Dans cet exemple, votre objectif est de créer une stratégie de pare-feu distribué dans NSX pour sécuriser le trafic d'espace à espace dans l'application de ressources humaines d'entreprise, qui s'exécute dans un cluster de conteneurs Antrea unique.

Supposons que les charges de travail de l'espace dans le cluster de conteneurs Antrea exécutent des microservices Web, d'application et de base de données de l'application des ressources humaines d'entreprise. Vous avez ajouté des groupes Antrea dans votre environnement NSX à l'aide de critères d'appartenance basés sur l'espace, comme indiqué dans le tableau suivant.

Nom de groupe Antrea Critères d'appartenance

HR-Web

La balise d'espace est égale à l'étendue Web est égale à HR

HR-App

La balise d'espace est égale à l'étendue de l'application est égale à HR

HR-DB

La balise d'espace est égale à l'étendue de la base de données est égale à HR
Votre objectif est de créer une stratégie de sécurité dans la catégorie Application avec trois règles de pare-feu, comme suit :
  • Autorisez tout le trafic du groupe HR-Web vers le groupe HR-App.
  • Autorisez tout le trafic du groupe HR-App vers le groupe HR-DB.
  • Refusez tout le trafic entre HR-Web et le groupe HR-DB.

Conditions préalables

Le cluster de conteneurs Antrea doit être enregistré dans NSX.

Procédure

  1. À partir de votre navigateur, connectez-vous à un dispositif NSX Manager sur https://nsx-manager-ip-address.
  2. Cliquez sur l'onglet Sécurité, puis sous Gestion des stratégies, cliquez sur Pare-feu distribué.
    La page Règles spécifiques à la catégorie s'affiche.
  3. Assurez-vous que vous êtes dans la catégorie Application.
  4. Cliquez sur Ajouter une stratégie et entrez un nom de stratégie.
    Par exemple, entrez EnterpriseHRPolicy.
  5. Dans le champ Appliqué à de la stratégie, sélectionnez le cluster de conteneurs Antrea sur lequel les charges de travail de l'espace de l'application des ressources humaines d'entreprise s'exécutent.
  6. Publiez la stratégie.
  7. Sélectionnez le nom de la stratégie et cliquez sur Ajouter une règle.
    Configurez trois règles de pare-feu, comme indiqué dans le tableau suivant.
    Nom de la règle ID de la règle Sources Destinations Services Appliqué à Action
    Web-to-App 1022 HR-Web S/O Quelconque HR-App Autoriser
    App-to-DB 1023 HR-App S/O Quelconque HR-DB Autoriser
    Web-to-DB 1024 HR-Web S/O Quelconque HR-DB Refuser

    Les ID de règle dans le tableau sont uniquement des exemples de valeurs pour cet exemple. Les ID de règle peuvent varier dans votre environnement NSX.

  8. Publiez les règles.

Résultats

Lorsque la stratégie est correctement réalisée, les résultats suivants se produisent dans le cluster de conteneurs Antrea :
  • Une stratégie réseau de cluster est créée.
  • Les règles 1022, 1023 et 1024 sont appliquées dans le cluster de conteneurs dans cet ordre.
  • Pour chaque règle de pare-feu, une règle d'entrée correspondante est créée dans la stratégie réseau du cluster.