Sie können Antrea-Gruppen nur dann erstellen, wenn in Ihrem NSX-T Data Center ein oder mehrere Antrea-Container-Cluster registriert sind.

Wenn registrierte Antrea-Container-Cluster erkannt werden, zeigt NSX Manager auf der Seite Gruppe hinzufügen der Benutzeroberfläche einen separaten Gruppentyp mit dem Namen Antrea an. Sie müssen diesen Gruppentyp auswählen, um Antrea-Gruppen hinzuzufügen.

Eine Antrea-Gruppe kann statische IP-Adressen, Mitgliedschaftskriterien oder beides enthalten. IP-Adressen können Pod- oder Dienst-IP-Adressen sein.

Wenn eine Antrea-Gruppe Mitgliedschaftskriterien enthält, können die effektiven Mitglieder, die anhand dieser Mitgliedschaftskriterien berechnet werden, nur Pods sein.

Hinweis:
  • Effektive Mitglieder werden für Antrea-Gruppen nur berechnet, wenn die Antrea-Gruppen in Regeln für verteilte Firewalls verwendet werden.

    Wenn Sie Antrea-Gruppen mit Mitgliedschaftskriterien hinzufügen, diese Gruppen jedoch in keiner der Regeln für verteilte Firewalls verwenden, werden die effektiven Mitglieder dieser Antrea-Gruppen in NSX-T nicht berechnet oder ausgewertet. Mit anderen Worten: Die Seite Effektive Mitglieder dieser Antrea-Gruppen ist leer.

  • Wenn Sie statische IP-Adressen in Antrea-Gruppen hinzufügen, werden effektive Mitglieder derzeit nicht auf der Benutzeroberfläche angezeigt, unabhängig davon, ob die Gruppen in Regeln für verteilte Firewalls verwendet werden.
Um Mitgliedschaftskriterien in einer Antrea-Gruppe hinzuzufügen, werden derzeit die folgenden Container-Clusterobjekte (Mitgliedstypen) unterstützt:
  • Namespace
  • Dienst
  • Pod

Übersicht über Mitgliedschaftskriterien

Sie können Antrea-Gruppen mit einem einzigen Mitgliedschaftskriterium oder mehreren Kriterien hinzufügen. Ein Mitgliedschaftskriterium besteht aus einer oder mehreren Bedingungen. Eine Bedingung in einem Mitgliedschaftskriterium besteht aus den folgenden Eigenschaften:
  • Container-Clusterobjekt (auch als Mitgliedstyp bezeichnet)
  • Entweder der Name des Container-Clusterobjekts oder ein Tag, das mit dem Containerobjekt verbunden ist
  • Tag-Operator und -Wert (nur bei Verwendung des Tags)
  • Bereichsoperator und -wert (nur bei Verwendung des Tags)
Die Bedingungen in einem Mitgliedschaftskriterium können dasselbe Container-Clusterobjekt oder eine Kombination aus verschiedenen Container-Clusterobjekten verwenden. Wenn das Mitgliedschaftskriterium beispielsweise aus drei Bedingungen besteht, können die ersten beiden Bedingungen das Pod-Objekt verwenden, während die dritte Bedingung das Namespace-Objekt verwenden kann. Es gibt jedoch einige Einschränkungen für das Hinzufügen mehrerer Bedingungen in einem Mitgliedschaftskriterium. Weitere Informationen finden Sie im Abschnitt „Unterstützte und nicht unterstützte Funktionen“ später in diesem Thema.

Standardmäßig verwendet NSX-T den logischen Operator UND nach jeder Bedingung in einem Mitgliedschaftskriterium. Andere logische Operatoren werden zur Verknüpfung von Bedingungen in einem Mitgliedschaftskriterium nicht unterstützt.

