Um den Datenverkehr zwischen Pods in einem Antrea-Kubernetes-Cluster zu sichern, können Sie Richtlinien für verteilte Firewall (Sicherheitsrichtlinien) in NSX erstellen und auf einen oder mehrere Antrea-Kubernetes-Cluster anwenden.

Hinweis: In dieser Dokumentation bezeichnet der Begriff „Antrea-Kubernetes-Cluster“ Kubernetes-Cluster mit Antrea-CNI. Der Begriff „Kubernetes-Cluster“ ist ein allgemeiner Begriff, der für Tanzu Kubernetes Grid (TKG)-Cluster mit Antrea-CNI, OpenShift-Cluster mit Antrea-CNI oder benutzerdefinierte Kubernetes-Cluster mit Antrea-CNI steht.

Auf der Benutzeroberfläche wird der Begriff „Antrea-Container-Cluster“ für einige Felder oder Bezeichnungen verwendet. Im Abschnitt Verfahren wird in dieser Dokumentation der Begriff „Antrea-Container-Cluster“ für diese Felder oder Bezeichnungen der Benutzeroberfläche beibehalten. In allen allgemeinen Texten wird der Begriff „Antrea-Kubernetes-Cluster“ verwendet.

Voraussetzungen

  • Antrea-Kubernetes-Cluster sind in NSX registriert.
  • Wenden Sie eine geeignete Sicherheitslizenz in Ihrer NSX-Bereitstellung an, die das System berechtigt, Sicherheitsrichtlinien für verteilte Firewalls zu konfigurieren.

Prozedur

  1. Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
  2. Klicken Sie auf die Registerkarte Sicherheit und dann unter Richtlinienverwaltung auf Verteilte Firewall.
    Die Seite Kategoriespezifische Regeln wird angezeigt.
    Hinweis: Die NSX Manager-Benutzeroberfläche ruft die Informationen zu registrierten Antrea-Kubernetes-Clustern ab, wenn Sie die NSX Manager-Anwendung im Browser starten. Wenn die Benutzeroberfläche der Anwendung bereits geöffnet ist, werden die Registrierungsinformationen für den Antrea-Kubernetes-Cluster nicht automatisch abgerufen. Dieses Verhalten wird gemäß dem aktuellen UI-Design erwartet. Wenn Sie den ersten Antrea-Kubernetes-Cluster nach dem Öffnen der NSX Manager-Anwendung registriert haben, aktualisieren Sie den Browser, nachdem Sie zur Seite Kategoriespezifische Regeln navigiert haben. Eine manuelle Aktualisierung stellt sicher, dass Antrea-spezifische Elemente der Benutzeroberfläche sichtbar sind, wenn Sie zu Schritt 4 dieses Verfahrens gelangen.

    Diese manuelle Browseraktualisierung ist nur einmal und nicht jedes Mal erforderlich, nachdem ein neuer Antrea-Kubernetes-Cluster bei NSX registriert wurde.

  3. Wählen Sie die Kategorie aus, in der Sie die Sicherheitsrichtlinie erstellen möchten.
    Firewallregeln der Schicht 2 (Ethernet), die auf MAC-Adressen basieren, werden derzeit für Antrea-Kubernetes-Cluster nicht unterstützt. Die Kategorien in NSX entsprechen den Ebenen (Tier) in Antrea. Sicherheitsrichtlinien werden in den Antrea-Kubernetes-Clustern in der folgenden absteigenden Reihenfolge durchgesetzt:
    • Kategorie „Notfall“ (höchste Priorität)
    • Kategorie „Infrastruktur“
    • Kategorie „Umgebung“
    • Kategorie „Anwendung“ (niedrigste Priorität)

