在此示例中,您的目标是在 NSX 中创建一个分布式防火墙策略,以保护 Enterprise Human Resource 应用程序(此应用程序在单个 Antrea Kubernetes 集群中运行)中的 Pod 到 Pod 流量。

假设 Antrea Kubernetes 集群中的 Pod 工作负载正在运行 Enterprise Human Resource 应用程序的 Web、App 和 Database 微服务。您已在 NSX 环境中使用基于 Pod 的成员资格条件添加 Antrea 组,如下表中所示。

Antrea 组名称 成员资格条件

HR-Web

Pod 标记等于 Web,范围等于 HR

HR-App

Pod 标记等于 App,范围等于 HR

HR-DB

Pod 标记等于 DB,范围等于 HR

您的目标是在“应用程序”类别中创建一个包含三个防火墙规则的安全策略,如下所述:
  • 允许从 HR-Web 组到 HR-App 组的所有流量。
  • 允许从 HR-App 组到 HR-DB 组的所有流量。
  • 拒绝从 HR-Web 组到 HR-DB 组的所有流量。

前提条件

  • 已向 NSX 注册 Antrea Kubernetes 集群。
  • NSX 部署中应用相应的安全许可证,以授权系统配置分布式防火墙安全策略。

过程

  1. 从浏览器中,通过 https://nsx-manager-ip-address 登录到 NSX Manager
  2. 单击安全选项卡,然后在策略管理下单击分布式防火墙
    此时将显示 类别特定的规则页面。
  3. 确保您处于应用程序类别中。
  4. 单击添加策略,然后输入策略名称。
    例如,输入 EnterpriseHRPolicy
  5. 在策略的应用对象中,选择运行 Enterprise Human Resource 应用程序 Pod 工作负载的 Antrea Kubernetes 集群。
  6. 发布策略。
  7. 选择策略名称,然后单击添加规则
    配置三个防火墙规则,如下表中所示。
    规则名称 规则 ID 目标 服务 应用对象 操作
    Web-to-App 1022 HR-Web 不适用 任意 HR-App 允许
    App-to-DB 1023 HR-App 不适用 任意 HR-DB 允许
    Web-to-DB 1024 HR-Web 不适用 任意 HR-DB 拒绝

    此表中的规则 ID 只是本示例的示例值。您的 NSX 环境中的规则 ID 可能会有所不同。

  8. 发布规则。

结果

成功实现该策略后, Antrea Kubernetes 集群中会出现以下结果:
  • 创建了 Antrea 集群网络策略 (ACNP)。
  • 按相应顺序在 Kubernetes 集群中实施了规则 1022、1023 和 1024。
  • 对于每个防火墙规则,在集群网络策略中创建了对应的输入规则。