您可以在 Antrea 组中添加静态 IP 地址和/或成员资格条件,然后将这些组用作您创建的分布式防火墙策略的源或目标,以保护 Antrea Kubernetes 集群中的流量。

前提条件

已向 NSX 至少注册了一个 Antrea Kubernetes 集群。

过程

  1. 从浏览器中,通过 https://nsx-manager-ip-address 登录到 NSX Manager
  2. 导航到清单 >
    注: 在浏览器中启动 NSX Manager 应用程序时, NSX Manager UI 会获取有关已注册的 Antrea Kubernetes 集群的信息。如果该应用程序 UI 已打开,则不会自动获取 Antrea Kubernetes 集群注册信息。根据当前 UI 设计,这是预期行为。如果在打开 NSX Manager 应用程序后注册了首个 Antrea Kubernetes 集群,请确保在导航到 页面后刷新浏览器。手动刷新可确保在执行此过程的第 5 步时,UI 中显示 Antrea 组类型选项。

    此手动浏览器刷新只需执行一次,而无需在每次将新的 Antrea Kubernetes 集群注册到 NSX 后都执行。

  3. 单击添加组
  4. 输入组名称和可选描述。
  5. 单击设置,然后选择 Antrea 以作为组类型。
    Antrea 组可以包括成员资格条件和/或静态 IP 地址。根据需要,执行步骤 6 或 7,或同时执行这两个步骤。
  6. 要添加成员资格条件,请单击添加成员资格条件
    1. 成员资格条件窗格中,选择要在其上定义条件的成员类型。
      支持的成员类型包括:命名空间、服务和 Pod。
    2. 根据需要指定条件的属性,例如,名称或标记、标记运算符、范围运算符。
    3. (可选) 要在成员资格条件中添加多个条件,请单击成员资格条件窗格右上角的加号图标,然后定义条件的属性。
      在成员资格条件中,默认情况下, NSX 会使用 AND 运算符来连接所有条件。不支持 OR 运算符。
    4. (可选) 要添加多个成员资格条件,请再次单击添加成员资格条件
      要连接成员资格条件,可以使用 AND 和 OR 运算符。默认情况下, NSX 选择 OR 运算符以连接两个成员资格条件。只有在以下情况下才支持在两个成员资格条件之间使用 AND 运算符:
      • 两个成员资格条件使用相同的成员类型。
      • 这两个成员资格条件都使用单个条件。

      有关在添加成员资格条件时支持和不支持的功能的更多信息,请参见Antrea 个组

  7. 要在组中添加静态 IP 地址,请单击 IP 地址,然后在文本框中输入 IP 值。
    如果要从 TXT 或 CSV 文件导入 IP 值,请单击 操作 > 导入。该文件中的值必须用逗号分隔。允许的值包括 IP 地址、IP 范围或者 CIDR 格式的 IP 地址。您还可以同时执行这两种操作。即,在文本框中输入值和从文件导入值。但是,在文本框中输入的 IP 值的总数不得超过 IP 地址选项卡上显示的最大限制。
  8. 单击应用,然后单击保存

结果

Antrea 组保存在 NSX 中,并且状态更改为“成功”。

注:
  • 仅当在分布式防火墙规则中使用 Antrea 组时,才会计算 Antrea 组的有效成员。

    如果添加了具有成员资格条件的 Antrea 组,但没有在任何分布式防火墙规则中使用这些组,则不会在 NSX 中计算或评估这些 Antrea 组的有效成员。换句话说,这些 Antrea 组的有效成员页面为空。

  • Antrea 组中添加静态 IP 地址时,无论是否在分布式防火墙规则中使用这些组,UI 中当前都不会显示有效成员。

示例: 添加基于 Pod 的 Antrea 组

假设您要添加一个 Antrea 组,该组包含了在 Antrea Kubernetes 集群的所有命名空间中运行“收入”、“销售”和“衡量指标”财务应用程序的所有 Pod。

考虑将以下标记附加到 Antrea Kubernetes 集群中的 Pod。
标记 范围
RevenueApp 财务
SalesApp 财务
MetricsApp 财务

根据 Pod 成员类型创建包含三个条件的成员资格条件,如下所示:

成员资格条件:

Pod 标记等于 RevenueApp,范围等于“财务”

Pod 标记等于 SalesApp,范围等于“财务”

Pod 标记等于 MetricsApp,范围等于“财务”

默认情况下,NSX 会在每个条件后使用 AND 运算符。在分布式防火墙规则中使用此 Antrea 组时,将计算此组的有效 Pod 成员。

实现分布式防火墙策略后,转到添加组页面。单击此 Antrea 组的查看成员,并确认有效的 Pod 成员显示在有效成员页面上。