Criando uma VCN (Sobreposição de Canal)

No Compute Cloud@Customer, para configurar o OKE, criar uma VCN, uma rota pública e uma rota privada.

Crie os seguintes recursos na ordem listada:

  1. Criar a VCN
  2. Crie uma tabela de roteamento com as seguintes regras de roteamento:

    • Clusters públicos:

      • Gateway de internet e uma tabela de roteamento com uma regra de roteamento que faz referência a esse gateway de internet.

      • Gateway NAT e uma tabela de roteamento com uma regra de roteamento que faz referência a esse gateway NAT.

    • Clusters privados:

      • Tabela de roteamento sem regras de roteamento.

      • (Opcional) DRG (Dynamic Routing Gateway) e uma tabela de roteamento com uma regra de roteamento que faz referência a esse DRG. Consulte Clusters Privados.

      • (Opcional) LPG (Local Peering Gateway) e uma tabela de roteamento com uma regra de roteamento que faz referência a esse LPG. Consulte Clusters Privados.

  3. Modificar a Lista de Segurança Padrão da VCN

Nomes de recursos e blocos CIDR são exemplos de valores.

Criar a VCN

Para criar a VCN, siga as instruções em Criando uma VCN e use os parâmetros listados nesta seção. Para obter a entrada do Terraform, consulte Exemplo de Scripts do Terraform para Recursos de Rede (Sobreposição de Canal).

Observação

As sub-redes são criadas posteriormente e descritas nas seções subsequentes.

Para este exemplo, use a entrada a seguir para criar a VCN. A VCN abrange um bloco CIDR contíguo. O bloco CIDR não pode ser alterado após a criação da VCN.

Propriedade Console do Compute Cloud@Customer

Propriedade da CLI

  • Nome: oketest-vcn

  • Bloco CIDR: vcn_cidr

  • Label de DNS: oketest

    Esse label deve ser exclusivo em todas as VCNs na tenancy.

  • --display-name: oketest-vcn

  • --cidr-blocks: '["vcn_cidr"]'

  • --dns-label: oketest

    Esse label deve ser exclusivo em todas as VCNs na tenancy.

Observe o OCID da nova VCN para uso posterior. Nos exemplos deste guia, esse OCID da VCN é ocid1.vcn.oke_vcn_id.

Próximas Etapas

  • Acesso público à Internet. Para tráfego em uma sub-rede pública que se conecta à internet usando endereços IP públicos, crie um gateway de internet e uma regra de roteamento que faça referência a esse gateway de internet.

  • Acesso à internet privada. Para tráfego em uma sub-rede privada que precisa se conectar à internet sem expor endereços IP privados, crie um gateway NAT e uma regra de roteamento que faça referência a esse gateway NAT.

  • Acesso somente à VCN. Para restringir a comunicação a apenas outros recursos na mesma VCN, use a tabela de roteamento padrão, que não tem regras de roteamento.

  • Instâncias em outra VCN. Para permitir a comunicação entre o cluster e uma instância em execução em outra VCN, crie um LPG (Local Peering Gateway) e uma regra de roteamento que faça referência a esse LPG.

  • Espaço de endereço IP local. Para permitir a comunicação entre o cluster e o espaço de endereço IP de rede local, crie um Gateway de Roteamento Dinâmico (DRG), anexe a VCN do OKE a esse DRG e crie uma regra de roteamento que faça referência a esse DRG.

Editar a Tabela de Roteamento Privado da VCN

Edite a tabela de roteamento padrão que foi criada quando você criou a VCN. Altere o nome da tabela de roteamento para vcn_private. Esta tabela de roteamento não tem regras de roteamento. Não adicione regras de roteamento.

Criar uma Tabela de Roteamento Privado NAT

Crie um gateway NAT e uma tabela de roteamento com uma regra de roteamento que faça referência ao gateway NAT.

Gateway NAT

Para criar o gateway NAT, use as instruções em Configurando um Gateway NAT. Para obter a entrada do Terraform, consulte Exemplo de Scripts do Terraform para Recursos de Rede (Sobreposição de Canal).

Observe o nome e o OCID do gateway NAT para designação à regra de roteamento privado.

