Puede agregar direcciones IP estáticas, criterios de pertenencia o ambos en grupos de Antrea y, a continuación, utilizar estos grupos como origen o destino de las directivas de firewall distribuido que cree para proteger el tráfico en un clúster de Antrea Kubernetes.

Requisitos previos

Al menos un clúster de Antrea Kubernetes está registrado en NSX.

Procedimiento

  1. Desde su navegador, inicie sesión en NSX Manager en https://dirección-ip-de-nsx-manager.
  2. Desplácese hasta Inventario > Grupos.
    Nota: La interfaz de usuario de NSX Manager recupera la información sobre los clústeres de Antrea Kubernetes registrados cuando se inicia la aplicación de NSX Manager en el navegador. Si la interfaz de usuario de la aplicación ya está abierta, no recuperará la información de registro del clúster de Antrea Kubernetes automáticamente. Este comportamiento es el esperado según el diseño de la interfaz de usuario actual. Si registró el primer clúster de Antrea Kubernetes después de abrir la aplicación de NSX Manager, asegúrese de actualizar el navegador después de desplazarse hasta la página Grupos. Una actualización manual garantiza que la opción de tipo de grupo Antrea esté visible en la interfaz de usuario cuando llegue al paso 5 de este procedimiento.

    Esta actualización manual del navegador solo es necesaria una vez, y no cada vez que se registra un nuevo clúster de Antrea Kubernetes en NSX.

  3. Haga clic en Agregar grupo.
  4. Introduzca un nombre y, si lo desea, una descripción para el grupo.
  5. Haga clic en Establecer y seleccione Antrea como tipo de grupo.
    Un grupo de Antrea puede incluir criterios de pertenencia, direcciones IP estáticas o ambos. Según sus requisitos, realice los pasos 6, 7 o ambos.
  6. Para agregar un criterio de pertenencia, haga clic en Agregar criterio.
    1. En el panel Criterio, seleccione el tipo de miembro en el que desea definir la condición.
      Los tipos de miembro admitidos son: Espacio de nombres, Servicio y Pod.
    2. Según sea necesario, especifique las propiedades de la condición, como Nombre o Etiqueta, Operador de etiqueta y Operador de ámbito.
    3. (opcional) Para agregar más de una condición a un criterio de pertenencia, haga clic en el icono de signo más situado en la esquina superior derecha del panel Criterio y defina las propiedades de la condición.
      En un criterio de pertenencia, NSX une todas las condiciones con el operador AND de forma predeterminada. No se admite el operador OR.
    4. (opcional) Para agregar varios criterios, haga clic en Agregar criterio de nuevo.
      Para unir criterios de pertenencia, están disponibles los operadores AND y OR. De forma predeterminada, NSX selecciona el operador OR para unir dos criterios. El operador AND se admite entre dos criterios solo cuando:
      • Ambos criterios utilizan el mismo tipo de miembro.
      • Ambos criterios utilizan una sola condición.

      Para obtener más información sobre lo que se admite y no a la hora de agregar criterios de pertenencia, consulte Antrea grupos.

  7. Para agregar direcciones IP estáticas al grupo, haga clic en Direcciones IP e introduzca los valores de IP en el cuadro de texto.
    Si desea importar valores de IP desde un archivo TXT o CSV, haga clic en Acciones > Importar. Los valores del archivo deben estar separados por comas. Los valores permitidos son direcciones IP, rangos de IP o direcciones IP en formato CIDR. También puede realizar una combinación de ambas acciones. Es decir, introduzca los valores en el cuadro de texto e importe los valores desde un archivo. Sin embargo, el número total de valores de IP en el cuadro de texto no debe superar el límite máximo que se muestra en la pestaña Direcciones IP.
  8. Haga clic en Aplicar y, a continuación, en Guardar.

Resultados

El grupo de Antrea se guarda en NSX y el estado cambia a Correcto.

Nota:
  • Los miembros efectivos se calculan para grupos de Antrea solo cuando los grupos de Antrea se utilizan en reglas de firewall distribuido.

    Si agregan grupos de Antrea con criterios de pertenencia, pero no se utilizan en ninguna de las reglas de firewall distribuido, los miembros efectivos de estos grupos de Antrea no se calculan ni se evalúan en NSX. En otras palabras, la página Miembros efectivos de estos grupos de Antrea está vacía.

  • Cuando se agregan direcciones IP estáticas a grupos de Antrea, los miembros efectivos actualmente no se muestran en la interfaz de usuario, independientemente de si los grupos se utilizan en reglas de firewall distribuido.

Ejemplo: Agregar un grupo de Antrea basado en pods

Supongamos que desea agregar un grupo de Antrea que contiene todos los pods que ejecutan las aplicaciones financieras Ingresos, Ventas y Métricas en todos los espacios de nombres del clúster de Antrea Kubernetes.

Tenga en cuenta que las siguientes etiquetas están asociadas a los pods del clúster de Antrea Kubernetes.
Etiqueta Ámbito
RevenueApp Finanzas
SalesApp Finanzas
MetricsApp Finanzas

Cree un criterio de pertenencia con tres condiciones basadas en el tipo de miembro Pod de la siguiente forma:

Criterio:

Etiqueta Pod es igual a Ámbito de RevenueApp es igual a Finanzas

Etiqueta Pod es igual a Ámbito de SalesApp es igual a Finanzas

Etiqueta Pod es igual a Ámbito de MetricsApp es igual a Finanzas

De forma predeterminada, NSX utiliza el operador AND después de cada condición. Cuando se utiliza este grupo de Antrea en una regla de firewall distribuido, se calculan los miembros efectivos del pod de este grupo.

Una vez realizada la directiva de firewall distribuido, vaya a la página Agregar grupo. Haga clic en Ver miembros para este grupo de Antrea y compruebe que los miembros efectivos del pod se muestren en la página Miembros efectivos.