Vous pouvez exporter les règles de stratégie réseau recommandées associées aux objets Kubernetes au format YAML. VMware Aria Operations for Networks ne prend en charge l'exportation au format YAML que pour les topologies groupées par espace de noms et groupées par service.

Conditions préalables

Procédure

  1. Pour exporter les règles recommandées au format YAML, dans le modèle Planifier la sécurité, sélectionnez le cluster Kubernetes pour lequel vous souhaitez planifier la sécurité et effectuez l'une des étapes suivantes.
    • Développez plus d'options dans le widget Micro-segments et sélectionnez Exporter des règles au format YAML.
    • Sélectionnez un nœud dans la vue de roue du widget Micro-Segments, cliquez sur le nombre de règles de pare-feu recommandées, développez plus d'options et sélectionnez Exporter des règles au format YAML.
    VMware Aria Operations for Networks télécharge un fichier ZIP nommé avec les stratégies réseau Kubernetes et un horodatage qui lui est associé. Si vous décompressez le fichier, vous y trouverez les cinq fichiers CSV suivants, ainsi que plusieurs dossiers, en fonction du nombre de clusters. Chaque dossier contient plusieurs fichiers YAML pour le cluster.
    Nom du fichier Description
    network-policy-others-ipaddress.csv Contient les adresses IP des serveurs physiques et de la machine virtuelle avec lesquels les services ou les espaces de noms communiquent.
    recommended-namespace-labels-to-add.csv Contient les étiquettes à attacher aux espaces associés à l'espace de noms.

    Exemple :

    • Cluster : pdk8s
    • Espace de noms : sock-shop
    • Étiquette : sock-shop-pdk8s
    recommended-service-labels-to-add.csv Contient les étiquettes à attacher aux espaces associés au service.

    Exemple :

    • Cluster : pdk8s
    • Espace de noms : sock-shop
    • Service : frond-end
    • Étiquette : Service:front-sock-shop-pdk8s
    • Cluster : pdk8s
    • Espace de noms : sock-shop
    • Service : user
    • Étiquette : Service:user-sock-shop
    recommended-network-policy.csv Contient toutes les règles recommandées par VMware Aria Operations for Networks.
    exported-network-policy-rule-names.csv Répertorie toutes les stratégies réseau exportées en fonction des règles recommandées.
  2. Pour appliquer les étiquettes de service, procédez comme suit :
    1. Exécutez la commande d'interface de ligne de commande Kubernetes suivante.
      kubectl edit deployment service-name -n namespace-name
      kubectl edit deployment redis-primary -n guestbook
      Le fichier de déploiement du service s'ouvre.
    2. Dans la liste des étiquettes de service, ajoutez l'étiquette qui a été suggérée dans le fichier CSV aux étiquettes mentionnées dans la section de spécifications du déploiement du service.
  3. Pour appliquer les étiquettes d'espace de noms, procédez comme suit :
    1. Exécutez la commande d'interface de ligne de commande Kubernetes suivante.
      kubectl edit namespace namespace-name
      kubectl edit namespace guestbook
      Le fichier de déploiement de l'espace de noms s'ouvre.
    2. Dans les métadonnées, ajoutez l'étiquette qui a été suggérée dans le fichier CSV aux étiquettes mentionnées dans la section spec du déploiement de l'espace de noms.
  4. Exécutez la commande suivante pour vérifier si les étiquettes sont appliquées aux espaces.
    kubectl get pods -n namespace-name--show-labels
    kubectl get pods guestbook--show-labels
    Les étiquettes s'affichent dans la vue des résultats.
    Note : Les étiquettes ne sont pas reflétées sur les espaces lorsque vous les appliquez à l'espace de noms.
  5. Pour créer les stratégies réseau, copiez les fichiers YAML à partir du dossier de cluster approprié vers un autre dossier et exécutez l'une des commandes suivantes :
    • kubectl apply -f <folder-name>/ - pour appliquer toutes les règles de pare-feu à la fois.
    • kubectl apply -f <folder-name>/<firewall-rule>.yaml - pour appliquer les règles de pare-feu une par une