Regra de Roteamento Privada

Modifique a tabela de roteamento padrão, usando a entrada a seguir para criar uma regra de roteamento privada que faça referência ao gateway NAT que foi criado na etapa anterior. Consulte Criando uma Tabela de Roteamento.

Para este exemplo, use a entrada a seguir para criar a tabela de roteamento com uma regra de roteamento privada que faça referência ao gateway NAT que foi criado na etapa anterior.

Propriedade Console do Compute Cloud@Customer

Propriedade da CLI

  • Nome: nat_private

Regra de roteamento

  • Tipo de Destino: Gateway NAT

  • Gateway NAT: Nome do gateway NAT que foi criado na etapa anterior

  • Bloco CIDR: 0.0.0.0/0

  • Descrição: Regra de roteamento privada NAT

  • --display-name: nat_private

--route-rules

  • networkEntityId: OCID do gateway NAT que foi criado na etapa anterior

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: Regra de roteamento privada NAT

Observe o nome e o OCID dessa tabela de roteamento para designação a sub-redes privadas.

Crie o Gateway de Peering Local

Crie um LPG (Local Peering Gateway) e uma tabela de roteamento com uma regra de roteamento que faça referência ao LPG.

LPG (Local Peering Gateway)

Crie o LPG. Consulte Conectando VCNs por meio de um LPG (Local Peering Gateway).

Observe o nome e o OCID do LPG para designação à regra de roteamento privada.

Regra de Roteamento Privada

Criar uma tabela de roteamento. Consulte Criando uma Tabela de Roteamento.

Para este exemplo, use a entrada a seguir para criar a tabela de roteamento com uma regra de roteamento privada que faça referência ao LPG que foi criado na etapa anterior.

Propriedade Console do Compute Cloud@Customer

Propriedade da CLI

  • Nome: lpg_rt

Regra de roteamento

  • Tipo de Destino: Pareamento Local

  • LPG (Local Peering Gateway): nome do LPG que foi criado na etapa anterior

  • Bloco CIDR: CIDR_for_the_second_VCN

  • Descrição: LPG private route rule

  • --display-name: lpg_rt

--route-rules

  • networkEntityId: OCID do LPG que foi criado na etapa anterior

  • destinationType: CIDR_BLOCK

  • destination: CIDR_for_the_second_VCN

  • description: regra de roteamento privada LPG

Observe o nome e o OCID desta tabela de roteamento para designação à sub-rede "control-plane-endpoint" (Criando uma Sub-rede do Balanceador de Carga do Plano de Controle do OKE (Sobreposição de Flannel)).

Adicione a mesma regra de roteamento na segunda VCN (a VCN pareada), especificando o CIDR da VCN do OKE como destino.

Criar um Gateway de Roteamento Dinâmico

Crie um DRG (gateway de Roteamento Dinâmico) e uma Tabela de Roteamento com uma regra de roteamento que faça referência ao DRG.

Gateway de Roteamento Dinâmico

Para criar o DRG e anexar a VCN do OKE a esse DRG. Consulte Conexão com a Rede Local por meio de um DRG (Dynamic Routing Gateway). Crie o DRG no compartimento da VCN do OKE e anexe a VCN do OKE a esse DRG.

Observe o nome e o OCID do DRG para designação à regra de roteamento privada.

Regra de Roteamento Privada

Criar uma tabela de roteamento. Consulte Criando uma Tabela de Roteamento.

Para este exemplo, use a entrada a seguir para criar a tabela de roteamento com uma regra de roteamento privada que faça referência ao DRG que foi criado na etapa anterior.

Propriedade Console do Compute Cloud@Customer

Propriedade da CLI

  • Nome: drg_rt

Regra de roteamento

  • Tipo de Destino: Gateway de Roteamento Dinâmico

  • Roteamento Dinâmico: Nome do DRG que foi criado na etapa anterior

  • Bloco CIDR: 0.0.0.0/0

  • Descrição: regra de roteamento privado do DRG

  • --display-name: drg_rt

--route-rules

  • networkEntityId: OCID do DRG que foi criado na etapa anterior

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: regra de roteamento privado do DRG

Observe o nome e o OCID desta tabela de roteamento para designação à sub-rede "control-plane-endpoint" (Criando uma Sub-rede do Balanceador de Carga do Plano de Controle do OKE (Sobreposição de Flannel)).

