Documentação do Oracle Cloud Infrastructure

Criando uma Sub-rede de Plano de Controle (Pod Nativo da VCN)

Crie os seguintes recursos na ordem listada:

  1. Lista de segurança do plano de controle

  2. Sub-rede do plano de controle

Criar uma Lista de Segurança de Plano de Controle

Criar uma lista de segurança. Consulte Criando uma Lista de Segurança. Para obter a entrada do Terraform, consulte Exemplo de Scripts do Terraform (Pod Nativo da VCN).

Para este exemplo, use a entrada a seguir para a lista de segurança de sub-rede do plano de controle. O kubernetes_api_port é a porta usada para acessar a API do Kubernetes: porta 6443. Consulte também Portas de Rede de Clusters de Carga de Trabalho (Pod Nativo da VCN).

Propriedade da console

Propriedade CLI

  • Nome: kmi-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: kmi-seclist

Uma regra de segurança de saída:

  • Stateless: desmarque a caixa

  • CIDR de Saída: 0.0.0.0/0

  • Protocolo IP: Todos os protocolos

  • Descrição: "Permitir todo o tráfego de saída."

Uma regra de segurança de saída:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: "Permitir todo o tráfego de saída."

Onze regras de segurança de ingresso:

Onze regras de segurança de ingresso:

--ingress-security-rules

Regra de Entrada 1

  • Sem estado: desmarque a caixa

  • CIDR de Entrada: kube_client_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: kubernetes_api_port

  • Descrição: "Permitir que os clientes se comuniquem com a API do Kubernetes."

 Regra de Entrada 1

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Permitir que os clientes se comuniquem com a API do Kubernetes."
Regra de Entrada 2

  • Sem estado: desmarque a caixa

  • CIDR de Entrada: kmilb_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: kubernetes_api_port

  • Descrição: "Permitir que o balanceador de carga se comunique com APIs do plano de controle do Kubernetes".

 Regra de Entrada 2

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Permitir que o balanceador de carga se comunique com APIs do plano de controle do Kubernetes."
Regra de Entrada 3

  • Sem estado: desmarque a caixa

  • CIDR de Entrada: kmilb_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 12250

  • Descrição: "Permitir que o trabalhador do Kubernetes para a comunicação do ponto final da API do Kubernetes por meio do balanceador de carga do plano de controle."

 Regra de Entrada 3

  • isStateless: false

  • source: kmilb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description: "Permitir que o trabalhador do Kubernetes na comunicação do ponto final da API do Kubernetes por meio do balanceador de carga do plano de controle."
Regra de Entrada 4

  • Sem estado: desmarque a caixa

  • CIDR de Entrada: worker_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: kubernetes_api_port

  • Descrição: "Permitir que os nós de trabalho acessem a API do Kubernetes."

 Regra de Entrada 4

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Permitir que os nós de trabalho acessem a API do Kubernetes."
Regra de Entrada 5

  • Sem estado: desmarque a caixa

  • CIDR de Entrada: worker_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 12250

  • Descrição: "Permitir que o trabalhador do Kubernetes comunique o ponto final da API do Kubernetes."

 Regra de Entrada 5

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description: "Permitir que o trabalhador do Kubernetes comunique o ponto final da API do Kubernetes."
Regra de Entrada 6

  • Sem estado: desmarque a caixa

  • CIDR de Entrada: kmi_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: kubernetes_api_port

  • Descrição: "Permitir que o plano de controle alcance a si mesmo."

 Regra de Entrada 6

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Permitir que o plano de controle atinja a si mesmo."
Regra de Entrada 7

  • Sem estado: desmarque a caixa

  • CIDR de Entrada: kmi_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 2379-2381

  • Descrição: "Permitir que o plano de controle atinja serviços e métricas do etcd. As portas 2379 e 2380 são usadas pelo Kubernetes para se comunicar com o servidor etcd. A porta 2381 é usada pelo Kubernetes para coletar métricas do etcd."

