Documentação do Oracle Cloud Infrastructure

Exemplo de Configurações de Recursos de Rede

Saiba mais sobre exemplos de como você pode configurar recursos de rede para criação e implantação de clusters altamente disponíveis em uma região com três domínios de disponibilidade ao usar o Kubernetes Engine (OKE).

Ao criar um novo cluster, você pode usar o workflow 'Criação Rápida' para criar novos recursos de rede automaticamente. Se preferir, use o workflow 'Criação Personalizada' para especificar explicitamente os recursos de rede existentes. Para obter mais informações sobre os recursos de rede necessários, consulte Configuração de Recursos de Rede para Criação e Implantação de Cluster.

Este tópico fornece exemplos de como você pode configurar recursos de rede ao usar o workflow 'Criação Personalizada' para criar clusters altamente disponíveis em uma região com três domínios de disponibilidade:

Vários Tutoriais do Desenvolvedor relacionados estão disponíveis.

Observação

Os exemplos nesta seção mostram o uso de regras de segurança em listas de segurança para controlar o acesso a clusters. Se preferir usar grupos de segurança de rede (que são recomendados) em relação a listas de segurança, você poderá especificar regras de segurança idênticas para grupos de segurança de rede.

Exemplo 1: Cluster com Plug-in CNI de Flannel, Ponto Final Público de API do Kubernetes, Nós de Trabalho Privados e Balanceadores de Carga Públicos

Este exemplo pressupõe que você deseja que o ponto final da API do Kubernetes e os balanceadores de carga sejam acessíveis diretamente pela Internet. Os nós de trabalho são acessíveis na VCN.

Observe que, por padrão, o ponto final da API do Kubernetes recebe um endereço IP privado. Para expor o ponto final da API do Kubernetes à internet, faça o seguinte:

  • Selecione uma sub-rede pública para hospedar o ponto final da API do Kubernetes.
  • Especifique se você deseja que um endereço IP público seja designado ao ponto final da API do Kubernetes (bem como o endereço IP privado).

Esta imagem mostra uma configuração de cluster de exemplo com uma sub-rede pública de ponto final da API do Kubernetes, uma sub-rede privada do nó de trabalho, sub-redes públicas de balanceadores de carga e uma sub-rede privada do bastion. O acesso às sub-redes é controlado pelas listas de segurança seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers e seclist-Bastion, respectivamente. Este cluster usa o plug-in CNI flannel para rede de pods. A sub-rede de ponto final da API do Kubernetes é conectada ao plano de controle do cluster por uma VNIC. Outros recursos dessa configuração de exemplo são descritos no texto ao redor.

VCN

Recurso Exemplo
VCN
  • Nome: acme-dev-vcn
  • Bloco CIDR: 10.0.0.0/16
  • Resolução de DNS: Selecionada
Gateway de Internet
  • Nome: internet-gateway-0
Gateway NAT
  • Nome:nat-gateway-0
Gateway de Serviço
  • Nome: service-gateway-0
  • Serviços: Todos os Serviços <region> no Oracle Services Network
Opções de DHCP
  • Tipo de DNS definido como Resolvedor de Internet e VCN

Sub-redes

Recurso Exemplo
Sub-rede Pública para Ponto Final da API do Kubernetes

Nome: KubernetesAPIendpoint com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.0.0/30
  • Tabela de Roteamento: routetable-KubernetesAPIendpoint
  • Acesso à sub-rede: Público
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-KubernetesAPIendpoint
Sub-rede Privada para Nós de Trabalho

Nome: workernodes com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.1.0/24
  • Tabela de Roteamento: routetable-workernodes
  • Acesso à sub-rede: Privado
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-workernodes
Sub-rede Pública para Balanceadores de Carga de Serviço

Nome: loadbalancers com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.2.0/24
  • Tabela de Roteamento: routetable-serviceloadbalancers
  • Acesso à sub-rede: Público
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-loadbalancers
Sub-rede Privada para Bastion

Nome: bastion com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.3.0/24
  • Acesso à sub-rede: Privado
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-Bastion

Tabelas de Roteamento

Recurso Exemplo
Tabela de Roteamento para Sub-rede Pública de Ponto Final da API do Kubernetes

Nome: routetable-KubernetesAPIendpoint, com uma regra de roteamento definida desta forma:

  • Bloco CIDR de destino: 0.0.0.0/0
  • Tipo de Destino: Gateway de Internet
  • Destino: internet-gateway-0
Tabela de Roteamento para Sub-rede Privada de Nós de Trabalho

Nome: routetable-workernodes, com duas regras de roteamento definidas desta forma:

  • Regra de tráfego para a internet:
    • Bloco CIDR de destino: 0.0.0.0/0
    • Tipo de Destino: Gateway NAT
    • Alvo: nat-gateway-0
  • Regra de tráfego para serviços do OCI:
    • Destino: Todos os Serviços <region> no Oracle Services Network
    • Tipo de Destino: Gateway de Serviço
    • Alvo: Service-gateway-0
Tabela de Roteamento para Sub-rede Pública de Balanceadores de Carga

Nome: routetable-serviceloadbalancers, com uma regra de roteamento definida desta forma:

  • Bloco CIDR de destino: 0.0.0.0/0
  • Tipo de Destino: Gateway de Internet
  • Destino: internet-gateway-0

Regras de Lista de Segurança para Sub-rede Pública de Ponto Final da API do Kubernetes

A lista de segurança seclist-KubernetesAPIendpoint tem as regras de entrada e saída mostradas aqui.

