Um den Datenverkehr zwischen Pods in einem Antrea-Kubernetes-Cluster zu sichern, können Sie Richtlinien für verteilte Firewall (Sicherheitsrichtlinien) in NSX erstellen und auf einen oder mehrere Antrea-Kubernetes-Cluster anwenden.
Auf der Benutzeroberfläche wird der Begriff „Antrea-Container-Cluster“ für einige Felder oder Bezeichnungen verwendet. Im Abschnitt Verfahren wird in dieser Dokumentation der Begriff „Antrea-Container-Cluster“ für diese Felder oder Bezeichnungen der Benutzeroberfläche beibehalten. In allen allgemeinen Texten wird der Begriff „Antrea-Kubernetes-Cluster“ verwendet.
Voraussetzungen
- Antrea-Kubernetes-Cluster sind in NSX registriert.
- Wenden Sie eine geeignete Sicherheitslizenz in Ihrer NSX-Bereitstellung an, die das System berechtigt, Sicherheitsrichtlinien für verteilte Firewalls zu konfigurieren.
Prozedur
Ergebnisse
- Das Antrea-Netzwerk-Plug-In erstellt eine Cluster-Netzwerkrichtlinie, die jeder Richtlinie für verteilte Firewall entspricht, die auf die Antrea-Kubernetes-Cluster angewendet wird.
- Wenn die Regeln Quellen enthalten, werden entsprechende Regeln für eingehenden Datenverkehr (Ingress-Regeln) in der Antrea-Clusternetzwerkrichtlinie erstellt.
- Wenn die Regeln Ziele enthalten, werden entsprechende Regeln für ausgehenden Datenverkehr (Egress-Regeln) in der Antrea-Clusternetzwerkrichtlinie erstellt.
- Wenn die Regeln eine „Beliebig“-„Beliebig“-Konfiguration enthalten, teilt der Antrea-Controller im Cluster die „Beliebig“-„Beliebig“-Regel in zwei Regeln auf: Eine Ingress-Regel mit „Beliebig“ zu „Beliebig“ und eine Egress-Regel mit „Beliebig“ zu „Beliebig“.
Nächste Maßnahme
Nachdem die Sicherheitsrichtlinien erfolgreich in den Antrea-Kubernetes-Clustern realisiert wurden, können Sie die folgenden optionalen Aufgaben ausführen:
- Stellen Sie sicher, dass die Netzwerkrichtlinien des Antrea-Clusters in den Kubernetes-Clustern angezeigt werden. Führen Sie den folgenden kubectl-Befehl in jedem Antrea-Kubernetes-Cluster aus:
$ kubectl get acnp
Hinweis: Der Parameter priority in den Netzwerkrichtlinien des Antrea-Clusters zeigt einen Gleitkommawert an. Dieses Ergebnis wird erwartet. Die NSX Manager-Benutzeroberfläche zeigt nicht die Priorität der Richtlinien für verteilte Firewall an. NSX weist der Priorität jeder Richtlinie intern einen Ganzzahlwert zu. Dieser Ganzzahlwert wird aus einem großen Bereich zugewiesen. Das Antrea-Netzwerk-Plug-In weist jedoch der Priorität der Antrea-Cluster-Netzwerkrichtlinien eine kleinere Gleitkommazahl (absoluter Wert) zu. Aus diesem Grund werden die NSX-Prioritätswerte intern auf kleinere Gleitkommazahlen normalisiert. Allerdings wird die Reihenfolge, in der Sie die Richtlinien in einer Kategorie für verteilte Firewall hinzufügen, für die Antrea-Cluster-Netzwerkrichtlinien beibehalten.Sie können auch die Details der Antrea-Cluster-Netzwerkrichtlinien in der NSX-Bestandsliste anzeigen. Navigieren Sie in NSX Manager zu . Erweitern Sie den Clusternamen und klicken Sie auf die Zahl neben Cluster-Netzwerkrichtlinien , um die Details der Richtlinien, einschließlich der YAML-Spezifikationen, anzuzeigen.
- Zeigen Sie die Richtlinienstatistiken mithilfe der NSX API an:
GET https://{nsx-mgr-ip}/api/v1/infra/domains{domain-id}/security-policies/{security-policy-name}/statistics?container_cluster_path=/infra/sites/{site-id}/enforcement-points/{enforcement-point-id}/cluster-control-planes/{cluster-name}
- Zeigen Sie die Statistiken zu Laufzeitregeln auf der Benutzeroberfläche an:
- Navigieren Sie in NSX Manager zu .
- Erweitern Sie den Richtliniennamen und klicken Sie dann auf das Diagrammsymbol in der äußersten rechten Ecke jeder Regel.
- Wählen Sie den Kubernetes-Cluster aus dem Dropdown-Menü aus, um die Regelstatistiken für jeden Kubernetes-Cluster anzuzeigen.
Die Statistiken der Regel werden separat für jeden Kubernetes-Cluster berechnet, in dem die Regel erzwungen wird. Die Statistiken werden nicht für alle Kubernetes-Cluster aggregiert und auf der Benutzeroberfläche angezeigt. Die Regelstatistiken werden jede Minute berechnet.