    Innerhalb einer Kategorie werden Firewallregeln von oben nach unten in der Reihenfolge verarbeitet, in der die Regeln festgelegt sind. Kategorien bieten ein Mittel zum Organisieren von Regeln. Beispielsweise können mehrere Benutzerrollen (Personas) Sicherheitsrichtlinien erstellen, ohne die Richtlinien untereinander zu überschreiben oder in Konflikt zu stellen. Ein Sicherheitsadministrator kann zum Beispiel Richtlinien in der Kategorie „Notfall“ für bestimmte Quarantäne- oder Zulassungsregeln erstellen. Ein Anwendungsentwickler kann Richtlinien in der Kategorie „Anwendung“ erstellen, um den Datenverkehr zwischen bestimmten Pods in einer Anwendung zu sichern. Ein Netzwerkadministrator kann Richtlinien in der Kategorie „Infrastruktur“ erstellen, um Zugriffsregeln für freigegebene Dienste wie DHCP, DNS, Active Directory usw. zu definieren.

  4. Klicken Sie auf Richtlinie hinzufügen und geben Sie die Konfigurationseinstellungen für die Richtlinie an.
    1. Geben Sie einen eindeutigen Namen für die Richtlinie ein.
    2. Standardmäßig wird die Richtlinie auf die verteilte Firewall angewendet. Klicken Sie neben Angewendet auf auf das Bearbeitungssymbol.
      Die Seite „Angewendet auf“ festlegen wird geöffnet.
    3. Wählen Sie die Option Antrea-Container-Cluster aus.
    4. (Erforderlich) Wählen Sie mindestens einen Cluster aus, um den Umfang oder den Erzwingungsbereich der Sicherheitsrichtlinie festzulegen.
      Der Umfang/Geltungsbereich der Richtlinie kann entweder ein einzelner Antrea-Kubernetes-Cluster oder mehrere Antrea-Kubernetes-Cluster sein.
    5. (Optional) Begrenzen Sie den Umfang/Geltungsbereich der Richtlinie, indem Sie Antrea-Gruppen auswählen.
      Wenn Sie Antrea-Gruppen unter Angewendet auf in einer Richtlinie auswählen, wird diese Konfiguration für alle Regeln in der Richtlinie verwendet. Um einen anderen Satz von Antrea-Gruppen für jede Regel in der Richtlinie anzugeben, überspringen Sie diesen Schritt und legen Sie beim Hinzufügen der Regeln zur Richtlinie die Option Angewendet auf fest.
      Hinweis: Antrea-Gruppen mit IP-Adressen dürfen unter Angewendet auf in der Richtlinie nicht verwendet werden, da NSX keine effektiven Pod-Mitglieder aus den IP-Adressen berechnen kann.
    6. (Optional) Klicken Sie auf das Zahnradsymbol ganz rechts, um erweiterte Konfigurationseinstellungen der Richtlinie anzugeben.
      Für Sicherheitsrichtlinien, die auf Antrea-Kubernetes-Cluster angewendet werden, werden die Einstellungen Strenges TCP und Statusbehaftet ausgegraut dargestellt. Diese Einstellungen werden derzeit nicht unterstützt.

      Nur die Einstellungen Gesperrt und Kommentare werden unterstützt. Standardmäßig ist eine Richtlinie nicht gesperrt. Um zu verhindern, dass mehrere Benutzer Änderungen an der Richtlinie vornehmen, aktivieren Sie die Option Gesperrt.

    7. Klicken Sie auf Veröffentlichen.
      Sie können mehrere Richtlinien hinzufügen und dann alle Richtlinien gemeinsam veröffentlichen.

      Der Richtlinienstatus ändert sich anfänglich in „In Bearbeitung“, und nachdem er erfolgreich in den Antrea-Kubernetes-Clustern realisiert wurde, ändert sich der Status in „Erfolgreich“. Wenn die Umsetzung der Richtlinie aus irgendeinem Grund fehlschlägt, klicken Sie auf den Status Fehlgeschlagen, um die Fehler in einem Popup-Fenster anzuzeigen.

