Beispiel: Hinzufügen einer Richtlinie für verteilte Firewalls für sicheren Datenverkehr innerhalb eines Antrea-Kubernetes-Clusters

In diesem Beispiel besteht Ihr Ziel darin, eine Richtlinie für die verteilte Firewall in NSX zu erstellen, um den Pod-zu-Pod-Datenverkehr in der Anwendung „Enterprise Human Resource“ zu sichern, die in einem einzelnen Antrea-Kubernetes-Cluster ausgeführt wird.

Angenommen, die Pod-Arbeitslasten im Antrea-Kubernetes-Cluster umfassen die Ausführung von Web-, App- und Datenbank-Mikrodiensten der Anwendung „Enterprise Human Resource“. Sie haben in Ihrer NSX-Umgebung mithilfe von Pod-basierten Mitgliedschaftskriterien Antrea-Gruppen hinzugefügt, wie in der folgenden Tabelle dargestellt.

Antrea-Gruppenname	Mitgliedschaftskriterien
HR-Web	Pod-Tag gleich Web-Bereich gleich HR
HR-App	Pod-Tag gleich App-Bereich gleich HR
HR-DB	Pod-Tag gleich DB-Bereich gleich HR

Ihr Ziel ist es, wie folgt eine Sicherheitsrichtlinie in der Kategorie „Anwendung“ mit drei Firewallregeln zu erstellen:

Den gesamten Datenverkehr von der HR-Web-Gruppe zur HR-App-Gruppe zulassen.
Den gesamten Datenverkehr von der HR-App-Gruppe zur HR-DB-Gruppe zulassen.
Den gesamten Datenverkehr von HR-Web zur HR-DB-Gruppe ablehnen.

Voraussetzungen

Der Antrea-Kubernetes-Cluster ist in NSX registriert.

Prozedur

Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
Klicken Sie auf die Registerkarte Sicherheit und dann unter Richtlinienverwaltung auf Verteilte Firewall.
Die Seite Kategoriespezifische Regeln wird angezeigt.
Stellen Sie sicher, dass Sie sich in der Kategorie Anwendung befinden.
Klicken Sie auf Richtlinie hinzufügen und geben Sie einen Richtliniennamen ein.
Geben Sie beispielsweise EnterpriseHRPolicy ein.
Wählen Sie unter Angewendet auf der Richtlinie den Antrea-Kubernetes-Cluster aus, in dem die Pod-Arbeitslasten der Anwendung „Enterprise Human Resource“ ausgeführt werden.
Veröffentlichen Sie die Richtlinie.

Wählen Sie den Richtliniennamen aus und klicken Sie auf Regel hinzufügen.

Konfigurieren Sie drei Firewallregeln, wie in der folgenden Tabelle dargestellt.


Regelname	Regel-ID	Quellen	Ziele	Dienste	Angewendet auf	Aktion
Web-to-App	1022	HR-Web	Nicht verfügbar	Beliebig	HR-App	Zulassen
App-to-DB	1023	HR-App	Nicht verfügbar	Beliebig	HR-DB	Zulassen
Web-to-DB	1024	HR-Web	Nicht verfügbar	Beliebig	HR-DB	Ablehnen

Die Regel-IDs in der Tabelle sind nur Beispielwerte für dieses Beispiel. Die Regel-IDs können in Ihrer NSX-Umgebung variieren.

Veröffentlichen Sie die Regeln.

Ergebnisse

Wenn die Richtlinie erfolgreich realisiert wurde, werden die folgenden Ergebnisse im Antrea-Kubernetes-Cluster angezeigt:

Eine Antrea-Cluster-Netzwerkrichtlinie (ACNP) wird erstellt.
Die Regeln 1022, 1023 und 1024 werden im Kubernetes-Cluster in dieser Reihenfolge durchgesetzt.
Für jede Firewallregel wird eine entsprechende Regel für eingehenden Datenverkehr (Ingress-Regel) in der Cluster-Netzwerkrichtlinie erstellt.