Puede exportar las reglas de directivas de red recomendadas que están relacionadas con los objetos de Kubernetes en el formato YAML. VMware Aria Operations for Networks admite la exportación al formato YAML solo para las topologías de agrupación por Espacio de nombres y por Servicio.
Requisitos previos
Procedimiento
- Para exportar las reglas recomendadas al formato YAML, en el modelo Planificar seguridad, seleccione el clúster de Kubernetes para el que desea planificar la seguridad y realice uno de los pasos.
- Expanda más opciones en el widget Microsegmentos y seleccione Exportar reglas como YAML.
- O bien, seleccione un nodo en la vista de anillo de microsegmentos, haga clic en el recuento de reglas de firewall recomendadas, expanda más opciones y seleccione Exportar reglas como YAML.
VMware Aria Operations for Networks descargará un archivo ZIP llamado con las directivas de red de Kubernetes y una marca de tiempo asociada. Cuando descomprima el archivo, verá los siguientes cinco archivos CSV, además de varias carpetas, según la cantidad de clústeres. Cada carpeta contendrá varios archivos YAML para el clúster.Nombre de archivo Descripción network-policy-others-ipaddress.csv Contiene las direcciones IP de los servidores físicos y la máquina virtual con la que se comunican los servicios o los espacios de nombres. recommended-namespace-labels-to-add.csv Contiene las etiquetas que se adjuntarán a los pods asociados con el espacio de nombres. Ejemplo:
- Clúster: pdk8s
- Espacio de nombres: sock-shop
- Etiqueta: sock-shop-pdk8s
recommended-service-labels-to-add.csv Contiene las etiquetas que se adjuntarán a los pods asociados con el servicio. Ejemplo:
- Clúster: pdk8s
- Espacio de nombres: sock-shop
- Servicio: front-end
- Etiqueta: Service:front-sock-shop-pdk8s
- Clúster: pdk8s
- Espacio de nombres: sock-shop
- Servicio: user
- Etiqueta: Service:user-sock-shop
recommended-network-policy.csv Contiene todas las reglas recomendadas por VMware Aria Operations for Networks. exported-network-policy-rule-names.csv Enumera todas las directivas de red exportadas en función de las reglas recomendadas. - Para aplicar las etiquetas de servicio, realice los siguientes pasos:
- Ejecute el siguiente comando de la CLI de Kubernetes.
kubectl edit deployment service-name -n namespace-name
kubectl edit deployment redis-primary -n guestbook
Se abrirá el archivo de implementación del servicio. - En la lista de etiquetas de servicio, anexe la etiqueta que se sugiere en el archivo CSV a las etiquetas mencionadas en la sección de especificaciones de la implementación del servicio.
- Ejecute el siguiente comando de la CLI de Kubernetes.
- Para aplicar las etiquetas de espacio de nombres, realice los siguientes pasos:
- Ejecute el siguiente comando de la CLI de Kubernetes.
kubectl edit namespace namespace-name
kubectl edit namespace guestbook
Se abrirá el archivo de implementación del espacio de nombres. - En los metadatos, anexe la etiqueta que se sugiere en el archivo CSV a las etiquetas mencionadas en la sección spec de la implementación del espacio de nombres.
- Ejecute el siguiente comando de la CLI de Kubernetes.
- Ejecute el siguiente comando para comprobar si se aplicaron las etiquetas a los pods.
kubectl get pods -n namespace-name--show-labels
kubectl get pods guestbook--show-labels
Revise las etiquetas en la vista de resultados.Nota: Las etiquetas no se reflejan en los pods cuando se aplica el espacio de nombres. - Para crear las directivas de red, copie los archivos YAML de la carpeta del clúster correspondiente a otra carpeta y ejecute alguno de estos comandos:
kubectl apply -f <folder-name>/
: para aplicar todas las reglas de firewall a la vez.kubectl apply -f <folder-name>/<firewall-rule>.yaml
: para aplicar las reglas de firewall una a una.