Documentação do Oracle Cloud Infrastructure

Criando uma Sub-rede do Plano de Controle do OKE (Sobreposição de Flannel)

No Compute Cloud@Customer, parte da configuração do OKE requer a criação de listas de segurança de acesso externas e internas e uma sub-rede do plano de controle.

Crie os seguintes recursos na ordem listada:

  1. Criar uma Lista de Segurança do Plano de Controle
  2. Criar a Sub-rede do Plano de Controle

Criar uma Lista de Segurança do Plano de Controle

Para criar uma lista de segurança, use as instruções em Criando uma Lista de Segurança. Para obter a entrada do Terraform, consulte Exemplo de Scripts do Terraform para Recursos de Rede (Sobreposição de Canal).

Para este exemplo, use a entrada a seguir para a lista de segurança de sub-rede do plano de controle. Use essa configuração como guia ao criar esses recursos. Você pode alterar os valores de propriedades, como blocos CIDR e endereços IP. Você não deve alterar os valores de propriedades como o protocolo de rede, a definição com monitoramento de estado ou a definição privada/pública.

Propriedade Console do Compute Cloud@Customer

Propriedade da CLI

  • Nome: kmi-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: kmi-seclist

Quatro regras de segurança de ingresso:

Quatro regras de segurança de ingresso:

--ingress-security-rules

Regra de Entrada 1

  • Stateless: desmarque a caixa de seleção

  • CIDR de Entrada: kube_client_cidr

  • Protocolo IP: TCP

    • Intervalo de Portas de Destino: kubernetes_api_port

  • Descrição: "Permitir conexões de entrada com o servidor de API do Kubernetes."

 Regra de Entrada 1

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Permitir conexões de entrada com o servidor de API do Kubernetes."
Regra de Entrada 2

  • Sem monitoramento de estado: desmarque a caixa de seleção

  • CIDR de Entrada: kmilb_cidr

  • Protocolo IP: TCP

    • Intervalo de Portas de Destino: kubernetes_api_port

  • Descrição: "Permitir conexões de entrada do balanceador de carga do plano de controle".

 Regra de Entrada 2

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Permitir conexões de entrada do balanceador de carga do plano de controle".
Regra de Entrada 3

  • Stateless: desmarque a caixa de seleção

  • CIDR de Entrada: worker_cidr

  • Protocolo IP: TCP

    • Intervalo de Portas de Destino: 1024-65535

  • Descrição: "Permitir conexões de entrada de nós de trabalho para o plano de controle".

 Regra de Entrada 3

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 65535

    • min: 1024

  • description: "Permitir conexões de entrada de nós de trabalho para o plano de controle."
Regra de Entrada 4

  • Sem monitoramento de estado: desmarque a caixa de seleção

  • CIDR de Entrada: kmi_cidr

  • Protocolo IP: TCP

    • Intervalo de Portas de Destino: 1024-65535

  • Descrição: "Permitir conexões de entrada dentro do plano de controle."

 Regra de Entrada 4

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 65535

    • min: 1024

  • description: "Permitir conexões de entrada dentro do plano de controle."

Criar a Sub-rede do Plano de Controle

Para criar uma sub-rede, use as instruções em Criando uma Sub-rede. Para obter a entrada do Terraform, consulte Exemplo de Scripts do Terraform para Recursos de Rede (Sobreposição de Canal).

Use a entrada a seguir para criar a sub-rede do plano de controle. Use o OCID da VCN que foi criada em Criando uma VCN (Sobreposição de Canal). Crie a sub-rede do plano de controle no mesmo compartimento em que você criou a VCN.

Crie uma sub-rede de plano de controle privado NAT ou uma sub-rede de plano de controle privado da VCN. Crie uma sub-rede de plano de controle privado NAT para se comunicar fora da VCN.

Importante

O nome dessa sub-rede deve ser exatamente control-plane.

Criar uma Sub-rede de Plano de Controle Privado NAT

Propriedade Console do Compute Cloud@Customer

Propriedade da CLI

  • nome: controle-plano

  • Bloco CIDR: kmi_cidr

  • Tabela de Roteamento: Selecione "nat_private" na lista

  • Sub-rede Privada: marque a caixa

  • Nomes de Host DNS:

    Usar Nomes de Host DNS nesta Sub-rede: marque a caixa

    • Label de DNS: kmi

  • Listas de Segurança: selecione "kmi-seclist" e "Lista de Segurança Padrão para oketest-vcn" na lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane

  • --cidr-block: kmi_cidr

  • --dns-label: kmi

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID da tabela de roteamento "nat_private"

  • --security-list-ids: OCIDs da lista de segurança "kmi-seclist" e da lista de segurança "Lista de Segurança Padrão para oketest-vcn"
Criar uma Sub-rede do Plano de Controle Privado da VCN

Propriedade da Console do Compute Cloud@Customer

Propriedade CLI

  • nome: controle-plano

  • Bloco CIDR: kmi_cidr

  • Tabela de Roteamento: Selecione "vcn_private" na lista

  • Sub-rede Privada: marque a caixa

  • Nomes de Host DNS:

    Usar Nomes de Host DNS nesta Sub-rede: marque a caixa

    • Label de DNS: kmi

  • Listas de Segurança: Selecione "kmi-seclist" e "Default Security List for oketest-vcn" na lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane

  • --cidr-block: kmi_cidr

  • --dns-label: kmi

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID da tabela de roteamento "vcn_private"

  • --security-list-ids: OCIDs da lista de segurança "kmi-seclist" e da lista de segurança "Default Security List for oketest-vcn"

O Que Vem a Seguir:

Criando uma Sub-rede do Balanceador de Carga do Plano de Controle do OKE (Sobreposição de Flannel)