In diesem Beispiel besteht Ihr Ziel darin, eine Richtlinie für die verteilte Firewall in NSX zu erstellen, um den Pod-zu-Pod-Datenverkehr in der Anwendung „Enterprise Human Resource“ zu sichern, die in einem einzelnen Antrea-Kubernetes-Cluster ausgeführt wird.

Angenommen, die Pod-Arbeitslasten im Antrea-Kubernetes-Cluster umfassen die Ausführung von Web-, App- und Datenbank-Mikrodiensten der Anwendung „Enterprise Human Resource“. Sie haben in Ihrer NSX-Umgebung mithilfe von Pod-basierten Mitgliedschaftskriterien Antrea-Gruppen hinzugefügt, wie in der folgenden Tabelle dargestellt.

Antrea-Gruppenname Mitgliedschaftskriterien

HR-Web

Pod-Tag gleich Web-Bereich gleich HR

HR-App

Pod-Tag gleich App-Bereich gleich HR

HR-DB

Pod-Tag gleich DB-Bereich gleich HR

Ihr Ziel ist es, wie folgt eine Sicherheitsrichtlinie in der Kategorie „Anwendung“ mit drei Firewallregeln zu erstellen:
  • Den gesamten Datenverkehr von der HR-Web-Gruppe zur HR-App-Gruppe zulassen.
  • Den gesamten Datenverkehr von der HR-App-Gruppe zur HR-DB-Gruppe zulassen.
  • Den gesamten Datenverkehr von HR-Web zur HR-DB-Gruppe ablehnen.

Voraussetzungen

Der Antrea-Kubernetes-Cluster ist in NSX registriert.

Prozedur

  1. Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
  2. Klicken Sie auf die Registerkarte Sicherheit und dann unter Richtlinienverwaltung auf Verteilte Firewall.
    Die Seite Kategoriespezifische Regeln wird angezeigt.
  3. Stellen Sie sicher, dass Sie sich in der Kategorie Anwendung befinden.
  4. Klicken Sie auf Richtlinie hinzufügen und geben Sie einen Richtliniennamen ein.
    Geben Sie beispielsweise EnterpriseHRPolicy ein.
  5. Wählen Sie unter Angewendet auf der Richtlinie den Antrea-Kubernetes-Cluster aus, in dem die Pod-Arbeitslasten der Anwendung „Enterprise Human Resource“ ausgeführt werden.
  6. Veröffentlichen Sie die Richtlinie.
  7. Wählen Sie den Richtliniennamen aus und klicken Sie auf Regel hinzufügen.
    Konfigurieren Sie drei Firewallregeln, wie in der folgenden Tabelle dargestellt.
    Regelname Regel-ID Quellen Ziele Dienste Angewendet auf Aktion
    Web-to-App 1022 HR-Web Nicht verfügbar Beliebig HR-App Zulassen
    App-to-DB 1023 HR-App Nicht verfügbar Beliebig HR-DB Zulassen
    Web-to-DB 1024 HR-Web Nicht verfügbar Beliebig HR-DB Ablehnen

    Die Regel-IDs in der Tabelle sind nur Beispielwerte für dieses Beispiel. Die Regel-IDs können in Ihrer NSX-Umgebung variieren.

  8. Veröffentlichen Sie die Regeln.

Ergebnisse

Wenn die Richtlinie erfolgreich realisiert wurde, werden die folgenden Ergebnisse im Antrea-Kubernetes-Cluster angezeigt:
  • Eine Antrea-Cluster-Netzwerkrichtlinie (ACNP) wird erstellt.
  • Die Regeln 1022, 1023 und 1024 werden im Kubernetes-Cluster in dieser Reihenfolge durchgesetzt.
  • Für jede Firewallregel wird eine entsprechende Regel für eingehenden Datenverkehr (Ingress-Regel) in der Cluster-Netzwerkrichtlinie erstellt.