Regras de Entrada:

Estado Origem Protocolo/Dest. Porta Descrição
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/6443 Colaborador do Kubernetes para comunicação do ponto final da API do Kubernetes.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/12250 Colaborador do Kubernetes para a comunicação do plano de controle.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado 0.0.0.0/0, CIDR da sub-rede do bastion ou CIDR específico TCP/6443

(opcional) Acesso externo ao ponto final da API do Kubernetes.

  • 0.0.0.0/0 quando a origem é Internet, a sub-rede é pública e um IP público é designado ao ponto final da API
  • CIDR da sub-rede do Bastion quando o acesso é feito por meio do OCI Bastion
  • CIDR específico quando o acesso é feito de outro CIDR específico

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado Todos os Serviços <region> no Oracle Services Network TCP/ALL Permita que o plano de controle do Kubernetes se comunique com o OKE.
Com monitoramento de estado Todos os Serviços <region> no Oracle Services Network ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/ALL Permita que o plano de controle do Kubernetes se comunique com nós de trabalho.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) ICMP 3,4 Descoberta de Caminho.

Regras de Lista de Segurança para Sub-rede Privada de Nós de Trabalho

A lista de segurança seclist-workernodes tem as regras de entrada e saída mostradas aqui.

Regras de Entrada:

Estado: Origem Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) ALL/ALL Permita que pods em um nó de trabalho se comuniquem com pods em outros nós de trabalho.
Com monitoramento de estado 10.0.0.0/30 (CIDR de Ponto Final da API do Kubernetes) TCP/ALL Permita que o plano de controle do Kubernetes se comunique com nós de trabalho.
Com monitoramento de estado 0.0.0.0/0 ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado CIDR da sub-rede do Bastion ou CIDR específico TCP/22 (opcional) Permita tráfego SSH de entrada para nós gerenciados.
Com monitoramento de estado CIDR de sub-rede do balanceador de carga TODOS/30000-32767 Balanceador de carga com portas de nós de trabalho.
Com monitoramento de estado CIDR de sub-rede do balanceador de carga TODOS/10256 Permita que o balanceador de carga se comunique com o kube-proxy nos nós de trabalho.

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) ALL/ALL Permita que pods em um nó de trabalho se comuniquem com pods em outros nós de trabalho.
Com monitoramento de estado 0.0.0.0/0 ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado Todos os Serviços <region> no Oracle Services Network TCP/ALL Permita que os nós de trabalho se comuniquem com o OKE.
Com monitoramento de estado 10.0.0.0/30 (CIDR de Ponto Final da API do Kubernetes) TCP/6443 Colaborador do Kubernetes para comunicação do ponto final da API do Kubernetes.
Com monitoramento de estado 10.0.0.0/30 (CIDR de Ponto Final da API do Kubernetes) TCP/12250 Colaborador do Kubernetes para a comunicação do plano de controle.
Com monitoramento de estado 0.0.0.0/0 TCP/ALL (opcional) Permita que os nós de trabalho se comuniquem com a internet.

Regras de Lista de Segurança para Sub-rede Pública de Balanceadores de Carga

A lista de segurança seclist-loadbalancers tem as regras de entrada e saída mostradas aqui.

Regras de Entrada:

Estado: Origem Protocolo / Dest. Porta Descrição:
Com monitoramento de estado

Específico do aplicativo (Internet ou CIDR específico)

Específico do aplicativo (por exemplo, TCP, UDP - 443, 8080)

 (opcional) Protocolo e porta do listener do balanceador de carga. Personalize conforme necessário.

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TODOS/30000-32767 Balanceador de carga com portas de nós de trabalho.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TODOS/10256 Permita que o balanceador de carga se comunique com o kube-proxy nos nós de trabalho.

Regras de Lista de Segurança para Sub-rede Privada de Bastion

A lista de segurança seclist-Bastion tem as regras de entrada e saída mostradas aqui.

Regras de Entrada: Nenhuma

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.0.0/30 (CIDR de Ponto Final da API do Kubernetes) TCP/6443

(opcional) Permitir que o bastion acesse o ponto final da API do Kubernetes.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/22 (opcional) Permita tráfego SSH para nós de trabalho.