  5. Aktivieren Sie das Kontrollkästchen neben dem Richtlinienamen und klicken Sie dann auf Regel hinzufügen. Geben Sie einen Regelnamen ein.
    Standardmäßig wird in den Spalten Quellen, Ziele, Dienste und Angewendet auf der Regel Beliebig angezeigt.
    Hinweis: Kontextprofile werden derzeit nicht für Regeln unterstützt, die auf Antrea-Kubernetes-Cluster angewendet werden.
  6. Geben Sie die Regeleinstellungen an.
    1. Klicken Sie in der Spalte Quellen oder Ziele auf das Bearbeitungssymbol und wählen Sie eine oder mehrere Antrea-Gruppen aus.
      Die folgenden Einschränkungen gelten für die Angabe von Regelquellen und -zielen:
      • Es können nur Antrea-Gruppen ausgewählt werden. Gruppen mit NSX-Mitgliedern können nicht in einer Regel verwendet werden. Mit anderen Worten: Eine Regel darf keine Kombination aus Antrea-Gruppen und Gruppen vom Typ Generisch und Nur IP-Adressen enthalten.
      • Wenn Gruppen in der Spalte Quellen ausgewählt sind, ist die Spalte Ziele nicht anwendbar. Sie können Ziele unter Angewendet auf der Regel hinzufügen.
      • Wenn Gruppen in der Spalte Ziele ausgewählt sind, ist die Spalte Quellen nicht anwendbar. Sie können Quellen unter Angewendet auf der Regel hinzufügen.

      Wenn Quellen und Angewendet auf in der Regel festgelegt werden, wird der Datenverkehr von Quellen nach Angewendet auf gefiltert. Wenn Ziele und Angewendet auf in den Regelfiltern festgelegt werden, wird der Datenverkehr von Angewendet auf nach Ziele gefiltert. Der Antrea-Datenpfad führt die Filterung der Angewendet auf-Gruppenmitglieder durch.

    2. (Optional) Klicken Sie in der Spalte Dienste auf das Bearbeitungssymbol und wählen Sie die Dienste aus.
      Wenn keine Dienste ausgewählt sind, wird „Beliebig“ verwendet.

      Die folgenden Einschränkungen gelten für die Angabe von Diensten:

      • Nur TCP- und UDP-Dienste werden unterstützt. Alle anderen Dienste werden nicht unterstützt.
      • Die Kombination aus Raw-Port und Protokoll unterstützt nur den TCP- und UDP-Diensttyp.
      • Es werden nur Zielports unterstützt. Quellports werden nicht unterstützt.
    3. Klicken Sie in der Spalte Angewendet auf auf das Bearbeitungssymbol und wählen Sie die Antrea-Gruppen aus, auf die Sie die Regel anwenden möchten.

      Wenn keine Gruppen ausgewählt sind, wird „Beliebig“ verwendet.

      Hinweis:
      • Antrea-Gruppen mit IP-Adressen dürfen unter Angewendet auf der Regel nicht verwendet werden, da NSX keine effektiven Pod-Mitglieder aus den IP-Adressen berechnen kann.
      • Wenn Sie Antrea-Gruppen unter Angewendet auf der Richtlinie und der Regel angeben, haben die Gruppen unter Angewendet auf der Richtlinie Vorrang vor den Gruppen unter Angewendet auf der Regel.
    4. Wählen Sie im Dropdown-Menü Aktion eine dieser Optionen aus.
      Option Beschreibung
      Zulassen

      Ermöglicht dem gesamten L3-Datenverkehr mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll das Passieren des aktuellen Firewallkontexts. Pakete, die der Regel entsprechen und akzeptiert werden, durchlaufen den Kubernetes-Cluster so, als ob die Firewall nicht vorhanden wäre.

      Verwerfen

      Verwirft Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll. Das Verwerfen eines Pakets erfolgt im Hintergrund ohne Benachrichtigung der Quelle oder des Ziels. Das Verwerfen des Pakets führt dazu, dass erneut versucht wird, die Verbindung herzustellen, bis der entsprechende Schwellenwert erreicht wird.

