Documentazione di Oracle Cloud Infrastructure

Creazione di una subnet del lavoratore (overlay del canale)

In Compute Cloud@Customer, una parte della configurazione di OKE richiede liste di sicurezza degli accessi esterni e interni e una subnet del lavoratore.

Creare le seguenti risorse nell'ordine elencato:

  1. Creare una lista di sicurezza lavoratore.
  2. Creare la subnet del lavoratore.

Crea una lista di sicurezza lavoratore

Per creare una lista di sicurezza, utilizzare le istruzioni in Creazione di una lista di sicurezza. Per l'input Terraform, vedere Esempio di script Terraform per le risorse di rete (overlay Flannel).

Questa lista di sicurezza definisce il traffico consentito per contattare direttamente i nodi di lavoro.

Per questo esempio, utilizzare il seguente input per la lista di sicurezza della subnet del lavoratore.

Console Compute Cloud@Customer

Proprietà CLI

  • Nome: worker-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker-seclist

Cinque regole di sicurezza di entrata:

Cinque regole di sicurezza di entrata:

--ingress-security-rules

Regola di entrata 1

  • Senza conservazione dello stato: deselezionare la casella di controllo

  • CIDR in entrata: vcn_cidr

  • Protocollo IP: TCP

    • Intervallo di porte di destinazione: 22

  • Descrizione: "Consenti ssh all'interno della VCN".

Regola di entrata 1

  • isStateless: false

  • source: vcn_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description: "Consenti ssh all'interno della VCN".

Regola di entrata 2

  • Senza conservazione dello stato: deselezionare la casella di controllo

  • CIDR in entrata: kube_client_cidr

  • Protocollo IP: TCP

    • Intervallo di porte di destinazione: 3000-32767

  • Descrizione: "Consenti ai client di contattare l'intervallo di porte dei nodi".

Regola di entrata 2

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Consenti ai client di contattare l'intervallo di porte dei nodi".

Regola di entrata 3

  • Senza conservazione dello stato: deselezionare la casella di controllo

  • CIDR in entrata: workerlb_cidr

  • Protocollo IP: TCP

    • Intervallo di porte di destinazione: 3000-32767

  • Descrizione: "Consenti al load balancer di lavoro di contattare i nodi di lavoro".

Regola di entrata 3

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Consenti al load balancer di lavoro di contattare i nodi di lavoro".

Regola di entrata 4

  • Senza conservazione dello stato: deselezionare la casella di controllo

  • CIDR in entrata: workerlb_cidr

  • Protocollo IP: TCP

    • Intervallo di porte di destinazione: 10256

  • Descrizione: "Consenti al load balancer di lavoro di contattare i nodi di lavoro".

Regola di entrata 4

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: "Consenti al load balancer di lavoro di contattare i nodi di lavoro".

Regola di entrata 5

  • Senza conservazione dello stato: deselezionare la casella di controllo

  • CIDR in entrata: kmi_cidr

  • Protocollo IP: TCP

    • Intervallo di porte di destinazione: 22-65535

  • Descrizione: "Consenti al piano di controllo di contattare i nodi di lavoro".

Regola di entrata 5

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 65535

    • min: 22

  • description: "Consenti al piano di controllo di contattare i nodi di lavoro".

Creare la subnet del lavoratore

Per creare una subnet, utilizzare le istruzioni riportate in Creazione di una subnet. Per l'input Terraform, vedere Esempio di script Terraform per le risorse di rete (overlay Flannel).

Per questo esempio, utilizzare l'input seguente per la lista di sicurezza della subnet del lavoratore. Utilizzare l'OCID della VCN creata nella creazione di una VCN (overlay del canale). Creare la subnet del worker nello stesso compartimento in cui è stata creata la VCN.

Creare una subnet di worker privata NAT o una subnet di worker privata VCN. Creare una subnet di worker privata NAT per comunicare all'esterno della VCN.

Creare una subnet del worker privato NAT

Proprietà Console Cloud@Customer di computazione

Proprietà CLI

  • Nome: lavoratore

  • Blocco CIDR: worker_cidr

  • Tabella di instradamento: selezionare "nat_private" dall'elenco

  • Subnet privata: selezionare la casella

  • Nomi host DNS:

    Usa nomi host DNS in questa subnet: selezionare la casella

    • Etichetta DNS: worker

  • Liste di sicurezza: selezionare "worker-seclist" e "Lista di sicurezza predefinita per oketest-vcn" dalla lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID della tabella di instradamento "nat_private"

  • --security-list-ids: OCID della lista di sicurezza "worker-seclist" e della lista di sicurezza "Default Security List for oketest-vcn"

La differenza nella subnet privata riportata di seguito è che viene utilizzata la tabella di instradamento privato VCN anziché la tabella di instradamento privato NAT.

Creare una subnet di worker privato VCN

Proprietà Compute Cloud@Customer Console

Proprietà CLI

  • Nome: lavoratore

  • Blocco CIDR: worker_cidr

  • Tabella di instradamento: selezionare "vcn_private" dall'elenco

  • Subnet privata: selezionare la casella

  • Nomi host DNS:

    Utilizza nomi host DNS in questa sottorete: selezionare la casella

    • Etichetta DNS: worker

  • Liste di sicurezza: selezionare "worker-seclist" e "Lista di sicurezza predefinita per oketest-vcn" dalla lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID della tabella di instradamento "vcn_private"

  • --security-list-ids: OCID della lista di sicurezza "worker-seclist" e della lista di sicurezza "Default Security List for oketest-vcn"

Operazioni successive:

Creazione di una subnet del load balancer worker (overlay del canale)