Exemplo 2: Cluster com Plug-in CNI de Flannel, Ponto Final Privado de API do Kubernetes, Nós de Trabalho Privados e Balanceadores de Carga Públicos

Este exemplo pressupõe que você deseja que somente balanceadores de carga sejam acessíveis diretamente pela internet. O ponto final da API do Kubernetes e os nós de trabalho são acessíveis na VCN.

Esta imagem mostra uma configuração de cluster de exemplo com uma sub-rede privada de ponto final da API do Kubernetes, uma sub-rede privada do nó de trabalho, sub-redes públicas de balanceadores de carga e uma sub-rede privada do bastion. O acesso às sub-redes é controlado pelas listas de segurança seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers e seclist-Bastion, respectivamente. Este cluster usa o plug-in CNI flannel para rede de pods. A sub-rede de ponto final da API do Kubernetes é conectada ao plano de controle do cluster por uma VNIC. Outros recursos dessa configuração de exemplo são descritos no texto ao redor.

VCN

Recurso Exemplo
VCN
  • Nome: acme-dev-vcn
  • Bloco CIDR: 10.0.0.0/16
  • Resolução de DNS: Selecionada
Gateway de Internet
  • Nome: internet-gateway-0
Gateway NAT
  • Nome:nat-gateway-0
Gateway de Serviço
  • Nome: service-gateway-0
  • Serviços: Todos os Serviços <region> no Oracle Services Network
Opções de DHCP
  • Tipo de DNS definido como Resolvedor de Internet e VCN

Sub-redes

Recurso Exemplo
Sub-rede Privada para Ponto Final da API do Kubernetes

Nome: KubernetesAPIendpoint com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.0.0/30
  • Tabela de Roteamento: routetable-KubernetesAPIendpoint
  • Acesso à sub-rede: Privado
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-KubernetesAPIendpoint
Sub-rede Privada para Nós de Trabalho

Nome: workernodes com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.1.0/24
  • Tabela de Roteamento: routetable-workernodes
  • Acesso à sub-rede: Privado
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-workernodes
Sub-rede Pública para Balanceadores de Carga de Serviço

Nome: loadbalancers com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.2.0/24
  • Tabela de Roteamento: routetable-serviceloadbalancers
  • Acesso à sub-rede: Público
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-loadbalancers
Sub-rede Privada para Bastion

Nome: bastion com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.3.0/24
  • Acesso à sub-rede: Privado
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-Bastion

Tabelas de Roteamento

Recurso Exemplo
Tabela de Roteamento para Sub-rede Privada de Ponto Final da API do Kubernetes

Nome: routetable-KubernetesAPIendpoint, com uma regra de roteamento definida desta forma:

  • Regra de tráfego para a internet:
    • Bloco CIDR de destino: 0.0.0.0/0
    • Tipo de Destino: Gateway NAT
    • Alvo: nat-gateway-0
  • Regra de tráfego para serviços do OCI:
    • Destino: Todos os Serviços <region> no Oracle Services Network
    • Tipo de Destino: Gateway de Serviço
    • Alvo: Service-gateway-0
Tabela de Roteamento para Sub-rede Privada de Nós de Trabalho

Nome: routetable-workernodes, com duas regras de roteamento definidas desta forma:

  • Regra de tráfego para a internet:
    • Bloco CIDR de destino: 0.0.0.0/0
    • Tipo de Destino: Gateway NAT
    • Alvo: nat-gateway-0
  • Regra de tráfego para serviços do OCI:
    • Destino: Todos os Serviços <region> no Oracle Services Network
    • Tipo de Destino: Gateway de Serviço
    • Alvo: Service-gateway-0
Tabela de Roteamento para Sub-rede Pública de Balanceadores de Carga

Nome: routetable-serviceloadbalancers, com uma regra de roteamento definida desta forma:

  • Bloco CIDR de destino: 0.0.0.0/0
  • Tipo de Destino: Gateway de Internet
  • Destino: internet-gateway-0

Regras de Lista de Segurança para Sub-rede Privada de Ponto Final da API do Kubernetes

A lista de segurança seclist-KubernetesAPIendpoint tem as regras de entrada e saída mostradas aqui.

Regras de Entrada:

Estado Origem Protocolo/Dest. Porta Descrição
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/6443 Colaborador do Kubernetes para comunicação do ponto final da API do Kubernetes.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/12250 Colaborador do Kubernetes para a comunicação do plano de controle.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado 0.0.0.0/0, CIDR da sub-rede do bastion ou CIDR específico TCP/6443

(opcional) Acesso externo ao ponto final da API do Kubernetes.

  • 0.0.0.0/0 quando a origem é Internet, a sub-rede é pública e um IP público é designado ao ponto final da API
  • CIDR da sub-rede do Bastion quando o acesso é feito por meio do OCI Bastion
  • CIDR específico quando o acesso é feito de outro CIDR específico

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado

Todos os Serviços <region> no Oracle Services Network

 TCP/ALL Permita que o plano de controle do Kubernetes se comunique com o OKE.
Com monitoramento de estado Todos os Serviços <region> no Oracle Services Network ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/ALL Permita que o plano de controle do Kubernetes se comunique com nós de trabalho.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) ICMP 3,4 Descoberta de Caminho.

