Sie können statische IP-Adressen, Mitgliedschaftskriterien oder beides in Antrea-Gruppen hinzufügen und diese Gruppen dann als Quelle oder Ziel der Richtlinien für verteilte Firewalls verwenden, die Sie auf einen oder mehrere Antrea-Container-Cluster anwenden möchten.

Voraussetzungen

Mindestens ein Antrea-Container-Cluster ist in NSX-T Data Center registriert.

Prozedur

  1. Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
  2. Navigieren Sie zu Bestandsliste > Gruppen.
    Hinweis: Die NSX Manager-Benutzeroberfläche ruft die Informationen zu registrierten Antrea-Container-Clustern ab, wenn Sie die NSX Manager-Anwendung im Browser starten. Wenn die Benutzeroberfläche der Anwendung bereits geöffnet ist, werden die Registrierungsinformationen für den Antrea-Container-Cluster nicht automatisch abgerufen. Dieses Verhalten wird gemäß dem aktuellen UI-Design erwartet. Wenn Sie den ersten Antrea-Container-Cluster nach dem Öffnen der NSX Manager-Anwendung registriert haben, aktualisieren Sie den Browser, nachdem Sie zur Seite Gruppen navigiert haben. Eine manuelle Aktualisierung stellt sicher, dass die Antrea-Gruppentypoption in der Benutzeroberfläche sichtbar ist, wenn Sie zu Schritt 5 dieses Verfahrens gelangen.

    Diese manuelle Browseraktualisierung ist nur einmal und nicht jedes Mal erforderlich, nachdem ein neuer Antrea-Container-Cluster bei NSX-T Data Center registriert wurde.

  3. Klicken Sie auf Gruppe hinzufügen.
  4. Geben Sie einen Namen und optional eine Beschreibung für die Gruppe ein.
  5. Klicken Sie auf Festlegen und wählen Sie Antrea als Gruppentyp aus.
    Eine Antrea-Gruppe kann Mitgliedschaftskriterien, statische IP-Adressen oder beides enthalten. Führen Sie je nach Ihren Anforderungen die Schritte 6 oder 7 oder beide aus.
  6. Um ein Mitgliedschaftskriterium hinzuzufügen, klicken Sie auf Kriterium hinzufügen.
    1. Wählen Sie im Bereich Kriterium das Container-Clusterobjekt aus, für das Sie die Bedingung definieren möchten.
      Die unterstützten Container-Clusterobjekte sind: Namespace, Dienst und Pod.
    2. Geben Sie nach Bedarf die Eigenschaften der Bedingung an, z. B. Name oder Tag, Tag-Operator, Geltungsbereichsoperator.
    3. (Optional) Um mehr als eine Bedingung in einem Mitgliedschaftskriterium hinzuzufügen, klicken Sie in der oberen rechten Ecke des Bereichs Kriterium auf das Pluszeichen und definieren Sie die Eigenschaften der Bedingung.
      In einem Mitgliedschaftskriterium verknüpft NSX-T standardmäßig alle Bedingungen mit dem Operator UND. Der ODER-Operator wird nicht unterstützt.
    4. (Optional) Um mehrere Kriterien hinzuzufügen, klicken Sie erneut auf Kriterium hinzufügen.
      Mitgliedschaftskriterien können über die Operatoren UND und ODER verknüpft werden. Standardmäßig wählt NSX-T den Operator ODER aus, um zwei Kriterien zu verknüpfen. Der Operator UND wird nur zwischen zwei Kriterien unterstützt, wenn:
      • beide Kriterien dasselbe Container-Clusterobjekt verwenden.
      • beide Kriterien eine einzelne Bedingung verwenden.

      Weitere Informationen dazu, was beim Hinzufügen von Mitgliedschaftskriterien unterstützt wird bzw. nicht unterstützt wird, finden Sie unter Antrea-Gruppen.

  7. Um statische IP-Adressen in der Gruppe hinzuzufügen, klicken Sie auf IP-Adressen und geben Sie IP-Werte in das Textfeld ein.
    Wenn Sie IP-Werte aus einer TXT- oder CSV-Datei importieren möchten, klicken Sie auf Aktionen > Importieren. Die Werte in der Datei müssen durch Kommas getrennt werden. Die zulässigen Werte sind IP-Adressen, IP-Bereiche oder IP-Adressen in einem CIDR-Format. Sie können auch eine Kombination beider Aktionen durchführen. Geben Sie also Werte in das Textfeld ein und importieren Sie Werte aus einer Datei. Die Gesamtzahl der IP-Werte im Textfeld darf jedoch den maximalen Grenzwert nicht überschreiten, der auf der Registerkarte IP-Adressen angezeigt wird.
  8. Klicken Sie auf Anwenden und anschließend auf Speichern.

Ergebnisse

Die Antrea-Gruppe wird in NSX-T gespeichert und der Status ändert sich in „Erfolgreich“.

Hinweis:
  • Effektive Mitglieder werden für Antrea-Gruppen nur berechnet, wenn die Antrea-Gruppen in Regeln für verteilte Firewalls verwendet werden.

    Wenn Sie Antrea-Gruppen mit Mitgliedschaftskriterien hinzufügen, diese Gruppen jedoch in keiner der Regeln für verteilte Firewalls verwenden, werden die effektiven Mitglieder dieser Antrea-Gruppen in NSX-T nicht berechnet oder ausgewertet. Mit anderen Worten: Die Seite Effektive Mitglieder dieser Antrea-Gruppen ist leer.

  • Wenn Sie statische IP-Adressen in Antrea-Gruppen hinzufügen, werden effektive Mitglieder derzeit nicht auf der Benutzeroberfläche angezeigt, unabhängig davon, ob die Gruppen in Regeln für verteilte Firewalls verwendet werden.

Beispiel: Hinzufügen einer Antrea-Gruppe basierend auf Pods

Angenommen, Sie möchten eine Antrea-Gruppe hinzufügen, die alle Pods enthält, auf denen die Finanzanwendungen „Revenue“, „Sales“ und „Metrics“ in allen Namespaces im Antrea-Container-Cluster ausgeführt werden.

Beachten Sie, dass die folgenden Tags an Pods im Container-Cluster angehängt sind.
Tag Geltungsbereich
RevenueApp Finanzen
SalesApp Finanzen
MetricsApp Finanzen

Erstellen Sie wie folgt ein Mitgliedschaftskriterium mit drei Bedingungen basierend auf dem Pod-Objekt:

Kriterium:

Pod-Tag gleich RevenueApp-Geltungsbereich gleich Finanzen

Pod-Tag gleich SalesApp-Geltungsbereich gleich Finanzen

Pod-Tag gleich MetricsApp-Geltungsbereich gleich Finanzen

Standardmäßig verwendet NSX-T nach jeder Bedingung den Operator UND. Wenn diese Antrea-Gruppe in einer Regel für verteilte Firewalls verwendet wird, werden die effektiven Pod-Mitglieder für diese Gruppe berechnet.

Nachdem die Richtlinie für verteilte Firewalls realisiert wurde, wechseln Sie zur Seite Gruppe hinzufügen. Klicken Sie für diese Antrea-Gruppe auf Mitglieder anzeigen und stellen Sie sicher, dass die effektiven Pod-Mitglieder auf der Seite Effektive Mitglieder angezeigt werden.