita: 0.0.0.0/0

  • Protocollo IP: Tutti i protocolli

  • Descrizione: "Consenti tutto il traffico in uscita".

Una regola di sicurezza di uscita:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: "Consenti tutto il traffico in uscita".

Tre regole di sicurezza di entrata:

Tre regole di sicurezza di entrata:

--ingress-security-rules

Regola di entrata 1

  • Senza stato: cancella la scatola

  • CIDR in entrata: vcn_cidr

  • Protocollo IP: ICMP

    • Tipo di parametro: 8: Eco

  • Descrizione: "Consenti ping dalla VCN".

Regola di entrata 1

  • isStateless: false

  • source: vcn_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 8

  • description: "Consenti il ping dalla VCN".

Regola di entrata 2

  • Senza stato: cancella la scatola

  • CIDR in ingresso: 0.0.0.0/0

  • Protocollo IP: ICMP

    • Tipo di parametro: 3: Destinazione non raggiungibile

  • Descrizione: "Blocca le richieste in entrata da qualsiasi fonte."

Regola di entrata 2

  • isStateless: false

  • source: 0.0.0.0/0

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 3

  • description: "Blocca le richieste in entrata da qualsiasi fonte."

Regola di entrata 3

  • Senza stato: cancella la scatola

  • CIDR in ingresso: 0.0.0.0/0

  • Protocollo IP: ICMP

    • Tipo di parametro: 11: Tempo superato

  • Descrizione: "Tempo superato".

Regola di entrata 3

  • isStateless: false

  • source: 0.0.0.0/0

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 11

  • description: "Tempo superato".

Prendere nota del nome e dell'OCID di questa lista di sicurezza predefinita per l'assegnazione alle subnet.