      Ablehnen

      Lehnt Pakete mit der angegebenen Quelle, dem angegebenen Ziel und Protokoll ab. Das Ablehnen eines Pakets ist der elegantere Weg, um das Senden eines Pakets zu verweigern. Dabei wird an den Sender eine Meldung übermittelt, dass das Ziel nicht erreichbar ist. Bei Verwendung des TCP-Protokolls wird eine TCP RST-Meldung gesendet. ICMP-Meldungen mit vom Administrator verbotenem Code werden für UDP-, ICMP- und andere IP-Verbindungen versendet. Ein Vorteil der Ablehnungsmethode ist, dass die sendende Anwendung bereits nach einem Versuch benachrichtigt wird, dass die Verbindung nicht hergestellt werden kann.

    5. Klicken Sie auf die Umschaltfläche, um die Regel ein- oder auszuschalten.
      Die Regel ist standardmäßig eingeschaltet.
    6. (Optional) Klicken Sie auf das Zahnradsymbol, um weitere Regeleinstellungen zu konfigurieren.
      Regeleinstellung Beschreibung
      Protokollierung Standardmäßig ist die Option „Protokollierung“ ausgeschaltet. Die Firewallprotokolle sind in den Antrea-Agent-Protokollen enthalten. Wenn Sie eine Support-Paketanforderung für Antrea-Kubernetes-Cluster erstellen und die Knoten im Cluster auswählen, enthält das Support-Paket die Antrea-Agent-Protokolle für diese Knoten.
      Richtung

      Bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Ziel-Pods.

      Die Regelrichtung ist in den folgenden Fällen schreibgeschützt und kann nicht bearbeitet werden:
      • Wenn Quellen in der Regel angegeben werden, lautet die Richtung „Eingehend“.
      • Wenn Ziele in der Regel angegeben sind, lautet die Richtung „Ausgehend“.

      Die Regelrichtung kann bearbeitet werden, wenn die Quellen und Ziele auf „Beliebig“ festgelegt sind. In diesem Fall lautet die Standardrichtung „Ein-/Ausgehend“. Sie können jedoch die Richtung auf „Eingehend“ oder „Ausgehend“ ändern.

      Kommentare

      Geben Sie bei Bedarf Anmerkungen zur Regel ein.

      Diese Kommentare werden nicht an den Antrea-Kubernetes-Cluster weitergegeben. Daher werden die Regelkommentare nicht als Anmerkungen in den Antrea-Clusternetzwerkrichtlinie-Spezifikationen angezeigt.

  7. Klicken Sie auf Veröffentlichen, um die Regeln an die Antrea-Kubernetes-Cluster weiterzugeben.
    Sie können mehrere Regeln hinzufügen und sie dann gemeinsam veröffentlichen.
    Hinweis: Nachdem die Sicherheitsrichtlinie in den Antrea-Kubernetes-Clustern realisiert wurde, können Sie die Spalte Angewendet auf der Richtlinie nicht mehr bearbeiten. Das heißt, NSX lässt es nicht zu, dass Sie den Umfang/Geltungsbereich der Sicherheitsrichtlinie von Antrea-Container-Cluster in DFW oder Gruppen ändern.

Ergebnisse

Die folgenden Ergebnisse treten in den Antrea-Kubernetes-Clustern auf:
  • Das Antrea-Netzwerk-Plug-In erstellt eine Cluster-Netzwerkrichtlinie, die jeder Richtlinie für verteilte Firewall entspricht, die auf die Antrea-Kubernetes-Cluster angewendet wird.
  • Wenn die Regeln Quellen enthalten, werden entsprechende Regeln für eingehenden Datenverkehr (Ingress-Regeln) in der Antrea-Clusternetzwerkrichtlinie erstellt.
  • Wenn die Regeln Ziele enthalten, werden entsprechende Regeln für ausgehenden Datenverkehr (Egress-Regeln) in der Antrea-Clusternetzwerkrichtlinie erstellt.
  • Wenn die Regeln eine „Beliebig“-„Beliebig“-Konfiguration enthalten, teilt der Antrea-Controller im Cluster die „Beliebig“-„Beliebig“-Regel in zwei Regeln auf: Eine Ingress-Regel mit „Beliebig“ zu „Beliebig“ und eine Egress-Regel mit „Beliebig“ zu „Beliebig“.
Hinweis: Das Antrea-Netzwerk-Plug-In hindert Sie nicht daran, die Antrea-Cluster-Netzwerkrichtlinien über die kubectl-Befehlszeile zu aktualisieren oder zu löschen. Aber Sie müssen dies vermeiden. Der Grund dafür ist, dass die Sicherheitsrichtlinien von NSX verwaltet werden. Aus diesem Grund überschreibt der Zentraler Steuerungsebenen-Adapter im Antrea-Kubernetes-Cluster sofort die Richtlinienänderungen, die über die kubectl-Befehlszeile vorgenommen werden. Mit anderen Worten: NSX ist die Informationsquelle für die Richtlinien. Die über die kubectl-Befehlszeile an diesen Cluster-Netzwerkrichtlinien vorgenommenen Änderungen werden in NSX Manager nicht angezeigt.