Beispiele:
Mitgliedschaftskriterien Beschreibung

Kriterium 1:

Pod-Tag gleich App-Geltungsbereich gleich Servern

Das Mitgliedschaftskriterium besteht nur aus einer einzelnen Bedingung, die auf dem Pod-Objekt basiert. Mehrere Bedingungen werden nicht verwendet. Zu den effektiven Mitgliedern dieser Antrea-Gruppe gehören alle Pods mit dem App-Tag.

Kriterium 2:

Pod-Tag gleich App-Geltungsbereich gleich Servern

Pod-Tag gleich DB-Geltungsbereich gleich Servern

Pod-Tag gleich Webbereich gleich Servern

Das Mitgliedschaftskriterium besteht aus drei Bedingungen. Alle Bedingungen im Kriterium basieren auf dem Pod-Objekt. Zu den effektiven Mitgliedern dieser Antrea-Gruppe gehören alle Pods mit den Tags „App“, „DB“ und „Web“.

Kriterium 3:

Namespace-Name gleich Produktion

Dienstname gleich Cache

Das Mitgliedschaftskriterium besteht aus zwei Bedingungen mit einer Kombination aus Namespace- und Dienstobjekten. Zu den effektiven Mitgliedern dieser Antrea-Gruppe gehören alle Pods, die dem Dienst mit dem Namen Cache im Produktions-Namespace zugeordnet sind.

Verknüpfen von Mitgliedschaftskriterien mit ODER- und UND-Operatoren

Eine Antrea-Gruppe unterstützt mehrere Mitgliedschaftskriterien. Um die Kriterien zu verknüpfen, sind die Operatoren ODER und UND verfügbar. Standardmäßig wählt NSX-T den Operator ODER aus, um mehrere Kriterien zu verknüpfen. Der Operator UND wird nur zwischen zwei Kriterien unterstützt, wenn:
  • beide Kriterien dasselbe Container-Clusterobjekt verwenden.
  • beide Kriterien eine einzelne Bedingung verwenden.
Beispiele:
  • Kriterium 1, Kriterium 2 und Kriterium 3 basieren alle auf dem Pod-Objekt und enthalten nicht mehrere Bedingungen. In diesem Fall können Kriterium 1 und Kriterium 2 mit dem Operator ODER oder UND verknüpft werden. Ebenso können Kriterium 2 und Kriterium 3 auch mit dem Operator ODER oder UND verknüpft werden.
  • Kriterium 1 basiert auf dem Pod-Objekt, während Kriterium 2 zwei Bedingungen verwendet: eine mit dem Dienstobjekt und die andere mit dem Namespace-Objekt. In diesem Fall wird nur der Operator ODER zur Verknüpfung der Kriterien 1 und 2 unterstützt. Der UND-Operator ist nicht zulässig.
  • Kriterium 1 und Kriterium 2 basieren auf dem Pod-Objekt, während Kriterium 3 zwei Bedingungen verwendet: eine mit dem Dienstobjekt und die andere mit dem Namespace-Objekt. In diesem Fall können Kriterium 1 und Kriterium 2 mit dem Operator UND oder ODER verknüpft werden. Kriterium 2 und Kriterium 3 können jedoch nur mit dem Operator ODER verknüpft werden. Der UND-Operator ist nicht zulässig.

Unterstützte und nicht unterstützte Funktionen

In der folgenden Tabelle sind die Container-Clusterobjekte, der Tag-Operator und der Geltungsbereichsoperator aufgeführt, die für das Hinzufügen von Mitgliedschaftskriterien in Antrea unterstützt werden.
Container-Clusterobjekt Objektattribut Tag-Operator Geltungsbereichsoperator Beispielkriterien

