处理 NSX 管理员创建的 DFW 区域

对于管理器到策略的迁移，NSX 管理员可能需要根据分布式防火墙 (DFW) 区域如何影响 vanilla Kubernetes 或 TKGi 集群和/或 TAS Foundation 来采取相应的措施。

如果 NSX 管理员未创建任何 DFW 区域，您可以跳过下面的信息。

DFW 区域不影响任何集群/Foundation

NSX 管理员可以执行以下操作之一：

使用策略 API 创建以管理器模式创建的相同 DFW。
迁移所有 Kubernetes 集群后，使用 NSX UI 迁移所有内容。
在 TAS 中，在迁移 Foundation 之前/之后将 DFW 区域/规则作为共享资源进行迁移。请注意，如果 DFW 规则的源和目标为“任意”，则必须将此类 DFW 区域迁移到“默认”NSX 策略域。

DFW 区域仅影响一个集群/Foundation

可以具有多个区域，并且可以在一个区域中具有多个规则。

顶部和底部区域标记	NSX管理员操作
NCP 使用顶部和底部区域标记。 NSX 管理员创建的区域位于顶部和底部区域标记外部。	Kubernetes 使用策略 API 创建以管理器模式在集群的顶部标记之上创建的相同 DFW。必须在执行集群迁移之前完成该操作。在集群迁移完成后，为底部标记以下的区域/规则执行相同的操作。 TAS 在执行 Foundation 迁移之前，将以管理器模式在集群的顶部标记之上创建的相同 DFW 作为共享资源进行迁移。在 Foundation 迁移完成后，为底部标记以下的区域/规则执行相同的操作。确保在迁移所有 Foundation 后，将低优先级区域（在管理器模式下位于底部标记以下）迁移到策略。

顶部和底部区域标记

NSX管理员操作

NCP 使用顶部和底部区域标记。

NSX 管理员创建的区域位于顶部和底部区域标记外部。

Kubernetes

使用策略 API 创建以管理器模式在集群的顶部标记之上创建的相同 DFW。必须在执行集群迁移之前完成该操作。在集群迁移完成后，为底部标记以下的区域/规则执行相同的操作。

TAS

在执行 Foundation 迁移之前，将以管理器模式在集群的顶部标记之上创建的相同 DFW 作为共享资源进行迁移。在 Foundation 迁移完成后，为底部标记以下的区域/规则执行相同的操作。

确保在迁移所有 Foundation 后，将低优先级区域（在管理器模式下位于底部标记以下）迁移到策略。

顶部和底部区域标记	NSX管理员操作
NCP 使用顶部和底部区域标记。 NSX 管理员创建的区域位于顶部和底部区域标记内部。	Kubernetes 如果管理员创建的区域可以移动到顶部区域标记之上，请在集群迁移之前使用策略 API 创建在管理器模式下创建的相同 DFW。如果管理员创建的区域可以移动到底部区域标记以下，请在集群迁移完成之后使用策略 API 创建在管理器模式下创建的相同 DFW。 TAS 如果管理员创建的区域可以移动到顶部区域标记之上，请在 Foundation 迁移之前将相同 DFW 作为共享资源进行迁移。如果管理员创建的区域可以移动到底部区域标记以下，请在迁移 Foundation 之后将相同 DFW 作为共享资源进行迁移。 Kubernetes 和 TAS 如果无法执行任何以上操作，则不支持该场景。