Regras de Lista de Segurança para Sub-rede Privada de Nós de Trabalho

A lista de segurança seclist-workernodes tem as regras de entrada e saída mostradas aqui.

Regras de Entrada:

Estado: Origem Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) ALL/ALL Permita que pods em um nó de trabalho se comuniquem com pods em outros nós de trabalho.
Com monitoramento de estado 10.0.0.0/30 (CIDR de Ponto Final da API do Kubernetes) TCP/ALL Permita que o plano de controle do Kubernetes se comunique com nós de trabalho.
Com monitoramento de estado 0.0.0.0/0 ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado CIDR da sub-rede do Bastion ou CIDR específico TCP/22 (opcional) Permita tráfego SSH de entrada para nós gerenciados.
Com monitoramento de estado CIDR de sub-rede do balanceador de carga TODOS/30000-32767 Balanceador de carga com portas de nós de trabalho.
Com monitoramento de estado CIDR de sub-rede do balanceador de carga TODOS/10256 Permita que o balanceador de carga se comunique com o kube-proxy nos nós de trabalho.

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) ALL/ALL Permita que pods em um nó de trabalho se comuniquem com pods em outros nós de trabalho.
Com monitoramento de estado Todos os Serviços <region> no Oracle Services Network TCP/ALL Permita que os nós de trabalho se comuniquem com o OKE.
Com monitoramento de estado 10.0.0.0/30 (CIDR de Ponto Final da API do Kubernetes) TCP/6443 Colaborador do Kubernetes para comunicação do ponto final da API do Kubernetes.
Com monitoramento de estado 10.0.0.0/30 (CIDR de Ponto Final da API do Kubernetes) TCP/12250 Colaborador do Kubernetes para a comunicação do plano de controle.
Com monitoramento de estado 0.0.0.0/0 TCP/ALL (opcional) Permita que os nós de trabalho se comuniquem com a internet.

Regras de Lista de Segurança para Sub-rede Pública de Balanceadores de Carga

A lista de segurança seclist-loadbalancers tem as regras de entrada e saída mostradas aqui.

Regras de Entrada:

Estado: Origem Protocolo / Dest. Porta Descrição:
Com monitoramento de estado

Específico do aplicativo (Internet ou CIDR específico)

Específico do aplicativo (por exemplo, TCP, UDP - 443, 8080)

 (opcional) Protocolo e porta do listener do balanceador de carga. Personalize conforme necessário.

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TODOS/30000-32767 Balanceador de carga com portas de nós de trabalho.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TODOS/10256 Permita que o balanceador de carga se comunique com o kube-proxy nos nós de trabalho.

Regras de Lista de Segurança para Sub-rede Privada de Bastion

A lista de segurança seclist-Bastion tem as regras de entrada e saída mostradas aqui.

Regras de Entrada: Nenhuma

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.0.0/30 (CIDR de Ponto Final da API do Kubernetes) TCP/6443

(opcional) Permitir que o bastion acesse o ponto final da API do Kubernetes.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/22 (opcional) Permita tráfego SSH para nós de trabalho.

Exemplo 3: Cluster com Plug-in OCI CNI, Ponto Final Público de API do Kubernetes, Nós de Trabalho Privados e Balanceadores de Carga Públicos

Este exemplo pressupõe que você deseja que o ponto final da API do Kubernetes e os balanceadores de carga sejam acessíveis diretamente pela Internet. Os nós de trabalho são acessíveis na VCN.

Observe que, por padrão, o ponto final da API do Kubernetes recebe um endereço IP privado. Para expor o ponto final da API do Kubernetes à internet, faça o seguinte:

  • Selecione uma sub-rede pública para hospedar o ponto final da API do Kubernetes.
  • Especifique se você deseja que um endereço IP público seja designado ao ponto final da API do Kubernetes (bem como o endereço IP privado).

Esta imagem mostra uma configuração de cluster de exemplo com uma sub-rede pública de ponto final da API do Kubernetes, uma sub-rede privada do nó de trabalho, sub-redes públicas de balanceadores de carga, uma sub-rede privada de pods e uma sub-rede privada do bastion. O acesso às sub-redes é controlado pelas listas de segurança seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers, seclist-pods e seclist-Bastion, respectivamente. Este cluster usa o plug-in OCI CNI para rede de pods. A sub-rede de ponto final da API do Kubernetes é conectada ao plano de controle do cluster por uma VNIC. Outros recursos dessa configuração de exemplo são descritos no texto ao redor.

