En este ejemplo, el objetivo es crear una directiva de firewall distribuido en NSX para proteger el tráfico de pod a pod en la aplicación de recursos humanos de la empresa, que se ejecuta en un solo clúster de contenedores de Antrea.

Supongamos que las cargas de trabajo del pod en el clúster de contenedores de Antrea ejecutan microservicios de web, aplicación y base de datos de la aplicación de recursos humanos de la empresa. Agregó grupos de Antrea en el entorno de NSX mediante el uso de criterios de pertenencia basados en pods, como se muestra en la siguiente tabla.

Nombre de grupo Antrea Criterios de pertenencia

HR-Web

Etiqueta Pod es igual a Ámbito web y es igual a HR

HR-App

Etiqueta Pod es igual a Ámbito de aplicación es igual a HR

HR-DB

Etiqueta Pod es igual a Ámbito de base de datos es igual a HR

Su objetivo es crear una directiva de seguridad en la categoría Aplicación con tres reglas de firewall, como se indica a continuación:
  • Permitir todo el tráfico del grupo HR-Web al grupo HR-App.
  • Permitir todo el tráfico del grupo HR-App al grupo HR­DB.
  • Rechazar todo el tráfico de HR-Web al grupo HR-DB.

Requisitos previos

El clúster de contenedores de Antrea está registrado en NSX.

Procedimiento

  1. Desde su navegador, inicie sesión en NSX Manager en https://dirección-ip-de-nsx-manager.
  2. Haga clic en la pestaña Seguridad y, a continuación, debajo de Administración de directivas, haga clic en Firewall distribuido.
    Se mostrará la página Reglas específicas de la categoría.
  3. Asegúrese de que está en la categoría Aplicación.
  4. Haga clic en Agregar directiva e introduzca un nombre de directiva.
    Por ejemplo, introduzca EnterpriseHRPolicy.
  5. En la categoría Se aplica a de la directiva, seleccione el clúster de contenedores de Antrea donde se ejecutan las cargas de trabajo del pod de la aplicación de recursos humanos de la empresa.
  6. Publique la directiva.
  7. Seleccione el nombre de directiva y haga clic en Agregar regla.
    Configure tres reglas de firewall, como se muestra en la siguiente tabla.
    Nombre de regla Identificador de regla Orígenes Destinos Servicios Se aplica a Acción
    Web a App 1022 HR-Web N/C Cualquiera HR-App Permitir
    App a DB 1023 HR-App N/C Cualquiera HR-DB Permitir
    Web a DB 1024 HR-Web N/C Cualquiera HR-DB Rechazar

    Los identificadores de regla de la tabla son solo valores de ejemplo para este ejemplo. Los identificadores de regla pueden variar en su entorno de NSX.

  8. Publique las reglas.

Resultados

Cuando la directiva se realiza correctamente, se producen los siguientes resultados en el clúster de contenedores de Antrea:
  • Se crea una directiva de red de clúster.
  • Las reglas 1022, 1023 y 1024 se aplican en el clúster de contenedores en ese orden.
  • Para cada regla de firewall, se crea una regla de entrada correspondiente en la directiva de red del clúster.