 Regra de Entrada 7

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 2381

    • min: 2379

  • description: "Permitir que o plano de controle atinja serviços e métricas do etcd. As portas 2379 e 2380 são usadas pelo Kubernetes para se comunicar com o servidor etcd. A porta 2381 é usada pelo Kubernetes para coletar métricas do etcd."
Regra de Entrada 8

  • Sem estado: desmarque a caixa

  • CIDR de Entrada: kmi_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 10250

  • Descrição: "Permitir que o ponto final da API do Kubernetes controle a comunicação do nó do plano."

 Regra de Entrada 8

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description: "Permitir que o ponto final da API do Kubernetes controle a comunicação do nó do plano."
Regra de Entrada 9

  • Sem estado: desmarque a caixa

  • CIDR de Entrada: kmi_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 10257-10260

  • Descrição: "Permitir conexão de entrada para componentes do Kubernetes".

 Regra de Entrada 9

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10260

    • min: 10257

  • description: "Permitir conexão de entrada para componentes do Kubernetes."
Regra de Entrada 10

  • Sem estado: desmarque a caixa

  • CIDR de Entrada: pod_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: kubernetes_api_port

  • Descrição: "Permitir que os pods se comuniquem com APIs do Kubernetes".

 Regra de Entrada 10

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: kubernetes_api_port

    • min: kubernetes_api_port

  • description: "Permitir que os pods se comuniquem com APIs do Kubernetes."
Regra de Entrada 11

  • Sem estado: desmarque a caixa

  • CIDR de Entrada: pod_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 12250

  • Descrição: "Permitir pods do Kubernetes para comunicação do ponto final da API do Kubernetes".

 Regra de Entrada 11

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 12250

    • min: 12250

  • description: "Permitir pods do Kubernetes para comunicação do ponto final da API do Kubernetes."

Criar a Sub-rede do Plano de Controle

Criar uma sub-rede. Consulte Criando uma Sub-rede. Para obter a entrada do Terraform, consulte Exemplo de Scripts do Terraform (Pod Nativo da VCN).

Use a entrada a seguir para criar a sub-rede do plano de controle. Use o OCID da VCN que foi criada em Criando um Pod Nativo da VCN (VCN). Crie a sub-rede do plano de controle no mesmo compartimento em que você criou a VCN.

Crie uma sub-rede de plano de controle privado NAT ou uma sub-rede de plano de controle privado da VCN. Crie uma sub-rede de plano de controle privado NAT para se comunicar fora da VCN.

Importante

O nome desta sub-rede deve ser exatamente "plano de controle".

Criar uma Sub-rede de Plano de Controle Privado do Data Center

Propriedade da console

Propriedade CLI

  • nome: controle-plano

  • Bloco CIDR: kmi_cidr

  • Tabela de Roteamento: Selecione "nat_private" na lista

  • Sub-rede Privada: marque a caixa

  • Nomes de Host DNS:

    Usar Nomes de Host DNS nesta Sub-rede: marque a caixa

    • Label de DNS: kmi

  • Listas de Segurança: Selecione "kmi-seclist" e "Default Security List for oketest-vcn" na lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane

  • --cidr-block: kmi_cidr

  • --dns-label: kmi

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID da tabela de roteamento "nat_private"

  • --security-list-ids: OCIDs da lista de segurança "kmi-seclist" e da lista de segurança "Default Security List for oketest-vcn"

A diferença na sub-rede privada a seguir é que a tabela de roteamento privada da VCN é usada em vez da tabela de roteamento privado NAT.

Criar uma Sub-rede do Plano de Controle Privado da VCN

Propriedade da console

Propriedade CLI

  • nome: controle-plano

  • Bloco CIDR: kmi_cidr

  • Tabela de Roteamento: Selecione "vcn_private" na lista

  • Sub-rede Privada: marque a caixa

  • Nomes de Host DNS:

    Usar Nomes de Host DNS nesta Sub-rede: marque a caixa

    • Label de DNS: kmi

  • Listas de Segurança: Selecione "kmi-seclist" e "Default Security List for oketest-vcn" na lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: control-plane

  • --cidr-block: kmi_cidr

  • --dns-label: kmi

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID da tabela de roteamento "vcn_private"

  • --security-list-ids: OCIDs da lista de segurança "kmi-seclist" e da lista de segurança "Default Security List for oketest-vcn"