VCN

Recurso Exemplo
VCN
  • Nome: acme-dev-vcn
  • Bloco CIDR: 10.0.0.0/16
  • Resolução de DNS: Selecionada
Gateway de Internet
  • Nome: internet-gateway-0
Gateway NAT
  • Nome:nat-gateway-0
Gateway de Serviço
  • Nome: service-gateway-0
  • Serviços: Todos os Serviços <region> no Oracle Services Network
Opções de DHCP
  • Tipo de DNS definido como Resolvedor de Internet e VCN

Sub-redes

Recurso Exemplo
Sub-rede Pública para Ponto Final da API do Kubernetes

Nome: KubernetesAPIendpoint com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.0.0/29
  • Tabela de Roteamento: routetable-KubernetesAPIendpoint
  • Acesso à sub-rede: Público
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-KubernetesAPIendpoint
Sub-rede Privada para Nós de Trabalho

Nome: workernodes com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.1.0/24
  • Acesso à sub-rede: Privado
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-workernodes
Sub-rede Privada para Pods

Nome: pods com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.32.0/19
  • Tabela de Roteamento: routetable-pods
  • Acesso à sub-rede: Privado
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-pods
Sub-rede Pública para Balanceadores de Carga de Serviço

Nome: loadbalancers com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.2.0/24
  • Tabela de Roteamento: routetable-serviceloadbalancers
  • Acesso à sub-rede: Público
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-loadbalancers
Sub-rede Privada para Bastion

Nome:bastion com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.3.0/24
  • Acesso à sub-rede: Privado
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-Bastion

Tabelas de Roteamento

Recurso Exemplo
Tabela de Roteamento para Sub-rede Pública de Ponto Final da API do Kubernetes

Nome: routetable-KubernetesAPIendpoint, com uma regra de roteamento definida desta forma:

  • Bloco CIDR de destino: 0.0.0.0/0
  • Tipo de Destino: Gateway de Internet
  • Destino: internet-gateway-0
Tabela de Roteamento para Sub-rede de Pods Privados

Nome: roteável-pods, com duas regras de roteamento definidas da seguinte forma:

  • Regra de tráfego para a internet:
    • Bloco CIDR de destino: 0.0.0.0/0
    • Tipo de Destino: Gateway NAT
    • Alvo: nat-gateway-0
  • Regra de tráfego para serviços do OCI:
    • Destino: Todos os Serviços <region> no Oracle Services Network
    • Tipo de Destino: Gateway de Serviço
    • Alvo: Service-gateway-0
Tabela de Roteamento para Sub-rede Pública de Balanceadores de Carga

Nome: routetable-serviceloadbalancers, com uma regra de roteamento definida desta forma:

  • Bloco CIDR de destino: 0.0.0.0/0
  • Tipo de Destino: Gateway de Internet
  • Destino: internet-gateway-0

Regras de Lista de Segurança para Sub-rede Pública de Ponto Final da API do Kubernetes

A lista de segurança seclist-KubernetesAPIendpoint tem as regras de entrada e saída mostradas aqui.

Regras de Entrada:

Estado Origem Protocolo/Dest. Porta Descrição
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/6443 Colaborador do Kubernetes para comunicação do ponto final da API do Kubernetes.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/12250 Colaborador do Kubernetes para comunicação do ponto final da API do Kubernetes.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado 10.0.32.0/19 (Pods CIDR) TCP/6443 Comunicação de ponto final da API do Pod para o Kubernetes (ao usar a rede de pod nativa da VCN).
Com monitoramento de estado 10.0.32.0/19 (Pods CIDR) TCP/12250 Comunicação de ponto final da API do Pod para o Kubernetes (ao usar a rede de pod nativa da VCN).
Com monitoramento de estado 0.0.0.0/0, CIDR da sub-rede do bastion ou CIDR específico TCP/6443

(opcional) Acesso externo ao ponto final da API do Kubernetes.

  • 0.0.0.0/0 quando a origem é Internet, a sub-rede é pública e um IP público é designado ao ponto final da API
  • CIDR da sub-rede do Bastion quando o acesso é feito por meio do OCI Bastion
  • CIDR específico quando o acesso é feito de outro CIDR específico

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado Todos os Serviços <region> no Oracle Services Network TCP/ALL Permitir que o ponto final da API do Kubernetes se comunique com o OKE.
Com monitoramento de estado Todos os Serviços <region> no Oracle Services Network ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/10250 Permitir que o ponto final da API do Kubernetes se comunique com nós de trabalho.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado 10.0.32.0/19 (Pods CIDR) ALL/ALL Permita que o ponto final da API do Kubernetes se comunique com pods (ao usar a rede de pods nativa da VCN).

Regras de Lista de Segurança para Sub-rede Privada de Nós de Trabalho

A lista de segurança seclist-workernodes tem as regras de entrada e saída mostradas aqui.