顶部和底部区域标记

NSX管理员操作

NCP 使用顶部和底部区域标记。

NSX 管理员创建的区域位于顶部和底部区域标记内部。

Kubernetes

如果管理员创建的区域可以移动到顶部区域标记之上，请在集群迁移之前使用策略 API 创建在管理器模式下创建的相同 DFW。

如果管理员创建的区域可以移动到底部区域标记以下，请在集群迁移完成之后使用策略 API 创建在管理器模式下创建的相同 DFW。

TAS

如果管理员创建的区域可以移动到顶部区域标记之上，请在 Foundation 迁移之前将相同 DFW 作为共享资源进行迁移。

如果管理员创建的区域可以移动到底部区域标记以下，请在迁移 Foundation 之后将相同 DFW 作为共享资源进行迁移。

Kubernetes 和 TAS

如果无法执行任何以上操作，则不支持该场景。

顶部和底部区域标记	NSX管理员操作
NCP 不使用顶部和底部区域标记。在这种情况下，NCP 以管理器模式在顶部或底部创建 DFW 区域。	Kubernetes 如果管理员创建的区域可以移动到 NCP 创建的顶部区域之上，请在集群迁移之前使用策略 API 创建在管理器模式下创建的相同 DFW。如果管理员创建的区域可以移动到 NCP 创建的底部区域以下，请在集群迁移完成之后使用策略 API 创建在管理器模式下创建的相同 DFW。 TAS 如果管理员创建的区域可以移动到 NCP 创建的顶部区域之上，请在 Foundation 迁移之前将相同 DFW 作为共享资源进行迁移。如果管理员创建的区域可以移动到 NCP 创建的底部区域以下，请在 Foundation 迁移之后将相同 DFW 作为共享资源进行迁移。

顶部和底部区域标记

NSX管理员操作

NCP 不使用顶部和底部区域标记。

在这种情况下，NCP 以管理器模式在顶部或底部创建 DFW 区域。

Kubernetes

如果管理员创建的区域可以移动到 NCP 创建的顶部区域之上，请在集群迁移之前使用策略 API 创建在管理器模式下创建的相同 DFW。

如果管理员创建的区域可以移动到 NCP 创建的底部区域以下，请在集群迁移完成之后使用策略 API 创建在管理器模式下创建的相同 DFW。

TAS

如果管理员创建的区域可以移动到 NCP 创建的顶部区域之上，请在 Foundation 迁移之前将相同 DFW 作为共享资源进行迁移。

如果管理员创建的区域可以移动到 NCP 创建的底部区域以下，请在 Foundation 迁移之后将相同 DFW 作为共享资源进行迁移。

DFW 区域影响多个集群/Foundation

顶部和底部区域标记	NSX管理员操作
NCP 使用顶部和底部区域标记。所有集群/Foundation 都具有相同的顶部和底部区域标记。 NSX 管理员创建的区域位于顶部和底部区域标记外部。	Kubernetes 在迁移集群之前，使用策略 API 创建以管理器模式在顶部标记以上创建的相同 DFW。在迁移所有集群后，为底部标记以下的区域/规则执行相同的操作。 TAS 在迁移第一个 Foundation 的过程中，将以管理器模式在顶部标记之上创建的相同 DFW 作为共享资源进行迁移。在迁移所有 Foundation 后，为底部标记以下的区域/规则执行相同的操作。

顶部和底部区域标记

NSX管理员操作

NCP 使用顶部和底部区域标记。

所有集群/Foundation 都具有相同的顶部和底部区域标记。

NSX 管理员创建的区域位于顶部和底部区域标记外部。

Kubernetes

在迁移集群之前，使用策略 API 创建以管理器模式在顶部标记以上创建的相同 DFW。在迁移所有集群后，为底部标记以下的区域/规则执行相同的操作。

TAS

在迁移第一个 Foundation 的过程中，将以管理器模式在顶部标记之上创建的相同 DFW 作为共享资源进行迁移。在迁移所有 Foundation 后，为底部标记以下的区域/规则执行相同的操作。

顶部和底部区域标记	NSX管理员操作
NCP 使用顶部和底部区域标记。所有集群/Foundation 都具有相同的顶部和底部区域标记。 NSX 管理员创建的区域位于顶部和底部区域标记内部。	Kubernetes 如果管理员创建的区域可以移动到顶部区域标记之上，请在迁移受这些区域影响的集群之前使用策略 API 创建在管理器模式下创建的相同 DFW。如果管理员创建的区域可以移动到底部区域标记以下，请在迁移受这些区域影响的集群之后使用策略 API 创建在管理器模式下创建的相同 DFW。 TAS 如果管理员创建的区域可以移动到顶部区域标记之上，请先将相同 DFW 作为共享资源进行迁移，然后再迁移受这些区域影响的任何 Foundation。可以使用任何 Foundation 的 Ops Manager 进行迁移。如果管理员创建的区域可以移动到底部区域标记以下，请在迁移受这些区域影响的所有 Foundation 之后，将相同 DFW 作为共享资源进行迁移。可以使用任何 Foundation 的 Ops Manager 进行迁移。 Kubernetes 和 TAS 如果无法执行任何以上操作，则不支持该场景。

