在此示例中,您的目标是在 NSX 中创建一个分布式防火墙策略,以保护 Enterprise Human Resource 应用程序(此应用程序在单个 Antrea 容器集群中运行)中的“Pod 到 Pod”流量。
假设 Antrea 容器集群中的 Pod 工作负载正在运行 Enterprise Human Resource 应用程序的 Web、App 和 Database 微服务。您已在 NSX 环境中使用基于 Pod 的成员资格条件添加 Antrea 组,如下表中所示。
Antrea 组名称 | 成员资格条件 |
---|---|
HR-Web |
Pod 标记等于 Web,范围等于 HR |
HR-App |
Pod 标记等于 App,范围等于 HR |
HR-DB |
Pod 标记等于 DB,范围等于 HR |
您的目标是在“应用程序”类别中创建一个包含三个防火墙规则的安全策略,如下所述:
- 允许从 HR-Web 组到 HR-App 组的所有流量。
- 允许从 HR-App 组到 HR-DB 组的所有流量。
- 拒绝从 HR-Web 组到 HR-DB 组的所有流量。
前提条件
已向 NSX 注册 Antrea 容器集群。
过程
结果
成功实现该策略后,
Antrea 容器集群中会出现以下结果:
- 将创建集群网络策略。
- 按相应顺序在容器集群中实施了规则 1022、1023 和 1024。
- 对于每个防火墙规则,在集群网络策略中创建了对应的输入规则。