Regras de Entrada:

Estado: Origem Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.0.0/29 (CIDR de Ponto Final da API do Kubernetes) TCP/10250 Permitir que o ponto final da API do Kubernetes se comunique com nós de trabalho.
Com monitoramento de estado 0.0.0.0/0 ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado CIDR da sub-rede do Bastion ou CIDR específico TCP/22 (opcional) Permita tráfego SSH de entrada para nós gerenciados.
Com monitoramento de estado CIDR de sub-rede do balanceador de carga TODOS/30000-32767 Balanceador de carga com portas de nós de trabalho.
Com monitoramento de estado CIDR de sub-rede do balanceador de carga TODOS/10256 Permita que o balanceador de carga se comunique com o kube-proxy nos nós de trabalho.

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.32.0/19 (Pods CIDR) ALL/ALL Permita que os nós de trabalho acessem pods.
Com monitoramento de estado 0.0.0.0/0 ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado Todos os Serviços <region> no Oracle Services Network TCP/ALL Permita que os nós de trabalho se comuniquem com o OKE.
Com monitoramento de estado 10.0.0.0/29 (CIDR de Ponto Final da API do Kubernetes) TCP/6443 Colaborador do Kubernetes para comunicação do ponto final da API do Kubernetes.
Com monitoramento de estado 10.0.0.0/29 (CIDR de Ponto Final da API do Kubernetes) TCP/12250 Colaborador do Kubernetes para comunicação do ponto final da API do Kubernetes.

Regras de Lista de Segurança para Sub-rede Privada de Pods

A lista de segurança seclist-pods tem as regras de entrada e saída mostradas aqui.

Regras de Entrada:

Estado: Origem Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) ALL/ALL Permita que os nós de trabalho acessem pods.
Com monitoramento de estado 10.0.0.0/29 (CIDR de Ponto Final da API do Kubernetes) ALL/ALL Permitir que o ponto final da API do Kubernetes se comunique com pods.
Com monitoramento de estado 10.0.32.0/19 (Pods CIDR) ALL/ALL Permita que os pods se comuniquem com outros pods.

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.32.0/19 (Pods CIDR) ALL/ALL Permita que os pods se comuniquem com outros pods.
Com monitoramento de estado Todos os Serviços <region> no Oracle Services Network

ICMP 3,4

 Descoberta de Caminho.
Com monitoramento de estado Todos os Serviços <region> no Oracle Services Network

TCP/ALL

 Permitir que os pods se comuniquem com os serviços do OCI.
Com monitoramento de estado 0.0.0.0/0

TCP/443

 (opcional) Permitir que os pods se comuniquem com a Internet.
Com monitoramento de estado 10.0.0.0/29 (CIDR de Ponto Final da API do Kubernetes) TCP/6443 Comunicação de ponto final da API do Pod para o Kubernetes (ao usar a rede de pod nativa da VCN).
Com monitoramento de estado 10.0.0.0/29 (CIDR de Ponto Final da API do Kubernetes) TCP/12250 Comunicação de ponto final da API do Pod para o Kubernetes (ao usar a rede de pod nativa da VCN).

Regras de Lista de Segurança para Sub-rede Pública de Balanceadores de Carga

A lista de segurança seclist-loadbalancers tem as regras de entrada e saída mostradas aqui.

Regras de Entrada:

Estado: Origem Protocolo / Dest. Porta Descrição:
Com monitoramento de estado

Específico do aplicativo (Internet ou CIDR específico)

Específico do aplicativo (por exemplo, TCP, UDP - 443, 8080)

 (opcional) Protocolo e porta do listener do balanceador de carga. Personalize conforme necessário.

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TODOS/30000-32767 Balanceador de carga com portas de nós de trabalho.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TODOS/10256 Permita que o balanceador de carga se comunique com o kube-proxy nos nós de trabalho.

Regras de Lista de Segurança para Sub-rede Privada de Bastion

A lista de segurança seclist-Bastion tem as regras de entrada e saída mostradas aqui.

Regras de Entrada: Nenhuma

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.0.0/29 (CIDR de Ponto Final da API do Kubernetes) TCP/6443

(opcional) Permitir que o bastion acesse o ponto final da API do Kubernetes.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/22 (opcional) Permita tráfego SSH para nós de trabalho.

Exemplo 4: Cluster com Plug-in OCI CNI, Ponto Final Privado de API do Kubernetes, Nós de Trabalho Privados e Balanceadores de Carga Públicos

Este exemplo pressupõe que você deseja que somente balanceadores de carga sejam acessíveis diretamente pela internet. O ponto final da API do Kubernetes e os nós de trabalho são acessíveis na VCN.

Esta imagem mostra um exemplo de configuração de cluster com uma sub-rede de ponto final da API privada do Kubernetes, uma sub-rede privada do nó de trabalho, sub-redes públicas do balanceador de carga, uma sub-rede privada de pods e uma sub-rede privada do bastion. O acesso às sub-redes é controlado pelas listas de segurança seclist-KubernetesAPIendpoint, seclist-workernodes, seclist-loadbalancers, seclist-pods e seclist-Bastion, respectivamente. Este cluster usa o plug-in OCI CNI para rede de pods. A sub-rede de ponto final da API do Kubernetes é conectada ao plano de controle do cluster por uma VNIC. Outros recursos dessa configuração de exemplo são descritos no texto ao redor.

