Para proteger el tráfico entre los pods de un clúster de contenedores de Antrea, puede crear directivas de firewall distribuido (directivas de seguridad) en NSX-T Data Center y aplicarlas a uno o varios clústeres de contenedores de Antrea.
Requisitos previos
Los clústeres de contenedores de Antrea se registran en NSX-T Data Center.
Procedimiento
Resultados
- El complemento de red de Antrea crea una directiva de red de clúster correspondiente a cada directiva de firewall distribuido que se aplica a los clústeres de contenedores de Antrea.
- Si las reglas contienen orígenes, se crearán las reglas de entrada correspondientes a Directiva de red de clústeres de Antrea.
- Si las reglas contienen destinos, se crearán las reglas de salida correspondientes en Directiva de red de clústeres de Antrea.
- Si las reglas contienen una configuración Cualquiera-Cualquiera, Controlador de Antrea en el clúster divide la regla Cualquiera-Cualquiera en dos reglas: una regla de entrada con Cualquiera a Cualquiera y otra regla de salida con Cualquiera a Cualquiera.
Qué hacer a continuación
Una vez que las directivas de seguridad se hayan realizado correctamente en los clústeres de contenedores de Antrea, puede realizar las siguientes tareas opcionales:
- Compruebe que las directivas de red del clúster de Antrea se muestren en los clústeres de contenedores. Ejecute el siguiente comando kubectl en cada clúster de contenedores de Antrea:
$ kubectl get acnp
Nota: El parámetro priority de las directivas de red del clúster de Antrea muestra un valor flotante. Este resultado es el esperado. La interfaz de usuario de NSX Manager no muestra la prioridad de las directivas de firewall distribuido. NSX-T asigna internamente un valor entero a la prioridad de cada directiva. Este valor entero se asigna desde un rango grande. Sin embargo, el complemento de red de Antrea asigna un número flotante más pequeño (valor absoluto) a la prioridad de directivas de red del clúster de Antrea. Por lo tanto, los valores de prioridad de NSX-T se normalizan internamente a números flotantes más pequeños. Sin embargo, el orden en el que se agregan las directivas en una categoría de firewall distribuido se conserva para las directivas de red del clúster de Antrea.También puede ver los detalles de las directivas de red del clúster de Antrea en el inventario de NSX-T. En NSX Manager, vaya a . Expanda el nombre del clúster y haga clic en el número junto a Directivas de red de clúster para ver los detalles de las directivas, incluidas las especificaciones de YAML.
- Consulte las estadísticas de directivas mediante la API de NSX:
GET https://{nsx-mgr-ip}/api/v1/infra/domains{domain-id}/security-policies/{security-policy-name}/statistics?container_cluster_path=/infra/sites/{site-id}/enforcement-points/{enforcement-point-id}/cluster-control-planes/{cluster-name}
- Ver estadísticas de reglas de tiempo de ejecución en la interfaz de usuario:
- En NSX Manager, desplácese hasta .
- Expanda el nombre de la directiva y, a continuación, haga clic en el icono de gráfico en la esquina superior derecha de cada regla.
- Seleccione el clúster de contenedores en el menú desplegable para ver las estadísticas de reglas de cada clúster de contenedores.
Las estadísticas de la regla se calculan por separado para cada clúster de contenedores en el que se aplica la regla. Las estadísticas no se agregan para todos los clústeres de contenedores y se muestran en la interfaz de usuario. Las estadísticas de reglas se calculan cada minuto.