顶部和底部区域标记

NSX管理员操作

NCP 使用顶部和底部区域标记。

所有集群/Foundation 都具有相同的顶部和底部区域标记。

NSX 管理员创建的区域位于顶部和底部区域标记内部。

Kubernetes

如果管理员创建的区域可以移动到顶部区域标记之上，请在迁移受这些区域影响的集群之前使用策略 API 创建在管理器模式下创建的相同 DFW。

如果管理员创建的区域可以移动到底部区域标记以下，请在迁移受这些区域影响的集群之后使用策略 API 创建在管理器模式下创建的相同 DFW。

TAS

如果管理员创建的区域可以移动到顶部区域标记之上，请先将相同 DFW 作为共享资源进行迁移，然后再迁移受这些区域影响的任何 Foundation。可以使用任何 Foundation 的 Ops Manager 进行迁移。

如果管理员创建的区域可以移动到底部区域标记以下，请在迁移受这些区域影响的所有 Foundation 之后，将相同 DFW 作为共享资源进行迁移。可以使用任何 Foundation 的 Ops Manager 进行迁移。

Kubernetes 和 TAS

如果无法执行任何以上操作，则不支持该场景。

顶部和底部区域标记	NSX管理员操作
NCP 使用顶部和底部区域标记。集群/Foundation 具有不同的顶部和底部区域标记。 NSX 管理员创建的区域位于顶部和底部区域标记外部。	Kubernetes 在迁移集群之前，使用策略 API 创建以管理器模式在顶部标记以上创建的相同 DFW。在迁移完所有集群后，为底部标记以下的区域/规则执行相同的操作。 TAS 在迁移 Foundation 的过程中，将以管理器模式在顶部标记之上创建的相同 DFW 作为共享资源进行迁移。在迁移所有 Foundation 后，为底部标记以下的区域/规则执行相同的操作。

顶部和底部区域标记

NSX管理员操作

NCP 使用顶部和底部区域标记。

集群/Foundation 具有不同的顶部和底部区域标记。

NSX 管理员创建的区域位于顶部和底部区域标记外部。

Kubernetes

在迁移集群之前，使用策略 API 创建以管理器模式在顶部标记以上创建的相同 DFW。在迁移完所有集群后，为底部标记以下的区域/规则执行相同的操作。

TAS

在迁移 Foundation 的过程中，将以管理器模式在顶部标记之上创建的相同 DFW 作为共享资源进行迁移。在迁移所有 Foundation 后，为底部标记以下的区域/规则执行相同的操作。

顶部和底部区域标记	NSX管理员操作
NCP 使用顶部和底部区域标记。集群/Foundation 具有不同的顶部和底部区域标记。 NSX 管理员创建的区域位于顶部和底部区域标记内部。	Kubernetes 如果可能，将该区域移动到受该区域影响的所有集群的顶部区域标记以上。然后，在迁移受该区域影响的集群之前，使用策略 API 创建以管理器模式创建的相同 DFW。如果可能，将该区域移动到受该区域影响的所有集群的底部区域标记以下。然后，在迁移受该区域影响的集群后，使用策略 API 创建以管理器模式创建的相同 DFW。 TAS 如果可能，请将管理员创建的区域移动到这些区域影响的所有集群的顶部区域标记之上。接下来，将相同 DFW 作为共享资源进行迁移，然后再迁移受这些区域影响的任何 Foundation。可以使用任何 Foundation 的 Ops Manager 进行迁移。如果可能，请将管理员创建的区域移动到这些区域影响的所有集群的底部区域标记以下。接下来，在迁移受这些区域影响的所有 Foundation 之后，将相同 DFW 作为共享资源进行迁移。可以使用任何 Foundation 的 Ops Manager 进行迁移。 Kubernetes 和 TAS 如果可能，将区域拆分为更小的区域，以便：每个区域仅影响一个集群/Foundation。上面的“DFW 区域仅影响一个 Kubernetes 集群/Foundation”表中介绍了一个场景。每个区域影响多个集群/Foundation，但该区域位于受影响的集群/Foundation 的顶部和底部区域标记外部。您将遇到上一行中所述的场景。如果无法执行任何以上操作，则不支持该场景。

顶部和底部区域标记

NSX管理员操作

NCP 使用顶部和底部区域标记。

集群/Foundation 具有不同的顶部和底部区域标记。

NSX 管理员创建的区域位于顶部和底部区域标记内部。

Kubernetes

如果可能，将该区域移动到受该区域影响的所有集群的顶部区域标记以上。然后，在迁移受该区域影响的集群之前，使用策略 API 创建以管理器模式创建的相同 DFW。

如果可能，将该区域移动到受该区域影响的所有集群的底部区域标记以下。然后，在迁移受该区域影响的集群后，使用策略 API 创建以管理器模式创建的相同 DFW。

TAS

如果可能，请将管理员创建的区域移动到这些区域影响的所有集群的顶部区域标记之上。接下来，将相同 DFW 作为共享资源进行迁移，然后再迁移受这些区域影响的任何 Foundation。可以使用任何 Foundation 的 Ops Manager 进行迁移。