VCN

Recurso Exemplo
VCN
  • Nome: acme-dev-vcn
  • Bloco CIDR: 10.0.0.0/16
  • Resolução de DNS: Selecionada
Gateway de Internet
  • Nome: internet-gateway-0
Gateway NAT
  • Nome:nat-gateway-0
Gateway de Serviço
  • Nome: service-gateway-0
  • Serviços: Todos os Serviços <region> no Oracle Services Network
Opções de DHCP
  • Tipo de DNS definido como Resolvedor de Internet e VCN

Sub-redes

Recurso Exemplo
Sub-rede Privada para Ponto Final da API do Kubernetes

Nome: KubernetesAPIendpoint com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.0.0/29
  • Tabela de Roteamento: routetable-KubernetesAPIendpoint
  • Acesso à sub-rede: Privado
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-KubernetesAPIendpoint
Sub-rede Privada para Nós de Trabalho

Nome: workernodes com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.1.0/24
  • Acesso à sub-rede: Privado
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-workernodes
Sub-rede Privada para Pods

Nome: pods com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.32.0/19
  • Tabela de Roteamento: routetable-pods
  • Acesso à sub-rede: Privado
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-pods
Sub-rede Pública para Balanceadores de Carga de Serviço

Nome: loadbalancers com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.2.0/24
  • Tabela de Roteamento: routetable-serviceloadbalancers
  • Acesso à sub-rede: Público
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-loadbalancers
Sub-rede Privada para Bastion

Nome: bastion com as seguintes propriedades:

  • Tipo: Regional
  • Bloco CIDR: 10.0.3.0/24
  • Acesso à sub-rede: Privado
  • Resolução de DNS: Selecionada
  • Opções de DHCP: Padrão
  • Lista de Segurança: seclist-Bastion

Tabelas de Roteamento

Recurso Exemplo
Tabela de Roteamento para Sub-rede Privada de Ponto Final da API do Kubernetes

Nome: routetable-KubernetesAPIendpoint, com uma regra de roteamento definida desta forma:

  • Regra de tráfego para a internet:
    • Bloco CIDR de destino: 0.0.0.0/0
    • Tipo de Destino: Gateway NAT
    • Alvo: nat-gateway-0
  • Regra de tráfego para serviços do OCI:
    • Destino: Todos os Serviços <region> no Oracle Services Network
    • Tipo de Destino: Gateway de Serviço
    • Alvo: Service-gateway-0
Tabela de Roteamento para Sub-rede de Pods Privados

Nome: roteável-pods, com duas regras de roteamento definidas da seguinte forma:

  • Regra de tráfego para a internet:
    • Bloco CIDR de destino: 0.0.0.0/0
    • Tipo de Destino: Gateway NAT
    • Alvo: nat-gateway-0
  • Regra de tráfego para serviços do OCI:
    • Destino: Todos os Serviços <region> no Oracle Services Network
    • Tipo de Destino: Gateway de Serviço
    • Alvo: Service-gateway-0
Tabela de Roteamento para Sub-rede Pública de Balanceadores de Carga

Nome: routetable-serviceloadbalancers, com uma regra de roteamento definida desta forma:

  • Bloco CIDR de destino: 0.0.0.0/0
  • Tipo de Destino: Gateway de Internet
  • Gateway de Internet de Destino: internet-gateway-0

Regras de Lista de Segurança para Sub-rede Privada de Ponto Final da API do Kubernetes

A lista de segurança seclist-KubernetesAPIendpoint tem as regras de entrada e saída mostradas aqui.

Regras de Entrada:

Estado Origem Protocolo/Dest. Porta Descrição
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/6443 Colaborador do Kubernetes para comunicação do ponto final da API do Kubernetes.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/12250 Colaborador do Kubernetes para comunicação do ponto final da API do Kubernetes.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado 10.0.32.0/19 (Pods CIDR) TCP/6443 Comunicação de ponto final da API do Pod para o Kubernetes (ao usar a rede de pod nativa da VCN).
Com monitoramento de estado 10.0.32.0/19 (Pods CIDR) TCP/12250 Comunicação de ponto final da API do Pod para o Kubernetes (ao usar a rede de pod nativa da VCN).
Com monitoramento de estado CIDR da sub-rede do Bastion ou CIDR específico TCP/6443

(opcional) Acesso externo ao ponto final da API do Kubernetes.

  • CIDR da sub-rede do Bastion quando o acesso é feito por meio do OCI Bastion
  • CIDR específico quando o acesso é feito de outro CIDR específico

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado

Todos os Serviços <region> no Oracle Services Network

 TCP/ALL Permitir que o ponto final da API do Kubernetes se comunique com o OKE.
Com monitoramento de estado Todos os Serviços <region> no Oracle Services Network ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/10250 Permitir que o ponto final da API do Kubernetes se comunique com nós de trabalho.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado 10.0.32.0/19 (Pods CIDR) ALL/ALL Permitir que o ponto final da API do Kubernetes se comunique com pods.

