Sie können statische IP-Adressen, Mitgliedschaftskriterien oder beides in Antrea-Gruppen hinzufügen und diese Gruppen dann als Quelle oder Ziel der Richtlinien für verteilte Firewalls verwenden, die Sie für den sicheren Datenverkehr in einem Antrea-Kubernetes-Cluster erstellt haben.
Voraussetzungen
Mindestens ein Antrea-Kubernetes-Cluster ist in NSX registriert.
Prozedur
- Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
- Navigieren Sie zu .
Hinweis: Die
NSX Manager-Benutzeroberfläche ruft die Informationen zu registrierten
Antrea-Kubernetes-Clustern ab, wenn Sie die
NSX Manager-Anwendung im Browser starten. Wenn die Benutzeroberfläche der Anwendung bereits geöffnet ist, werden die Registrierungsinformationen für den
Antrea-Kubernetes-Cluster nicht automatisch abgerufen. Dieses Verhalten wird gemäß dem aktuellen UI-Design erwartet. Wenn Sie den ersten
Antrea-Kubernetes-Cluster nach dem Öffnen der
NSX Manager-Anwendung registriert haben, aktualisieren Sie den Browser, nachdem Sie zur Seite
Gruppen navigiert haben. Eine manuelle Aktualisierung stellt sicher, dass die
Antrea-Gruppentypoption in der Benutzeroberfläche sichtbar ist, wenn Sie zu Schritt 5 dieses Verfahrens gelangen.
Diese manuelle Browseraktualisierung ist nur einmal und nicht jedes Mal erforderlich, nachdem ein neuer Antrea-Kubernetes-Cluster bei NSX registriert wurde.
- Klicken Sie auf Gruppe hinzufügen.
- Geben Sie einen Namen und optional eine Beschreibung für die Gruppe ein.
- Klicken Sie auf Festlegen und wählen Sie Antrea als Gruppentyp aus.
Eine
Antrea-Gruppe kann Mitgliedschaftskriterien, statische IP-Adressen oder beides enthalten. Führen Sie je nach Ihren Anforderungen die Schritte 6 oder 7 oder beide aus.
- Um ein Mitgliedschaftskriterium hinzuzufügen, klicken Sie auf Kriterium hinzufügen.
- Wählen Sie im Bereich Kriterium den Mitgliedstyp aus, für den Sie die Bedingung definieren möchten.
Die unterstützten Mitgliedstypen sind: Namespace, Dienst und Pod.
- Geben Sie nach Bedarf die Eigenschaften der Bedingung an, z. B. Name oder Tag, Tag-Operator, Geltungsbereichsoperator.
- (Optional) Um mehr als eine Bedingung in einem Mitgliedschaftskriterium hinzuzufügen, klicken Sie in der oberen rechten Ecke des Bereichs Kriterium auf das Pluszeichen und definieren Sie die Eigenschaften der Bedingung.
In einem Mitgliedschaftskriterium verknüpft
NSX standardmäßig alle Bedingungen mit dem Operator UND. Der ODER-Operator wird nicht unterstützt.
- (Optional) Um mehrere Kriterien hinzuzufügen, klicken Sie erneut auf Kriterium hinzufügen.
Mitgliedschaftskriterien können über die Operatoren UND und ODER verknüpft werden. Standardmäßig wählt
NSX den Operator ODER aus, um zwei Kriterien zu verknüpfen. Der Operator UND wird nur zwischen zwei Kriterien unterstützt, wenn:
- Beide Kriterien verwenden denselben Mitgliedstyp.
- beide Kriterien eine einzelne Bedingung verwenden.
Weitere Informationen dazu, was beim Hinzufügen von Mitgliedschaftskriterien unterstützt wird bzw. nicht unterstützt wird, finden Sie unter Antrea-Gruppen.
- Um statische IP-Adressen in der Gruppe hinzuzufügen, klicken Sie auf IP-Adressen und geben Sie IP-Werte in das Textfeld ein.
Wenn Sie IP-Werte aus einer TXT- oder CSV-Datei importieren möchten, klicken Sie auf
. Die Werte in der Datei müssen durch Kommas getrennt werden. Die zulässigen Werte sind IP-Adressen, IP-Bereiche oder IP-Adressen in einem CIDR-Format. Sie können auch eine Kombination beider Aktionen durchführen. Geben Sie also Werte in das Textfeld ein und importieren Sie Werte aus einer Datei. Die Gesamtzahl der IP-Werte im Textfeld darf jedoch den maximalen Grenzwert nicht überschreiten, der auf der Registerkarte
IP-Adressen angezeigt wird.
- Klicken Sie auf Anwenden und anschließend auf Speichern.
Ergebnisse
Die Antrea-Gruppe wird in NSX gespeichert und der Status ändert sich in „Erfolgreich“.
Hinweis:
- Effektive Mitglieder werden für Antrea-Gruppen nur berechnet, wenn die Antrea-Gruppen in Regeln für verteilte Firewalls verwendet werden.
Wenn Sie Antrea-Gruppen mit Mitgliedschaftskriterien hinzufügen, diese Gruppen jedoch in keiner der Regeln für verteilte Firewalls verwenden, werden die effektiven Mitglieder dieser Antrea-Gruppen in NSX nicht berechnet oder ausgewertet. Mit anderen Worten: Die Seite Effektive Mitglieder dieser Antrea-Gruppen ist leer.
- Wenn Sie statische IP-Adressen in Antrea-Gruppen hinzufügen, werden effektive Mitglieder derzeit nicht auf der Benutzeroberfläche angezeigt, unabhängig davon, ob die Gruppen in Regeln für verteilte Firewalls verwendet werden.
Beispiel: Hinzufügen einer Antrea-Gruppe basierend auf Pods
Angenommen, Sie möchten eine Antrea-Gruppe hinzufügen, die alle Pods enthält, auf denen die Finanzanwendungen „Revenue“, „Sales“ und „Metrics“ in allen Namespaces im Antrea-Kubernetes-Cluster ausgeführt werden.
Beachten Sie, dass die folgenden Tags an Pods im
Antrea-Kubernetes-Cluster angehängt sind.
Tag |
Geltungsbereich |
RevenueApp |
Finanzen |
SalesApp |
Finanzen |
MetricsApp |
Finanzen |
Erstellen Sie wie folgt ein Mitgliedschaftskriterium mit drei Bedingungen basierend auf dem Pod-Mitgliedstyp:
Kriterium:
Pod-Tag gleich RevenueApp-Geltungsbereich gleich Finanzen
Pod-Tag gleich SalesApp-Geltungsbereich gleich Finanzen
Pod-Tag gleich MetricsApp-Geltungsbereich gleich Finanzen
Standardmäßig verwendet NSX nach jeder Bedingung den Operator UND. Wenn diese Antrea-Gruppe in einer Regel für verteilte Firewalls verwendet wird, werden die effektiven Pod-Mitglieder für diese Gruppe berechnet.
Nachdem die Richtlinie für verteilte Firewalls realisiert wurde, wechseln Sie zur Seite Gruppe hinzufügen. Klicken Sie für diese Antrea-Gruppe auf Mitglieder anzeigen und stellen Sie sicher, dass die effektiven Pod-Mitglieder auf der Seite Effektive Mitglieder angezeigt werden.