Vous pouvez ajouter des adresses IP statiques, des critères d'appartenance ou les deux dans des groupes Antrea, puis utiliser ces groupes comme source ou destination des stratégies de pare-feu distribué que vous souhaitez appliquer à un ou plusieurs clusters de conteneurs Antrea.

Conditions préalables

Au moins un cluster de conteneurs Antrea est enregistré dans NSX-T Data Center.

Procédure

  1. À partir de votre navigateur, connectez-vous à un dispositif NSX Manager sur https://nsx-manager-ip-address.
  2. Accédez à Inventaire > Groupes.
    Note : L'interface utilisateur de NSX Manager récupère les informations sur les clusters de conteneurs Antrea enregistrés lorsque vous démarrez l'application NSX Manager dans le navigateur. Si l'interface utilisateur de l'application est déjà ouverte, elle n'extrait pas automatiquement les informations d'enregistrement du cluster de conteneurs Antrea. Ce comportement est normal et conforme à la conception actuelle de l'interface utilisateur. Si vous avez enregistré le premier cluster de conteneurs Antrea après l'ouverture de l'application NSX Manager, assurez-vous d'actualiser le navigateur après avoir accédé à la page Groupes. Une actualisation manuelle permet de s'assurer que l'option de type de groupe Antrea est visible dans l'interface utilisateur lorsque vous atteignez l'étape 5 de cette procédure.

    Cette actualisation manuelle du navigateur n'est requise qu'une seule fois et pas à chaque fois qu'un nouveau cluster de conteneurs Antrea doit être enregistré dans NSX-T Data Center.

  3. Cliquez sur Ajouter un groupe.
  4. Entrez le nom et éventuellement la description du groupe.
  5. Cliquez sur Définir et sélectionnez Antrea comme type de groupe.
    Un groupe Antrea peut inclure des critères d'appartenance, des adresses IP statiques ou les deux. Selon vos besoins, effectuez les étapes 6, 7 ou les deux.
  6. Pour ajouter un critère d'appartenance, cliquez sur Ajouter un critère.
    1. Dans le volet Critère, sélectionnez l'objet de cluster de conteneurs sur lequel vous souhaitez définir la condition.
      Les objets de cluster de conteneurs pris en charge sont : espace de noms, service et espace.
    2. Spécifiez les propriétés de la condition, telles que le nom ou la balise, l'opérateur de balise, l'opérateur d'étendue, si nécessaire.
    3. (Facultatif) Pour ajouter plusieurs conditions dans un critère d'appartenance, cliquez sur l'icône plus dans le coin supérieur droit du volet Critère et définissez les propriétés de la condition.
      Dans un critère d'appartenance, NSX-T joint toutes les conditions à l'opérateur AND, par défaut. L'opérateur OR n'est pas pris en charge.
    4. (Facultatif) Pour ajouter plusieurs critères, cliquez de nouveau sur Ajouter un critère.
      Pour joindre les critères d'appartenance, des opérateurs AND et OR sont disponibles. Par défaut, NSX-T sélectionne l'opérateur OR pour joindre deux critères. L'opérateur AND est pris en charge entre deux critères uniquement lorsque :
      • Les deux critères utilisent le même objet de cluster de conteneurs.
      • Les deux critères utilisent une condition unique.

      Pour plus d'informations sur les éléments pris en charge et non pris en charge pour l'ajout de critères d'appartenance, reportez-vous à la section Groupes Antrea.

  7. Pour ajouter des adresses IP statiques dans le groupe, cliquez sur Adresses IP et entrez des valeurs IP dans la zone de texte.
    Si vous souhaitez importer des valeurs IP à partir d'un fichier TXT ou CSV, cliquez sur Actions > Importer. Les valeurs du fichier doivent être séparées par des virgules. Les valeurs autorisées sont les adresses IP, les plages d'adresses IP ou les adresses IP au format CIDR. Vous pouvez également effectuer une combinaison des deux actions. Autrement dit, entrez des valeurs dans la zone de texte et importez des valeurs à partir d'un fichier. Toutefois, le nombre total de valeurs IP dans la zone de texte ne doit pas dépasser la limite maximale qui s'affiche dans l'onglet Adresses IP.
  8. Cliquez sur Appliquer, puis sur Enregistrer.

Résultats

Le groupe Antrea est enregistré dans NSX-T et l'état devient Réussite.

Note :
  • Les membres effectifs sont calculés pour les groupes Antrea uniquement lorsque les groupes Antrea sont utilisés dans les règles de pare-feu distribué.

    Lorsque vous ajoutez des groupes Antrea avec des critères d'appartenance, mais que vous n'utilisez pas ces groupes dans les règles de pare-feu distribué, les membres effectifs de ces groupes Antrea ne sont ni calculés ni évalués dans NSX-T. En d'autres termes, la page Membres effectifs de ces groupes Antrea est vide.

  • Lorsque vous ajoutez des adresses IP statiques dans des groupes Antrea, les membres effectifs ne s'affichent actuellement pas dans l'interface utilisateur, que les groupes soient ou non utilisés dans les règles de pare-feu distribué.

Exemple : Ajouter un groupe Antrea basé sur des espaces

Supposons que vous souhaitez ajouter un groupe Antrea contenant tous les espaces exécutant les applications financières Revenus, Ventes et Mesures dans tous les espaces de noms du cluster de conteneurs Antrea.

Supposons que les balises suivantes sont attachées à des espaces dans le cluster de conteneurs.
Balise Portée
RevenueApp Finance
SalesApp Finance
MetricsApp Finance

Créez un critère d'appartenance avec trois conditions basées sur l'objet Espace comme suit :

Critère :

La balise d'espace est égale à RevenueApp L'étendue est égale à Finance

La balise d'espace est égale à SalesApp L'étendue est égale à Finance

La balise d'espace est égale à MetricsApp L'étendue est égale à Finance

Par défaut, NSX-T utilise l'opérateur AND après chaque condition. Lorsque ce groupe Antrea est utilisé dans une règle de pare-feu distribué, les membres effectifs de l'espace pour ce groupe sont calculés.

Une fois la stratégie de pare-feu distribué réalisée, accédez à la page Ajouter un groupe. Cliquez sur Afficher les membres pour ce groupe Antrea et vérifiez que les membres effectifs de l'espace s'affichent sur la page Membres effectifs.