Regras de Lista de Segurança para Sub-rede Privada de Nós de Trabalho

A lista de segurança seclist-workernodes tem as regras de entrada e saída mostradas aqui.

Regras de Entrada:

Estado: Origem Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.0.0/29 (CIDR de Ponto Final da API do Kubernetes) TCP/10250 Permitir que o ponto final da API do Kubernetes se comunique com nós de trabalho.
Com monitoramento de estado 0.0.0.0/0 ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado CIDR da sub-rede do Bastion ou CIDR específico TCP/22 (opcional) Permita tráfego SSH de entrada para nós gerenciados.
Com monitoramento de estado CIDR de sub-rede do balanceador de carga TODOS/30000-32767 Balanceador de carga com portas de nós de trabalho.
Com monitoramento de estado CIDR de sub-rede do balanceador de carga TODOS/10256 Permita que o balanceador de carga se comunique com o kube-proxy nos nós de trabalho.

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.32.0/19 (Pods CIDR) ALL/ALL Permita que os nós de trabalho acessem pods.
Com monitoramento de estado 0.0.0.0/0 ICMP 3,4 Descoberta de Caminho.
Com monitoramento de estado Todos os Serviços <region> no Oracle Services Network TCP/ALL Permita que os nós de trabalho se comuniquem com o OKE.
Com monitoramento de estado 10.0.0.0/29 (CIDR de Ponto Final da API do Kubernetes) TCP/6443 Colaborador do Kubernetes para comunicação do ponto final da API do Kubernetes.
Com monitoramento de estado 10.0.0.0/29 (CIDR de Ponto Final da API do Kubernetes) TCP/12250 Colaborador do Kubernetes para comunicação do ponto final da API do Kubernetes.

Regras de Lista de Segurança para Sub-rede Privada de Pods

A lista de segurança seclist-pods tem as regras de entrada e saída mostradas aqui.

Regras de Entrada:

Estado: Origem Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) ALL/ALL Permita que os nós de trabalho acessem pods.
Com monitoramento de estado 10.0.0.0/29 (CIDR de Ponto Final da API do Kubernetes) ALL/ALL Permitir que o ponto final da API do Kubernetes se comunique com pods.
Com monitoramento de estado 10.0.32.0/19 (Pods CIDR) ALL/ALL Permita que os pods se comuniquem com outros pods.

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.32.0/19 (Pods CIDR) ALL/ALL Permita que os pods se comuniquem com outros pods.
Com monitoramento de estado Todos os Serviços <region> no Oracle Services Network

ICMP 3,4

 Descoberta de Caminho.
Com monitoramento de estado Todos os Serviços <region> no Oracle Services Network

TCP/ALL

 Permitir que os pods se comuniquem com os serviços do OCI.
Com monitoramento de estado 0.0.0.0/0

TCP/443

 (opcional) Permitir que os pods se comuniquem com a Internet.
Com monitoramento de estado 10.0.0.0/29 (CIDR de Ponto Final da API do Kubernetes) TCP/6443 Comunicação de ponto final da API do Pod para o Kubernetes (ao usar a rede de pod nativa da VCN).
Com monitoramento de estado 10.0.0.0/29 (CIDR de Ponto Final da API do Kubernetes) TCP/12250 Comunicação de ponto final da API do Pod para o Kubernetes (ao usar a rede de pod nativa da VCN).

Regras de Lista de Segurança para Sub-rede Pública de Balanceadores de Carga

A lista de segurança seclist-loadbalancers tem as regras de entrada e saída mostradas aqui.

Regras de Entrada:

Estado: Origem Protocolo / Dest. Porta Descrição:
Com monitoramento de estado

Específico do aplicativo (Internet ou CIDR específico)

Específico do aplicativo (por exemplo, TCP, UDP - 443, 8080)

 (opcional) Protocolo e porta do listener do balanceador de carga. Personalize conforme necessário.

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TODOS/30000-32767 Balanceador de carga com portas de nós de trabalho.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TODOS/10256 Permita que o balanceador de carga se comunique com o kube-proxy nos nós de trabalho.

Regras de Lista de Segurança para Sub-rede Privada de Bastion

A lista de segurança seclist-Bastion tem as regras de entrada e saída mostradas aqui.

Regras de Entrada: Nenhuma

Regras de Saída:

Estado: Destino Protocolo / Dest. Porta Descrição:
Com monitoramento de estado 10.0.0.0/29 (CIDR de Ponto Final da API do Kubernetes) TCP/6443

(opcional) Permitir que o bastion acesse o ponto final da API do Kubernetes.
Com monitoramento de estado 10.0.1.0/24 (CIDR de Nós de Trabalho) TCP/22 (opcional) Permita tráfego SSH para nós de trabalho.