In diesem Beispiel besteht Ihr Ziel darin, eine Richtlinie für die verteilte Firewall in NSX zu erstellen, um den Pod-zu-Pod-Datenverkehr in der Anwendung „Enterprise Human Resource“ zu sichern, die in einem einzelnen Antrea-Kubernetes-Cluster ausgeführt wird.
Angenommen, die Pod-Arbeitslasten im Antrea-Kubernetes-Cluster umfassen die Ausführung von Web-, App- und Datenbank-Mikrodiensten der Anwendung „Enterprise Human Resource“. Sie haben in Ihrer NSX-Umgebung mithilfe von Pod-basierten Mitgliedschaftskriterien Antrea-Gruppen hinzugefügt, wie in der folgenden Tabelle dargestellt.
Antrea-Gruppenname | Mitgliedschaftskriterien |
---|---|
HR-Web |
Pod-Tag gleich Web-Bereich gleich HR |
HR-App |
Pod-Tag gleich App-Bereich gleich HR |
HR-DB |
Pod-Tag gleich DB-Bereich gleich HR |
Ihr Ziel ist es, wie folgt eine Sicherheitsrichtlinie in der Kategorie „Anwendung“ mit drei Firewallregeln zu erstellen:
- Den gesamten Datenverkehr von der HR-Web-Gruppe zur HR-App-Gruppe zulassen.
- Den gesamten Datenverkehr von der HR-App-Gruppe zur HR-DB-Gruppe zulassen.
- Den gesamten Datenverkehr von HR-Web zur HR-DB-Gruppe ablehnen.
Voraussetzungen
- Der Antrea-Kubernetes-Cluster ist in NSX registriert.
- Wenden Sie eine geeignete Sicherheitslizenz in Ihrer NSX-Bereitstellung an, die das System berechtigt, Sicherheitsrichtlinien für verteilte Firewalls zu konfigurieren.
Prozedur
Ergebnisse
Wenn die Richtlinie erfolgreich realisiert wurde, werden die folgenden Ergebnisse im
Antrea-Kubernetes-Cluster angezeigt:
- Eine Antrea-Cluster-Netzwerkrichtlinie (ACNP) wird erstellt.
- Die Regeln 1022, 1023 und 1024 werden im Kubernetes-Cluster in dieser Reihenfolge durchgesetzt.
- Für jede Firewallregel wird eine entsprechende Regel für eingehenden Datenverkehr (Ingress-Regel) in der Cluster-Netzwerkrichtlinie erstellt.