Para proteger el tráfico entre los pods de un clúster de Antrea Kubernetes, puede crear directivas de firewall distribuido (directivas de seguridad) en NSX y aplicarlas a uno o varios clústeres de Antrea Kubernetes.
La interfaz de usuario utiliza el término "clúster de contenedores de Antrea" para algunos campos o etiquetas. En la sección Procedimiento de esta documentación, el término "clúster de contenedores de Antrea" se conserva para esos campos o etiquetas de la interfaz de usuario. Para todo el texto libre, se utiliza el término "clúster de Antrea Kubernetes".
Requisitos previos
- Los clústeres de Antrea Kubernetes se registran en NSX.
- Aplique una licencia de seguridad adecuada en su implementación de NSX que autorice al sistema a configurar directivas de seguridad de firewall distribuido.
Procedimiento
Resultados
- El complemento de red de Antrea crea una directiva de red de clúster correspondiente a cada directiva de firewall distribuido que se aplica a los clústeres de Antrea Kubernetes.
- Si las reglas contienen orígenes, se crearán las correspondientes reglas de entrada en Directiva de red de clústeres de Antrea.
- Si las reglas contienen destinos, se crearán las correspondientes reglas de salida en Directiva de red de clústeres de Antrea.
- Si las reglas contienen una configuración Cualquiera-Cualquiera, Controlador Antrea en el clúster dividirá la regla Cualquiera-Cualquiera en dos reglas: una regla de entrada con Cualquiera a Cualquiera y otra regla de salida con Cualquiera a Cualquiera.
Qué hacer a continuación
Una vez que las directivas de seguridad se han realizado correctamente en los clústeres de Antrea Kubernetes, puede realizar las siguientes tareas opcionales:
- Compruebe que las directivas de red de clúster de Antrea se muestren en los clústeres de Kubernetes. Ejecute el siguiente comando kubectl en cada clúster de Antrea Kubernetes:
$ kubectl get acnp
Nota: El parámetro priority de las directivas de red de clúster de Antrea muestra un valor flotante. Este resultado es el esperado. La interfaz de usuario de NSX Manager no muestra la prioridad de las directivas de firewall distribuido. NSX asigna internamente un valor entero a la prioridad de cada directiva. Este valor entero se asigna desde un rango grande. Sin embargo, el complemento de red de Antrea asigna un número flotante más pequeño (valor absoluto) a la prioridad de directivas de red de clúster de Antrea. Por lo tanto, los valores de prioridad de NSX se normalizan internamente a números flotantes más pequeños. Sin embargo, el orden en el que se agregan las directivas en una categoría de firewall distribuido se conserva para las directivas de red de clúster de Antrea.También puede ver los detalles de las directivas de red de clúster de Antrea en el inventario de NSX. En NSX Manager, vaya a . Expanda el nombre del clúster y haga clic en el número junto a Directivas de red de clúster para ver los detalles de las directivas, incluidas las especificaciones de YAML.
- Consulte las estadísticas de directivas mediante la API de NSX:
GET https://{nsx-mgr-ip}/api/v1/infra/domains{domain-id}/security-policies/{security-policy-name}/statistics?container_cluster_path=/infra/sites/{site-id}/enforcement-points/{enforcement-point-id}/cluster-control-planes/{cluster-name}
- Ver estadísticas de reglas de tiempo de ejecución en la interfaz de usuario:
- En NSX Manager, desplácese hasta .
- Expanda el nombre de la directiva y, a continuación, haga clic en el icono de gráfico en la esquina superior derecha de cada regla.
- Seleccione el clúster de Kubernetes en el menú desplegable para ver las estadísticas de reglas de cada clúster de Kubernetes.
Las estadísticas de la regla se calculan por separado para cada clúster de Kubernetes en el que se aplica la regla. Las estadísticas no se agregan para todos los clústeres de Kubernetes y se muestran en la interfaz de usuario. Las estadísticas de reglas se calculan cada minuto.