Für die Migration von Manager zu Richtlinie muss der NSX-Administrator Aktionen unter Umständen basierend darauf durchführen, wie sich die Abschnitte der verteilten Firewall (DFW) auf die Vanilla Kubernetes- oder TKGi-Cluster und/oder TAS Foundations auswirken.
Wurde kein DFW-Abschnitt vom NSX-Administrator erstellt, können Sie die folgenden Informationen überspringen.
DFW-Abschnitte wirken sich nicht auf Cluster/Foundation aus
- Verwenden Sie die Richtlinien-API, um dieselbe DFW zu erstellen, die im Managermodus erstellt wurde.
- Verwenden Sie die NSX-Benutzeroberfläche, um nach der Migration aller Kubernetes-Cluster alle Elemente zu migrieren.
- Migrieren Sie in TAS die DFW-Abschnitte/-Regeln als freigegebene Ressource vor/nach der Migration von Foundations. Beachten Sie, dass diese DFW-Abschnitte in die Domäne "Standard" NSX Richtlinie migriert werden müssen, wenn DFW-Regeln Quelle und Ziel als ANY haben.
Der DFW-Abschnitt betrifft nur einen Cluster/eine Foundation
Ein Abschnitt kann mehrere Abschnitte und Regeln enthalten.
Obere und untere Abschnittsmarkierungen | NSX-Administratoraktionen |
---|---|
NCP nutzt obere und untere Abschnittsmarkierungen Der vom NSX-Administrator erstellte Abschnitt befindet sich außerhalb der oberen und unteren Abschnittsmarkierungen. |
Kubernetes Verwenden Sie die Richtlinien-API, um dieselbe DFW zu erstellen, die im Managermodus erstellt wurde und die über der oberen Markierung des Clusters vorhanden ist. Dieser Vorgang muss vor der Migration des Clusters erfolgen. Führen Sie nach Abschluss der Clustermigration dieselben Vorgänge für Abschnitte/Regeln aus, die sich unterhalb der unteren Markierung befinden. TAS Migrieren Sie dieselbe DFW, die im Manager-Modus erstellt wurde und über dem oberen Marker des Clusters vorhanden ist, als gemeinsam genutzte Ressource, bevor die Migration der Foundation durchgeführt wird. Führen Sie dieselben Vorgänge für Abschnitte/Regeln aus, die sich unterhalb der unteren Markierung befinden, nachdem die Migration der Foundation abgeschlossen ist. Stellen Sie sicher, dass Abschnitte mit niedriger Priorität (diejenigen, die sich im Managermodus unterhalb der unteren Markierung befinden) nach der Migration aller Grundlagen zur Richtlinie migriert werden. |
Obere und untere Abschnittsmarkierungen | NSX-Administratoraktionen |
---|---|
NCP nutzt obere und untere Abschnittsmarkierungen Der vom NSX-Administrator erstellte Abschnitt befindet sich innerhalb der oberen und unteren Abschnittsmarkierungen. |
Kubernetes Wenn der vom Administrator erstellte Abschnitt über den oberen Abschnittsmarker verschoben werden kann, verwenden Sie die Richtlinien-API, um dieselbe DFW zu erstellen, die vor der Migration des Clusters im Manager-Modus erstellt wurde. Wenn der vom Administrator erstellte Abschnitt unter die untere Abschnittsmarkierung verschoben werden kann, verwenden Sie die Richtlinien-API, um dieselbe DFW zu erstellen, die im Manager-Modus erstellt wurde, nachdem die Migration des Clusters abgeschlossen ist. TAS Wenn der vom Administrator erstellte Abschnitt über die obere Abschnittsmarkierung verschoben werden kann, migrieren Sie dieselbe DFW als gemeinsam genutzte Ressource vor der Migration der Foundation. Wenn der vom Administrator erstellte Abschnitt unter die untere Abschnittsmarkierung verschoben werden kann, migrieren Sie nach der Migration der Foundation dieselbe DFW als gemeinsam genutzte Ressource. Kubernetes und TAS Besteht keine der oben genannten Möglichkeiten, wird das Szenario nicht unterstützt. |
Obere und untere Abschnittsmarkierungen | NSX-Administratoraktionen |
---|---|
NCP nutzt keine oberen und unteren Abschnittsmarkierungen In diesem Fall erstellt NCP im Managermodus oben oder unten DFW-Abschnitte. |
