在此示例中,您的目标是在 NSX 中创建一个分布式防火墙策略,以保护 Enterprise Human Resource 应用程序(此应用程序在单个 Antrea Kubernetes 集群中运行)中的 Pod 到 Pod 流量。
假设 Antrea Kubernetes 集群中的 Pod 工作负载正在运行 Enterprise Human Resource 应用程序的 Web、App 和 Database 微服务。您已在 NSX 环境中使用基于 Pod 的成员资格条件添加 Antrea 组,如下表中所示。
Antrea 组名称 | 成员资格条件 |
---|---|
HR-Web |
Pod 标记等于 Web,范围等于 HR |
HR-App |
Pod 标记等于 App,范围等于 HR |
HR-DB |
Pod 标记等于 DB,范围等于 HR |
您的目标是在“应用程序”类别中创建一个包含三个防火墙规则的安全策略,如下所述:
- 允许从 HR-Web 组到 HR-App 组的所有流量。
- 允许从 HR-App 组到 HR-DB 组的所有流量。
- 拒绝从 HR-Web 组到 HR-DB 组的所有流量。
前提条件
- 已向 NSX 注册 Antrea Kubernetes 集群。
- 在 NSX 部署中应用相应的安全许可证,以授权系统配置分布式防火墙安全策略。
过程
结果
成功实现该策略后,
Antrea Kubernetes 集群中会出现以下结果:
- 创建了 Antrea 集群网络策略 (ACNP)。
- 按相应顺序在 Kubernetes 集群中实施了规则 1022、1023 和 1024。
- 对于每个防火墙规则,在集群网络策略中创建了对应的输入规则。