Criar uma Tabela de Roteamento Pública

Crie um gateway de internet e uma tabela de roteamento com uma regra de roteamento que faça referência ao gateway de internet. Isso permite o acesso à Internet para nós do OKE.

Criar um Gateway de Internet

Para criar o gateway de internet, use as instruções em Configurando um Gateway de Internet. Para obter a entrada do Terraform, consulte Exemplo de Scripts do Terraform para Recursos de Rede (Sobreposição de Canal).

Observe o nome e o OCID do gateway de internet para designação à regra de roteamento pública.

Criar uma Regra de Roteamento Pública

Crie uma regra de roteamento pública para o gateway de internet que você acabou de criar. Para criar uma tabela de roteamento, use as instruções em Criando uma Tabela de Roteamento. Para obter a entrada do Terraform, consulte Exemplo de Scripts do Terraform para Recursos de Rede (Sobreposição de Canal).

Para este exemplo, use a entrada a seguir para criar a tabela de roteamento com uma regra de roteamento pública que faça referência ao gateway de internet que foi criado na etapa anterior.

Propriedade da Console do Compute Cloud@Customer

Propriedade CLI

  • Nome: público

Regra de roteamento

  • Tipo de Destino: Gateway de Internet

  • Gateway de Internet: Nome do gateway de internet que foi criado na etapa anterior

  • bloco CIDR: 0.0.0.0/0

  • Descrição: Regra de roteamento público do OKE

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: público

--route-rules

  • networkEntityId: OCID do gateway de internet que foi criado na etapa anterior

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: Regra de roteamento público do OKE

Modificar a Lista de Segurança Padrão da VCN

Para modificar uma lista de segurança, consulte Updating a Security List. Para obter a entrada do Terraform, consulte Exemplo de Scripts do Terraform para Recursos de Rede (Sobreposição de Canal).

Exclua todas as regras padrão e crie as regras mostradas na tabela a seguir.

Propriedade da Console do Compute Cloud@Customer

Propriedade CLI

  • Nome: Padrão

--security-list-id: ocid1.securitylist.default_securitylist_id

Uma regra de segurança de saída:

  • Stateless: desmarque a caixa

  • CIDR de Saída: 0.0.0.0/0

  • Protocolo IP: Todos os protocolos

  • Descrição: "Permitir todo o tráfego de saída."

Uma regra de segurança de saída:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: "Permitir todo o tráfego de saída."

Três regras de segurança de entrada:

Três regras de segurança de entrada:

--ingress-security-rules

Regra de Entrada 1

  • Stateless: desmarque a caixa

  • CIDR de Entrada: vcn_cidr

  • Protocolo IP: ICMP

    • Tipo do parâmetro: 8: Eco

  • Descrição: "Permitir ping da VCN".

Regra de Entrada 1

  • isStateless: false

  • source: vcn_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 8

  • description: "Permitir ping da VCN."

Regra de Entrada 2

  • Stateless: desmarque a caixa

  • CIDR de Entrada: 0.0.0.0/0

  • Protocolo IP: ICMP

    • Tipo de Parâmetro: 3: Destino Inacessível

  • Descrição: "Blocks incoming requests from any source."

Regra de Entrada 2

  • isStateless: false

  • source: 0.0.0.0/0

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 3

  • description: "Blocks incoming requests from any source."

Regra de Entrada 3

  • Stateless: desmarque a caixa

  • CIDR de Entrada: 0.0.0.0/0

  • Protocolo IP: ICMP

    • Tipo de Parâmetro: 11: Tempo Excedido

  • Descrição: "Tempo excedido".

Regra de Entrada 3

  • isStateless: false

  • source: 0.0.0.0/0

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 11

  • description: "Tempo excedido."

Observe o nome e o OCID dessa lista de segurança padrão para designação a sub-redes.

O Que Vem a Seguir:

Criando uma Sub-rede do Colaborador (Sobreposição de Flannel)