Nächste Maßnahme

Nachdem die Sicherheitsrichtlinien erfolgreich in den Antrea-Kubernetes-Clustern realisiert wurden, können Sie die folgenden optionalen Aufgaben ausführen:

  • Stellen Sie sicher, dass die Netzwerkrichtlinien des Antrea-Clusters in den Kubernetes-Clustern angezeigt werden. Führen Sie den folgenden kubectl-Befehl in jedem Antrea-Kubernetes-Cluster aus:
    $ kubectl get acnp
    Hinweis: Der Parameter priority in den Netzwerkrichtlinien des Antrea-Clusters zeigt einen Gleitkommawert an. Dieses Ergebnis wird erwartet. Die NSX Manager-Benutzeroberfläche zeigt nicht die Priorität der Richtlinien für verteilte Firewall an. NSX weist der Priorität jeder Richtlinie intern einen Ganzzahlwert zu. Dieser Ganzzahlwert wird aus einem großen Bereich zugewiesen. Das Antrea-Netzwerk-Plug-In weist jedoch der Priorität der Antrea-Cluster-Netzwerkrichtlinien eine kleinere Gleitkommazahl (absoluter Wert) zu. Aus diesem Grund werden die NSX-Prioritätswerte intern auf kleinere Gleitkommazahlen normalisiert. Allerdings wird die Reihenfolge, in der Sie die Richtlinien in einer Kategorie für verteilte Firewall hinzufügen, für die Antrea-Cluster-Netzwerkrichtlinien beibehalten.

    Sie können auch die Details der Antrea-Cluster-Netzwerkrichtlinien in der NSX-Bestandsliste anzeigen. Navigieren Sie in NSX Manager zu Bestandsliste > Container > Cluster. Erweitern Sie den Clusternamen und klicken Sie auf die Zahl neben Cluster-Netzwerkrichtlinien , um die Details der Richtlinien, einschließlich der YAML-Spezifikationen, anzuzeigen.

  • Zeigen Sie die Richtlinienstatistiken mithilfe der NSX API an:
    GET https://{nsx-mgr-ip}/api/v1/infra/domains{domain-id}/security-policies/{security-policy-name}/statistics?container_cluster_path=/infra/sites/{site-id}/enforcement-points/{enforcement-point-id}/cluster-control-planes/{cluster-name}
  • Zeigen Sie die Statistiken zu Laufzeitregeln auf der Benutzeroberfläche an:
    1. Navigieren Sie in NSX Manager zu Sicherheit > Verteilte Firewall.
    2. Erweitern Sie den Richtliniennamen und klicken Sie dann auf das Diagrammsymbol in der äußersten rechten Ecke jeder Regel.
    3. Wählen Sie den Kubernetes-Cluster aus dem Dropdown-Menü aus, um die Regelstatistiken für jeden Kubernetes-Cluster anzuzeigen.

      Die Statistiken der Regel werden separat für jeden Kubernetes-Cluster berechnet, in dem die Regel erzwungen wird. Die Statistiken werden nicht für alle Kubernetes-Cluster aggregiert und auf der Benutzeroberfläche angezeigt. Die Regelstatistiken werden jede Minute berechnet.