Sie können die empfohlenen Regeln für Netzwerkrichtlinien im Zusammenhang mit Kubernetes-Objekten in das YAML-Format exportieren. VMware Aria Operations for Networks unterstützt nur das Exportieren in das YAML-Format für die Gruppe nach Namespace und das Gruppieren nach Diensttopologien.
Voraussetzungen
Prozedur
- Um die empfohlenen Regeln in das YAML-Format zu exportieren, wählen Sie im Sicherheitsplanungsmodell den Kubernetes-Cluster aus, für den Sie die Sicherheit planen möchten, und führen einen der folgenden Schritte aus.
- Erweitern Sie weitere Optionen im Widget „Mikrosegmente“ und wählen Sie Regeln als YAML exportieren aus.
- Wählen Sie einen Knoten in der Radansicht des Mikrosegments aus, klicken Sie auf die Anzahl der empfohlenen Firewallregeln, erweitern Sie weitere Optionen und klicken Sie auf Regeln als YAML exportieren.
VMware Aria Operations for Networks lädt eine ZIP-Datei mit dem Namen „Kubernetes-Netzwerkrichtlinien“ und einen zugehörigen Zeitstempel herunter. Wenn Sie die Datei entpacken, sehen Sie die folgenden fünf CSV-Dateien und auch mehrere Ordner, je nach der Anzahl der Cluster. Jeder Ordner enthält mehrere YAML-Dateien für den Cluster.Dateiname Beschreibung network-policy-others-ipaddress.csv Enthält die IP-Adressen der physischen Server und der virtuellen Maschine, mit denen die Dienste oder Namespaces kommunizieren. recommended-namespace-labels-to-add.csv Enthält die Bezeichnungen, die an die dem Namespace zugeordneten Pods angehängt werden sollen. Beispiel:
- Cluster – pdk8s
- Namespace – sock-shop
- Bezeichnung – sock-shop-pdk8s
recommended-service-labels-to-add.csv Enthält die Bezeichnungen, die an die dem Dienst zugeordneten Pods angehängt werden sollen. Beispiel:
- Cluster – pdk8s
- Namespace – sock-shop
- Dienst – front-end
- Bezeichnung – Service:front-sock-shop-pdk8s
- Cluster – pdk8s
- Namespace – sock-shop
- Dienst – user
- Bezeichnung – Service:user-sock-shop
recommended-network-policy.csv Enthält alle von VMware Aria Operations for Networks empfohlenen Regeln. exported-network-policy-rule-names.csv Listet alle auf der Basis der empfohlenen Regeln exportierten Netzwerkrichtlinien auf. - Führen Sie die folgenden Schritte aus, um die Dienstbezeichnungen anzuwenden:
- Führen Sie den folgenden Kubernetes-CLI-Befehl aus.
kubectl edit deployment service-name -n namespace-name
kubectl edit deployment redis-primary -n guestbook
Die Bereitstellungsdatei des Diensts wird geöffnet. - Hängen Sie in der Liste der Dienstbezeichnungen die in der CSV-Datei vorgeschlagene Bezeichnung an die Bezeichnungen an, die im Abschnitt mit den Spezifikationen der Dienstbereitstellung aufgeführt sind.
- Führen Sie den folgenden Kubernetes-CLI-Befehl aus.
- Führen Sie die folgenden Schritte aus, um die Namespace-Bezeichnungen anzuwenden:
- Führen Sie den folgenden Kubernetes-CLI-Befehl aus.
kubectl edit namespace namespace-name
kubectl edit namespace guestbook
Die Bereitstellungsdatei des Namespace wird geöffnet. - Hängen Sie in den Metadaten die in der CSV-Datei vorgeschlagene Bezeichnung an die Bezeichnungen an, die im Abschnitt spec der Namespace-Bereitstellung aufgeführt sind.
- Führen Sie den folgenden Kubernetes-CLI-Befehl aus.
- Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Bezeichnungen auf die Pods angewendet werden.
kubectl get pods -n namespace-name--show-labels
kubectl get pods guestbook--show-labels
Sehen Sie sich die Bezeichnungen in der Ergebnisansicht an.Hinweis: Bei der Anwendung auf Namespace werden die Bezeichnungen nicht auf Pods reflektiert. - Kopieren Sie zum Erstellen der Netzwerkrichtlinien die YAML-Dateien aus dem jeweiligen Cluster-Ordner in einen anderen Ordner und führen Sie einen der folgenden Befehle aus:
kubectl apply -f <folder-name>/
– Alle Firewallregeln werden zusammen angewendet.kubectl apply -f <folder-name>/<firewall-rule>.yaml
– Firewallregeln werden nacheinander angewendet.