Criando uma Sub-rede de Trabalho (Pod Nativo da VCN)

No Compute Cloud@Customer,

Crie os seguintes recursos na ordem listada:

  1. Lista de segurança do colaborador

  2. Sub-rede do colaborador

Criar uma Lista de Segurança do Colaborador

Criar uma lista de segurança. Consulte Criando uma Lista de Segurança.. Para obter a entrada do Terraform, consulte Exemplo de Scripts do Terraform (Pod Nativo da VCN).

Essa lista de segurança define o tráfego permitido para contatar nós de trabalho diretamente.

Para este exemplo, use a entrada a seguir para a lista de segurança de sub-rede de trabalho.

Propriedade da console

Propriedade CLI

  • Nome: worker-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker-seclist

Uma regra de segurança de saída:

  • Stateless: desmarque a caixa

  • CIDR de Saída: 0.0.0.0/0

  • Protocolo IP: Todos os protocolos

  • Descrição: "Permitir todo o tráfego de saída."

Uma regra de segurança de saída:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: "Permitir todo o tráfego de saída."

Treze regras de segurança de ingresso:

Treze regras de segurança de ingresso:

--ingress-security-rules

Regra de Entrada 1

  • Stateless: desmarque a caixa

  • CIDR de Entrada: kube_client_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 30000-32767

  • Descrição: "Permitir que os nós de trabalho recebam conexões por meio da sub-rede do pod".

Regra de Entrada 1

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Permitir que os nós de trabalho recebam conexões por meio da sub-rede do pod."

Regra de Entrada 2

  • Stateless: desmarque a caixa

  • CIDR de Entrada: kmi_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 22

  • Descrição: "Permitir conexão SSH da sub-rede do plano de controle."

Regra de Entrada 2

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description: "Permitir conexão SSH da sub-rede do plano de controle."

Regra de Entrada 3

  • Stateless: desmarque a caixa

  • CIDR de Entrada: worker_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 22

  • Descrição: "Permitir conexão SSH da sub-rede worker."

Regra de Entrada 3

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description: "Permitir conexão SSH da sub-rede do worker."

Regra de Entrada 4

  • Stateless: desmarque a caixa

  • CIDR de Entrada: worker_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 10250

  • Descrição: "Permitir comunicação entre o ponto final da API Kubernetes e o nó de trabalho."

Regra de Entrada 4

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description: "Permitir a comunicação entre o ponto final da API Kubernetes e o nó de trabalho."

Regra de Entrada 5

  • Stateless: desmarque a caixa

  • CIDR de Entrada: worker_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 10256

  • Descrição: "Permitir que o Balanceador de Carga ou o Balanceador de Carga de Rede se comuniquem com o kube-proxy nos nós de trabalho."

Regra de Entrada 5

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: "Permitir que o Balanceador de Carga ou o Balanceador de Carga de Rede se comuniquem com o kube-proxy nos nós de trabalho."

Regra de Entrada 6

  • Stateless: desmarque a caixa

  • CIDR de Entrada: worker_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 30000-32767

  • Descrição: "Allow traffic to worker nodes."

Regra de Entrada 6

  • isStateless: false

  • source: worker_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Permitir tráfego para nós de trabalho".

Regra de Entrada 7

  • Stateless: desmarque a caixa

  • CIDR de Entrada: workerlb_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 10256

  • Descrição: "Permitir que o Balanceador de Carga ou o Balanceador de Carga de Rede se comuniquem com o kube-proxy nos nós de trabalho."

Regra de Entrada 7

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: "Permitir que o Balanceador de Carga ou o Balanceador de Carga de Rede se comuniquem com o kube-proxy nos nós de trabalho."

Regra de Entrada 8

  • Stateless: desmarque a caixa

  • CIDR de Entrada: workerlb_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 30000-32767

  • Descrição: "Permitir que os nós de trabalho recebam conexões por meio do Balanceador de Carga de Rede".

Regra de Entrada 8

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Permitir que os nós de trabalho recebam conexões por meio do Balanceador de Carga de Rede".

Regra de Entrada 9

  • Stateless: desmarque a caixa

  • CIDR de Entrada: kmi_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 10250

  • Descrição: "Permitir comunicação entre o ponto final da API Kubernetes e o nó de trabalho."

