Criando uma Sub-rede do Colaborador (Sobreposição de Flannel)

No Compute Cloud@Customer, parte da configuração do OKE requer listas de segurança de acesso externas e internas e uma sub-rede de trabalho.

Crie os seguintes recursos na ordem listada:

  1. Crie uma Lista de Segurança do Colaborador.
  2. Crie a Sub-rede de Trabalho.

Criar uma Lista de Segurança de Colaborador

Para criar uma lista de segurança, use as instruções em Criando uma Lista de Segurança. Para obter a entrada do Terraform, consulte Exemplo de Scripts do Terraform para Recursos de Rede (Sobreposição de Canal).

Essa lista de segurança define o tráfego que pode entrar em contato diretamente com os nós de trabalho.

Para este exemplo, use a entrada a seguir para a lista de segurança da sub-rede do colaborador.

Console do Compute Cloud@Customer

Propriedade da CLI

  • Nome: worker-seclist

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker-seclist

Cinco regras de segurança de ingresso:

Cinco regras de segurança de ingresso:

--ingress-security-rules

Regra de Entrada 1

  • Stateless: desmarque a caixa de seleção

  • CIDR de Entrada: vcn_cidr

  • Protocolo IP: TCP

    • Intervalo de Portas de Destino: 22

  • Descrição: "Permitir ssh intra-VCN."

Regra de Entrada 1

  • isStateless: false

  • source: vcn_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 22

    • min: 22

  • description: "Permitir ssh intra-VCN."

Regra de Entrada 2

  • Stateless: desmarque a caixa de seleção

  • CIDR de Entrada: kube_client_cidr

  • Protocolo IP: TCP

    • Intervalo de Portas de Destino: 30000-32767

  • Descrição: "Permitir que os clientes entrem em contato com o intervalo de portas do nó."

Regra de Entrada 2

  • isStateless: false

  • source: kube_client_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Permitir que os clientes entrem em contato com o intervalo de portas do nó."

Regra de Entrada 3

  • Stateless: desmarque a caixa de seleção

  • CIDR de Entrada: workerlb_cidr

  • Protocolo IP: TCP

    • Intervalo de Portas de Destino: 30000-32767

  • Descrição: "Permitir que o balanceador de carga de trabalho entre em contato com os nós de trabalho."

Regra de Entrada 3

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 32767

    • min: 30000

  • description: "Permitir que o balanceador de carga de trabalho entre em contato com os nós de trabalho."

Regra de Entrada 4

  • Stateless: desmarque a caixa de seleção

  • CIDR de Entrada: workerlb_cidr

  • Protocolo IP: TCP

    • Intervalo de Portas de Destino: 10256

  • Descrição: "Permitir que o balanceador de carga de trabalho entre em contato com os nós de trabalho."

Regra de Entrada 4

  • isStateless: false

  • source: workerlb_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 10256

    • min: 10256

  • description: "Permitir que o balanceador de carga de trabalho entre em contato com os nós de trabalho."

Regra de Entrada 5

  • Stateless: desmarque a caixa de seleção

  • CIDR de Entrada: kmi_cidr

  • Protocolo IP: TCP

    • Intervalo de Portas de Destino: 22-65535

  • Descrição: "Permitir que o plano de controle entre em contato com os nós de trabalho."

Regra de Entrada 5

  • isStateless: false

  • source: kmi_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 6

  • tcpOptions

    destinationPortRange

    • max: 65535

    • min: 22

  • description: "Permitir que o plano de controle entre em contato com os nós de trabalho."

Criar a Sub-rede de Trabalho

Para criar uma sub-rede, use as instruções em Criando uma Sub-rede. Para obter a entrada do Terraform, consulte Exemplo de Scripts do Terraform para Recursos de Rede (Sobreposição de Canal).

Para este exemplo, use a entrada a seguir para a lista de segurança de sub-rede de trabalho. Use o OCID da VCN que foi criada em Criando uma VCN (Sobreposição de Canal). Crie a sub-rede do colaborador no mesmo compartimento em que você criou a VCN.

Crie uma sub-rede de worker privada NAT ou uma sub-rede de worker privada da VCN. Crie uma sub-rede de colaborador privado NAT para se comunicar fora da VCN.

Criar uma Sub-rede de Worker Privada NAT

Propriedade Console do Compute Cloud@Customer

Propriedade da CLI

  • Nome: trabalhador

  • Bloco CIDR: worker_cidr

  • Tabela de Roteamento: Selecione "nat_private" na lista

  • Sub-rede Privada: marque a caixa

  • Nomes de Host do DNS:

    Usar nomes de host de DNS nesta sub-rede: marque a caixa

    • Label de DNS: worker

  • Listas de Segurança: selecione "worker-seclist" e "Lista de Segurança Padrão para oketest-vcn" na lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID da tabela de roteamento "nat_private"

  • --security-list-ids: OCIDs da lista de segurança "worker-seclist" e da lista de segurança "Default Security List for oketest-vcn"

A diferença na sub-rede privada a seguir é que a tabela de roteamento privada da VCN é usada em vez da tabela de roteamento privado NAT.

Criar uma Sub-rede de Worker Privada da VCN

Propriedade da Console do Compute Cloud@Customer

Propriedade CLI

  • Nome: trabalhador

  • Bloco CIDR: worker_cidr

  • Tabela de Roteamento: Selecione "vcn_private" na lista

  • Sub-rede Privada: marque a caixa

  • Nomes de Host DNS:

    Usar Nomes de Host DNS nesta Sub-rede: marque a caixa

    • Label de DNS: worker

  • Listas de Segurança: Selecione "worker-seclist" e "Default Security List for oketest-vcn" na lista

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: worker

  • --cidr-block: worker_cidr

  • --dns-label: worker

  • --prohibit-public-ip-on-vnic: true

  • --route-table-id: OCID da tabela de roteamento "vcn_private"

  • --security-list-ids: OCIDs da lista de segurança "worker-seclist" e da lista de segurança "Default Security List for oketest-vcn"

O Que Vem a Seguir:

Criando uma Sub-rede do Worker Load Balancer (Sobreposição de Flannel)