如果可能，请将管理员创建的区域移动到这些区域影响的所有集群的底部区域标记以下。接下来，在迁移受这些区域影响的所有 Foundation 之后，将相同 DFW 作为共享资源进行迁移。可以使用任何 Foundation 的 Ops Manager 进行迁移。

Kubernetes 和 TAS

如果可能，将区域拆分为更小的区域，以便：

每个区域仅影响一个集群/Foundation。上面的“DFW 区域仅影响一个 Kubernetes 集群/Foundation”表中介绍了一个场景。
每个区域影响多个集群/Foundation，但该区域位于受影响的集群/Foundation 的顶部和底部区域标记外部。您将遇到上一行中所述的场景。

如果无法执行任何以上操作，则不支持该场景。

顶部和底部区域标记	NSX管理员操作
NCP 不使用顶部和底部区域标记。在这种情况下，NCP 以管理器模式在顶部或底部创建 DFW 区域。	该场景类似于上一行中所述的场景，不同之处在于顶部区域标记被 NCP 创建的顶部区域替换，底部区域标记被 NCP 创建的底部区域替换。

备注

在以策略模式创建 DFW 时，NSX 管理员必须先创建 DFW 所需的 NSX 资源。此类资源的示例包括 NS 组、IPSet 等。同样，他们必须在 TAS 的 Ops Manager 中指定所有从属 NSX 资源。
如果 DFW 使用由 NCP/TKGi/TAS 创建的 NSX 资源，并且需要在迁移 NCP/TKGi/TAS 创建的 NSX 资源之前迁移此 DFW，则必须在策略中手动创建类似的 NSX 资源。
- 如果无法完成该操作，则不支持该场景。迁移集群/Foundation 后，可以使用所有 NCP、TKGi 和 TAS 资源来创建安全策略和规则。
- 如果可以完成该操作，管理员应在迁移集群/Foundation 后编辑安全策略并在 DFW 中使用 NCP/TKGi/TAS NSX 资源。
NCP 在环境和应用程序类别中创建安全策略。用于这些类别的 sequence_number 是：
- 环境：1
- 应用程序：10、50、90、99
您必须在策略 API 中创建或迁移所有安全策略/DFW，使其 sequence_number 超出 NCP 使用的范围。例如，在应用程序类别下创建/迁移位于顶部区域标记之上的策略时，其 sequence_number 可能介于 0 到 9（含这两个值）之间。sequence_number 不是安全策略特有的（请参见修补安全策略）。例如，MP 中的所有高优先级规则都可以映射到序列号 9。或者，也可以在不同的类别下迁移或创建区域。选项（按优先级递减顺序）为“紧急”、“基础架构”、“环境”和“应用程序”。

关于 DFW 区域

迁移之前，在策略模式下创建 DFW 规则时，不得使用显示名称 top_firewall_section_marker。

在管理器模式下，NCP 将在 top_firewall_section_marker 和 bottom_firewall_section_marker 中创建 DFW 区域。集群/Foundation 可以使用不同的 top_firewall_section_marker 和/或 bottom_firewall_section_marker。您可能具有以下区域：

top-firewall-section-k8scl-two
k8scl-two cluster DFW section
top-firewall-section-k8scl-one
k8scl-one cluster DFW section
bottom-marker-section-k8scl-one
bottom-marker-section-k8scl-two

在策略模式下，NCP 不支持顶部和底部防火墙区域标记，因为实施顺序（即区域优先级）受其序列号控制。这意味着，用户不应创建介于 10 到 99（含这两个值）之间的 DFW 区域。如果 DFW 区域的序列号小于 10，则此区域的优先级高于 NCP 创建的所有集群/Foundation 区域。例如：

top-firewall-section-k8scl-two [sequence 8]
top-firewall-section-k8scl-one [sequence 9]
k8scl-two cluster DFW section allow [sequence 10]
k8scl-one cluster DFW section allow [sequence 10]
bottom-marker-section-k8scl-one [sequence 100]
bottom-marker-section-k8scl-two [sequence 101]