Regra de Entrada 9

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10250

    • min: 10250

  • description: "Permitir a comunicação entre o ponto final da API Kubernetes e o nó de trabalho."

Regra de Entrada 10

  • Stateless: desmarque a caixa

  • CIDR de Entrada: kmi_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 10256

  • Descrição: "Permitir que o Balanceador de Carga ou o Balanceador de Carga de Rede se comuniquem com o kube-proxy nos nós de trabalho."

Regra de Entrada 10

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: "Permitir que o Balanceador de Carga ou o Balanceador de Carga de Rede se comuniquem com o kube-proxy nos nós de trabalho."

Regra de Entrada 11

  • Stateless: desmarque a caixa

  • CIDR de Entrada: pod_cidr

  • Protocolo IP: TCP

    • Faixa de Portas de Destino: 30000-32767

  • Descrição: "Permitir que os nós de trabalho recebam conexões por meio da sub-rede do pod".

Regra de Entrada 11

  • isStateless: false

  • source: pod_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Permitir que os nós de trabalho recebam conexões por meio da sub-rede do pod."

Regra de Entrada 12

  • Stateless: desmarque a caixa

  • CIDR de Entrada: kmi_cidr

  • IP Protocol: ICMP

    • Tipo de parâmetro: 8: Echo

  • Descrição: "Teste a acessibilidade de um pod de rede de kmi_cidr enviando uma solicitação."

Regra de Entrada 12

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 8

  • description: "Teste a acessibilidade de um pod de rede em kmi_cidr enviando uma solicitação."

Regra de Entrada 13

  • Stateless: desmarque a caixa

  • CIDR de Entrada: kmi_cidr

  • IP Protocol: ICMP

    • Tipo de parâmetro: 0: Resposta de eco

  • Descrição: "Se o pod de destino for acessível em kmi_cidr, responda com uma resposta de eco ICMP".

Regra de Entrada 13

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 0

  • description: "Se o pod de destino puder ser acessado em kmi_cidr, responda com uma Resposta de Eco ICMP."

Criar a Sub-rede do Worker

Criar uma sub-rede. Consulte Criando uma Sub-rede. Para obter a entrada do Terraform, consulte Exemplo de Scripts do Terraform (Pod Nativo da VCN).

Para este exemplo, use a entrada a seguir para criar a sub-rede do colaborador. Use o OCID da VCN que foi criada em Criando um Pod Nativo da VCN (VCN). Crie a sub-rede do colaborador no mesmo compartimento em que você criou a VCN.

Crie uma sub-rede de worker privada NAT ou uma sub-rede de worker privada da VCN. Crie uma sub-rede de colaborador privado NAT para se comunicar fora da VCN.

Criar uma Sub-rede de Worker Privada NAT

Propriedade da console

Propriedade CLI

  • Nome: trabalhador

  • Bloco CIDR: worker_cidr

  • Tabela de Roteamento: Selecione "nat_private" na lista

  • Sub-rede Privada: marque a caixa

  • Nomes de Host DNS:

    Usar Nomes de Host DNS nesta Sub-rede: marque a caixa

    • Label de DNS: worker

  • Listas de Segurança: Selecione "worker-seclist" e "Default Security List for oketest-vcn" na lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID da tabela de roteamento "nat_private"

  • --security-list-ids: OCIDs da lista de segurança "worker-seclist" e da lista de segurança "Default Security List for oketest-vcn"

A diferença na sub-rede privada a seguir é que a tabela de roteamento privada da VCN é usada em vez da tabela de roteamento privado NAT.

Criar uma Sub-rede de Worker Privada da VCN

Propriedade da console

Propriedade CLI

  • Nome: trabalhador

  • Bloco CIDR: worker_cidr

  • Tabela de Roteamento: Selecione "vcn_private" na lista

  • Sub-rede Privada: marque a caixa

  • Nomes de Host DNS:

    Usar Nomes de Host DNS nesta Sub-rede: marque a caixa

    • Label de DNS: worker

  • Listas de Segurança: Selecione "worker-seclist" e "Default Security List for oketest-vcn" na lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID da tabela de roteamento "vcn_private"

  • --security-list-ids: OCIDs da lista de segurança "worker-seclist" e da lista de segurança "Default Security List for oketest-vcn"