Kubernetes Wenn der vom Administrator erstellte Abschnitt über den von NCP erstellten oberen Abschnitt verschoben werden kann, verwenden Sie die Richtlinien-API, um dieselbe DFW zu erstellen, die vor der Migration des Clusters im Manager-Modus erstellt wurde. Wenn der vom Administrator erstellte Abschnitt unter den von NCP erstellten unteren Abschnitt verschoben werden kann, verwenden Sie die Richtlinien-API, um dieselbe DFW zu erstellen, die im Managermodus erstellt wurde, nachdem die Migration des Clusters abgeschlossen ist. TAS Wenn der vom Administrator erstellte Abschnitt über den von NCP erstellten oberen Abschnitt verschoben werden kann, migrieren Sie dieselbe DFW als freigegebene Ressource vor der Migration der Foundation. Wenn der vom Administrator erstellte Abschnitt unter den von NCP erstellten unteren Abschnitt verschoben werden kann, migrieren Sie dieselbe DFW als gemeinsam genutzte Ressource nach der Migration der Foundation. |
Der DFW-Abschnitt betrifft mehrere Cluster/Foundations
Obere und untere Abschnittsmarkierungen | NSX-Administratoraktionen |
---|---|
NCP nutzt obere und untere Abschnittsmarkierungen Alle Cluster/Fundamente haben dieselben oberen und unteren Abschnittsmarkierungen. Vom NSX-Administrator erstellte Abschnitte befinden sich außerhalb der oberen und unteren Abschnittsmarkierungen. |
Kubernetes Verwenden Sie die Richtlinien-API, um vor der Clustermigration dieselbe DFW zu erstellen, die im Managermodus erstellt wurde und die über der oberen Markierung vorhanden ist. Führen Sie dieselben Vorgänge für Abschnitte/Regeln aus, die sich unterhalb der unteren Markierung befinden, nachdem alle Cluster migriert wurden. TAS Migrieren Sie dieselbe DFW, die im Managermodus erstellt wurde und die oberhalb des oberen Markers während der Migration der ersten Foundation als gemeinsam genutzte Ressource vorhanden ist. Führen Sie dieselben Vorgänge für Abschnitte/Regeln aus, die sich unterhalb der unteren Markierung befinden, nachdem alle Grundlagen migriert wurden. |
Obere und untere Abschnittsmarkierungen | NSX-Administratoraktionen |
---|---|
NCP nutzt obere und untere Abschnittsmarkierungen Alle Cluster/Fundamente haben dieselben oberen und unteren Abschnittsmarkierungen. Vom NSX-Administrator erstellte Abschnitte befinden sich innerhalb der oberen und unteren Abschnittsmarkierungen. |
Kubernetes Wenn die vom Administrator erstellten Abschnitte über den oberen Abschnittsmarkierung verschoben werden können, verwenden Sie die Richtlinien-API, um dieselbe DFW zu erstellen, die im Manager-Modus erstellt wurde, bevor Sie die Cluster migrieren, die von den Abschnitten betroffen sind. Wenn die vom Administrator erstellten Abschnitte unter den unteren Abschnittsmarker verschoben werden können, verwenden Sie die Richtlinien-API, um dieselbe DFW zu erstellen, die im Manager-Modus erstellt wurde, nachdem die Cluster migriert wurden, die von den Abschnitten betroffen sind. TAS Wenn die vom Administrator erstellten Abschnitte über die obere Abschnittsmarkierung verschoben werden können, migrieren Sie dieselben DFWs wie gemeinsam genutzte Ressourcen, bevor Sie eine der Von den Abschnitten betroffenen Grundlagen migrieren. Sie können mithilfe des Opsmanagers einer beliebigen Foundation migriert werden. Wenn die vom Administrator erstellten Abschnitte unter die untere Abschnittsmarkierung verschoben werden können, migrieren Sie dieselbe DFW als gemeinsam genutzte Ressource, nachdem Sie alle Von den Abschnitten betroffenen Grundlagen migriert haben. Sie können mithilfe des Opsmanagers einer beliebigen Foundation migriert werden. Kubernetes und TAS Besteht keine der oben genannten Möglichkeiten, wird das Szenario nicht unterstützt. |
