您可以在 Antrea 组中添加静态 IP 地址和/或成员资格条件,然后将这些组用作您创建的分布式防火墙策略的源或目标,以保护 Antrea Kubernetes 集群中的流量。
前提条件
已向 NSX 至少注册了一个 Antrea Kubernetes 集群。
过程
结果
Antrea 组保存在 NSX 中,并且状态更改为“成功”。
注:
- 仅当在分布式防火墙规则中使用 Antrea 组时,才会计算 Antrea 组的有效成员。
如果添加了具有成员资格条件的 Antrea 组,但没有在任何分布式防火墙规则中使用这些组,则不会在 NSX 中计算或评估这些 Antrea 组的有效成员。换句话说,这些 Antrea 组的有效成员页面为空。
- 在 Antrea 组中添加静态 IP 地址时,无论是否在分布式防火墙规则中使用这些组,UI 中当前都不会显示有效成员。
示例: 添加基于 Pod 的 Antrea 组
假设您要添加一个 Antrea 组,该组包含了在 Antrea Kubernetes 集群的所有命名空间中运行“收入”、“销售”和“衡量指标”财务应用程序的所有 Pod。
考虑将以下标记附加到
Antrea Kubernetes 集群中的 Pod。
标记 | 范围 |
---|---|
RevenueApp | 财务 |
SalesApp | 财务 |
MetricsApp | 财务 |
根据 Pod 成员类型创建包含三个条件的成员资格条件,如下所示:
成员资格条件:
Pod 标记等于 RevenueApp,范围等于“财务”
Pod 标记等于 SalesApp,范围等于“财务”
Pod 标记等于 MetricsApp,范围等于“财务”
默认情况下,NSX 会在每个条件后使用 AND 运算符。在分布式防火墙规则中使用此 Antrea 组时,将计算此组的有效 Pod 成员。
实现分布式防火墙策略后,转到添加组页面。单击此 Antrea 组的查看成员,并确认有效的 Pod 成员显示在有效成员页面上。