En este ejemplo, el objetivo es crear una directiva de firewall distribuido en NSX para proteger el tráfico de pod a pod en la aplicación de recursos humanos de la empresa, que se ejecuta en un solo clúster de contenedores de Antrea.
Supongamos que las cargas de trabajo del pod en el clúster de contenedores de Antrea ejecutan microservicios de web, aplicación y base de datos de la aplicación de recursos humanos de la empresa. Agregó grupos de Antrea en el entorno de NSX mediante el uso de criterios de pertenencia basados en pods, como se muestra en la siguiente tabla.
Nombre de grupo Antrea | Criterios de pertenencia |
---|---|
HR-Web |
Etiqueta Pod es igual a Ámbito web y es igual a HR |
HR-App |
Etiqueta Pod es igual a Ámbito de aplicación es igual a HR |
HR-DB |
Etiqueta Pod es igual a Ámbito de base de datos es igual a HR |
- Permitir todo el tráfico del grupo HR-Web al grupo HR-App.
- Permitir todo el tráfico del grupo HR-App al grupo HRDB.
- Rechazar todo el tráfico de HR-Web al grupo HR-DB.
Requisitos previos
El clúster de contenedores de Antrea está registrado en NSX.
Procedimiento
Resultados
- Se crea una directiva de red de clúster.
- Las reglas 1022, 1023 y 1024 se aplican en el clúster de contenedores en ese orden.
- Para cada regla de firewall, se crea una regla de entrada correspondiente en la directiva de red del clúster.