Obere und untere Abschnittsmarkierungen | NSX-Administratoraktionen |
---|---|
NCP nutzt obere und untere Abschnittsmarkierungen. Die Cluster/Fundamente weisen unterschiedliche obere und untere Abschnittsmarkierungen auf. Vom NSX-Administrator erstellte Abschnitte befinden sich außerhalb der oberen und unteren Abschnittsmarkierungen. |
Kubernetes Verwenden Sie die Richtlinien-API, um vor der Clustermigration dieselbe DFW zu erstellen, die im Managermodus erstellt wurde und die über der oberen Markierung vorhanden ist. Führen Sie nach Abschluss der Clustermigration dieselben Vorgänge für Abschnitte/Regeln aus, die sich unterhalb der unteren Markierung befinden. TAS Migrieren Sie dieselbe DFW, die im Managermodus erstellt wurde und die oberhalb des oberen Markers während der Migration der Foundation als gemeinsam genutzte Ressource vorhanden ist. Führen Sie dieselben Vorgänge für Abschnitte/Regeln aus, die sich unterhalb der unteren Markierung befinden, nachdem alle Grundlagen migriert wurden. |
Obere und untere Abschnittsmarkierungen | NSX-Administratoraktionen |
---|---|
NCP verwendet obere und untere Abschnittsmarker. Die Cluster/Fundamente weisen unterschiedliche obere und untere Abschnittsmarkierungen auf. Vom NSX-Administrator erstellte Abschnitte befinden sich innerhalb der oberen und unteren Abschnittsmarkierungen. |
Kubernetes Verschieben Sie den Abschnitt nach Möglichkeit über die obere Abschnittsmarkierung aller Cluster, auf die sich der Abschnitt auswirkt. Verwenden Sie dann die Richtlinien-API, um dieselbe DFW zu erstellen, die im Managermodus erstellt wurde, bevor Sie die Cluster migrieren, die vom Abschnitt betroffen sind. Verschieben Sie den Abschnitt nach Möglichkeit unter die untere Abschnittsmarkierung aller Cluster, auf die sich der Abschnitt auswirkt. Verwenden Sie dann die Richtlinien-API, um dieselbe DFW zu erstellen, die im Managermodus erstellt wurde, nachdem Sie die Cluster migriert haben, die vom Abschnitt betroffen sind. TAS Verschieben Sie die vom Administrator erstellten Abschnitte nach Möglichkeit über die oberen Abschnittsmarkierungen aller Cluster, auf die sich die Abschnitte auswirken. Migrieren Sie dann dieselben DFWs wie gemeinsam genutzte Ressourcen, bevor Sie eine der Grundlagen migrieren, die von den Abschnitten betroffen sind. Sie können mithilfe des Opsmanagers einer beliebigen Foundation migriert werden. Verschieben Sie die vom Administrator erstellten Abschnitte nach Möglichkeit unter die unteren Abschnittsmarkierungen aller Cluster, auf die sich die Abschnitte auswirken. Migrieren Sie dann dieselben DFWs wie gemeinsam genutzte Ressourcen, nachdem Sie alle Grundlagen migriert haben, die von den Abschnitten betroffen sind. Sie können mithilfe des Opsmanagers einer beliebigen Foundation migriert werden. Kubernetes und TAS
Wenn möglich, unterteilen Sie einen Abschnitt in kleinere Abschnitte wie folgt:
Besteht keine der oben genannten Möglichkeiten, wird das Szenario nicht unterstützt. |
Obere und untere Abschnittsmarkierungen | NSX-Administratoraktionen |
---|---|
NCP nutzt keine oberen und unteren Abschnittsmarkierungen. In diesem Fall erstellt NCP im Managermodus ganz oben oder unten DFW-Abschnitte. | Dieses Szenario ähnelt dem in der Zeile oben beschriebenen Szenario, außer dass die obere Abschnittsmarkierung durch den von NCP erstellten oberen Abschnitt und die Markierung des unteren Abschnitts durch den von NCP erstellten unteren Abschnitt ersetzt wird. |
Anmerkungen
- Beim Erstellen einer DFW im Richtlinienmodus muss der NSX-Administrator zuerst NSX-Ressourcen erstellen, die die DFW benötigt. Beispiele für solche Ressourcen sind NSGroups, IPSets usw. Ebenso müssen sie alle abhängigen NSX Ressourcen im Opsmanager in TAS angeben.