Namespace

Name

Gleich

Nicht anwendbar

Namespace-Name gleich Produktion

Namespace

Tag

Gleich

Ungleich

Gleich

Namespace-Tag gleich DB-Geltungsbereich gleich Servern

Dienst

Name

Nicht unterstützt

Nicht unterstützt

Dienstname gleich Cache

Pod

Tag

Gleich

Ungleich

Gleich

Pod-Tag gleich App-Geltungsbereich gleich Servern
  • Die folgenden Tag-Operatoren werden derzeit für Namespace- und Pod-Objekte nicht unterstützt:
    • Enthält
    • Beginnt mit
    • Endet mit
  • In einem Mitgliedschaftskriterium muss eine Bedingung, die auf dem Dienstobjekt basiert, mit einer Bedingung basierend auf dem Attribut „Name“ des Namespace-Objekts kombiniert werden. Mit anderen Worten: Ein Kriterium, das nur das Dienstobjekt enthält, ist nicht zulässig.
    Beispiel:
    Unterstützt Nicht unterstützt

    Kriterium:

    Dienstname gleich „Mein-Dienst“

    Namespace-Name gleich Staging

    Kriterium:

    Dienstname gleich „Mein-Dienst“

  • In einem Mitgliedschaftskriterium kann eine Bedingung, die auf dem Dienstobjekt basiert, nicht mit einer Bedingung basierend auf dem Pod-Objekt kombiniert werden. Sie können jedoch die Dienst- und Pod-Objekte zu zwei separaten Mitgliedschaftskriterien hinzufügen und mit dem Operator ODER verknüpfen.
    Beispiel:
    Unterstützt Nicht unterstützt

    Kriterium 1: Dienstname gleich „Mein-Dienst“

    ODER

    Kriterium 2: Pod-Tag gleich DB-Geltungsbereich gleich Servern

    Kriterium:

    Dienstname gleich „Mein-Dienst“

    Pod-Tag gleich DB-Geltungsbereich gleich Servern
  • Für das Hinzufügen von statischen Mitgliedern zu einer Antrea-Gruppe werden nur IP-Adressen unterstützt. Container-Clusterobjekte können nicht als statische Mitglieder zu einer Antrea-Gruppe hinzugefügt werden.
  • Wenn Sie eine NSX-T-Gruppe hinzufügen, zeigt eine Informationsmeldung an, wenn Sie versuchen, den Gruppentyp von Antrea in Allgemein oder von Antrea in Nur IP-AdressenAntrea zu ändern. Beim Bestätigen der Änderung gehen alle Mitgliedschaftskriterien in der Gruppe verloren. Nur die IP-Adressen werden in der Gruppe beibehalten.

    Nachdem eine Antrea-Gruppe in NSX-T realisiert (gespeichert) wurde, können Sie den Gruppentyp nicht mehr ändern. Die Gruppentypen Allgemein und Nur IP-Adressen werden abgeblendet.

Problemumgehung für Kubernetes-Version ≤ 1.20

Das Antrea-Gruppenkriterium „Namespace-Name ist gleich Wert“ funktioniert mit Kubernetes-Version ≥ 1.21.

Kubernetes 1.21 oder höher fügt allen Namespaces automatisch eine spezielle Bezeichnung hinzu, und das Kriterium „Namespace-Name ist gleich Wert“ verwendet intern diese spezielle Bezeichnung. Für Kubernetes-Version ≤ 1.20 ist jedoch eine Problemumgehung erforderlich. Sie müssen den Antrea-Controller-Webhook auf dem Namespace registrieren, der Ereignisse erstellt. Wenn der Antrea-Controller-Webhook aufgerufen wird, fügt Antrea-Controller dem neuen Namespace eine spezielle Bezeichnung hinzu, sodass das Kriterium „Namespace-Name ist gleich Wert“ diese Bezeichnung verwenden kann. Weitere Informationen zum Registrieren des Antrea-Controller-Webhooks finden Sie in Schritt 3 in Übermitteln der YAML-Dateien an den Kubernetes-API-Server.

Hinweis: Der Antrea-Controller-Webhook ist nur für neue Namespaces wirksam, die Sie nach der Registrierung des Webhooks erstellen. Mit anderen Worten: Vorhandene Namespaces wie kube-system und default erhalten die spezielle Bezeichnung nicht. Das Kriterium „Namespace-Name ist gleich Wert“ funktioniert nicht mit diesen Namespaces.