- Wenn die DFW eine NSX Ressource nutzt, die von NCP/TKGI/TAS erstellt wird, und diese DFW migriert werden muss, bevor die von NCP/TKGi/TAS erstellte NSX-Ressource migriert wird, müssen Sie eine ähnliche NSX-Ressource manuell in der Richtlinie erstellen.
- Wenn das nicht möglich ist, wird dieses Szenario nicht unterstützt. Nach der Migration des Clusters bzw. der Foundation stehen alle NCP-, TKGI- und TAS-Ressourcen zum Erstellen der Sicherheitsrichtlinie und -regeln zur Verfügung.
- Wenn dies möglich ist, sollte der Administrator nach Abschluss der Cluster/Foundation-Migration die Sicherheitsrichtlinie bearbeiten und NCP-/TKGI-/TAS NSX-Ressourcen in DFW verwenden.
- NCP erstellt Sicherheitsrichtlinien unter den Kategorien für Umgebung und Anwendung. Die dafür verwendeten sequence_number sind:
- Umgebung: 1
- Anwendung: 10, 50, 90, 99
Sie müssen alle Sicherheitsrichtlinien/DFWs in der Richtlinien-API erstellen oder migrieren, damit diese über sequence_number außerhalb des von NCP verwendeten Bereichs verfügen. Wenn Sie beispielsweise eine Richtlinie unter der Kategorie "Anwendung" erstellen/migrieren, die sich oberhalb einer oberen Abschnittsmarkierung befindet, kann sie einen sequence_number zwischen 0 und 9 (einschließlich) aufweisen. Die sequence_number ist für eine Sicherheitsrichtlinie nicht eindeutig (siehe Patch-Sicherheitsrichtlinie). Beispielsweise können alle Regeln mit hoher Priorität in MP der Sequenznummer 9 zugeordnet werden. Alternativ können Sie die Abschnitte unter einer anderen Kategorie migrieren oder erstellen. Die Auswahlmöglichkeiten in abnehmender Reihenfolge der Priorität sind "Notfall", "Infrastruktur", "Umgebung" und "Anwendung".
Informationen zu DFW-Abschnitten
Vor der Migration dürfen Sie beim Erstellen einer DFW-Regel im Richtlinienmodus den Anzeigenamen nicht top_firewall_section_marker verwenden.
top-firewall-section-k8scl-two k8scl-two cluster DFW section top-firewall-section-k8scl-one k8scl-one cluster DFW section bottom-marker-section-k8scl-one bottom-marker-section-k8scl-two
top-firewall-section-k8scl-two [sequence 8] top-firewall-section-k8scl-one [sequence 9] k8scl-two cluster DFW section allow [sequence 10] k8scl-one cluster DFW section allow [sequence 10] bottom-marker-section-k8scl-one [sequence 100] bottom-marker-section-k8scl-two [sequence 101]