Vous pouvez créer des groupes Antrea uniquement lorsque votre NSX dispose d'un ou de plusieurs clusters de conteneurs Antrea enregistrés sur celui-ci.
Si des clusters de conteneurs Antrea enregistrés sont détectés, NSX Manager affiche un type de groupe distinct appelé Antrea sur la page Ajouter un groupe de l'interface utilisateur. Vous devez sélectionner ce type de groupe pour ajouter des groupes Antrea.
Un groupe Antrea peut inclure des adresses IP statiques, des critères d'appartenance ou les deux. Les adresses IP peuvent être des adresses IP d'espace ou de service.
Lorsqu'un groupe Antrea contient des critères d'appartenance, les membres effectifs calculés par ce critère d'appartenance peuvent uniquement être des espaces.
- Les membres effectifs sont calculés pour les groupes Antrea uniquement lorsque les groupes Antrea sont utilisés dans les règles de pare-feu distribué.
Lorsque vous ajoutez des groupes Antrea avec des critères d'appartenance, mais que vous n'utilisez pas ces groupes dans les règles de pare-feu distribué, les membres effectifs de ces groupes Antrea ne sont ni calculés ni évalués dans NSX. En d'autres termes, la page Membres effectifs de ces groupes Antrea est vide.
- Lorsque vous ajoutez des adresses IP statiques dans des groupes Antrea, les membres effectifs ne s'affichent actuellement pas dans l'interface utilisateur, que les groupes soient ou non utilisés dans les règles de pare-feu distribué.
- Espace de noms
- Service
- Espace
Présentation des critères d'appartenance
- Objet de cluster de conteneurs (également appelé type de membre)
- Nom de l'objet de cluster de conteneurs ou balise attachée à l'objet conteneur
- Opérateur et valeur de balise (uniquement lorsque la balise est utilisée)
- Opérateur et valeur de l'étendue (uniquement lorsque la balise est utilisée)
Par défaut, NSX utilise l'opérateur logique AND après chaque condition dans un critère d'appartenance. Les autres opérateurs logiques ne sont pas pris en charge pour joindre des conditions dans un critère d'appartenance.
- Exemples :
-
Critères d'appartenance Description Critère 1 :
La balise d'espace est égale à l'étendue de l'application est égale aux serveurs
Le critère d'appartenance se compose d'une seule condition basée sur l'objet Espace. Plusieurs conditions ne sont pas utilisées. Les membres effectifs de ce groupe Antrea incluent tous les espaces disposant de la balise d'application.
Critère 2 :
La balise d'espace est égale à l'étendue de l'application est égale aux serveurs
La balise d'espace est égale à l'étendue de la base de données est égale aux serveurs
La balise d'espace est égale à l'étendue Web est égale aux serveurs
Le critère d'appartenance se compose de trois conditions. Toutes les conditions du critère sont basées sur l'objet Espace. Les membres effectifs de ce groupe Antrea incluent tous les espaces avec les balises Application, Base de données et Web.
Critère 3 :
Le nom de l'espace de noms est égal à la production
Le nom du service est égal au cache
Le critère d'appartenance se compose de deux conditions avec un mélange d'objets d'espace de noms et de service. Les membres effectifs de ce groupe Antrea incluent tous les espaces associés au service nommé Cache dans l'espace de noms de production.
Jonction des critères d'appartenance avec des opérateurs OR, AND
- Les deux critères utilisent le même objet de cluster de conteneurs.
- Les deux critères utilisent une condition unique.
- Exemples :
-
- Les critères 1, 2 et 3 sont tous basés sur l'objet Espace, et ils ne contiennent pas plusieurs conditions. Dans ce cas, les critères 1 et 2 peuvent être joints à l'opérateur OR ou AND. De même, les critères 2 et 3 peuvent également être joints à l'opérateur OR ou AND.
- Le critère 1 est basé sur l'objet Espace, tandis que le critère 2 utilise deux conditions : l'une avec l'objet Service et l'autre avec l'objet Espace de noms. Dans ce cas, seul l'opérateur OR est pris en charge pour joindre les critères 1 et 2. L'opérateur AND n'est pas autorisé.
- Le critère 1 et le critère 2 sont basés sur l'objet Espace, tandis que le critère 3 utilise deux conditions : l'une avec l'objet Service et l'autre avec l'objet Espace de noms. Dans ce cas, les critères 1 et 2 peuvent être joints à l'opérateur AND ou OR. Toutefois, les critères 2 et 3 ne peuvent être joints qu'à l'opérateur OR. L'opérateur AND n'est pas autorisé.
Fonctionnalités prises en charge et non prises en charge
Objet de cluster de conteneurs | Attribut d'objet | Opérateur de balise | Opérateur d'étendue | Exemple de critères |
---|---|---|---|---|
Espace de noms |
Nom |
Est égal à |
Non applicable |
Le nom de l'espace de noms est égal à la production |
Espace de noms |
Balise |
Est égal à N'est pas égal à |
Est égal à |
La balise d'espace de noms est égale à Base de données L'étendue est égale à Serveurs |
Service |
Nom |
Non pris en charge |
Non pris en charge |
Le nom du service est égal au cache |
Espace |
Balise |
Est égal à N'est pas égal à |
Est égal à |
La balise d'espace est égale à l'étendue de l'application est égale aux serveurs |
- Les opérateurs de balise suivants ne sont actuellement pas pris en charge pour les objets d'espace de noms et d'espace :
- Contient
- Commence par
- Se termine par
- Dans un critère d'appartenance, une condition basée sur l'objet Service doit être combinée à une condition basée sur l'attribut Nom de l'objet Espace de noms. En d'autres termes, un critère avec uniquement l'objet Service n'est pas autorisé.
- Dans un critère d'appartenance, une condition basée sur l'objet Service ne peut pas être combinée à une condition basée sur l'objet Espace. Cependant, vous pouvez ajouter les objets de service et d'espace dans deux critères d'appartenance distincts et les joindre à l'opérateur OR.
- Exemple :
-
Pris en charge Non pris en charge Critère 1 : le nom du service est égal à Mon service
OU
Critère 2 : la balise d'espace est égale à Base de données L'étendue est égale à Serveurs
Critère :
Le nom du service est égal à Mon service
La balise d'espace est égale à l'étendue de la base de données est égale aux serveurs
- Pour l'ajout de membres statiques dans un groupe Antrea, seules les adresses IP sont prises en charge. Les objets du cluster de conteneurs ne peuvent pas être ajoutés en tant que membres statiques dans un groupe Antrea.
- Lorsque vous ajoutez un groupe Antrea, NSX affiche un message d'information si vous tentez de modifier le type de groupe de Antrea à Générique ou de Antrea à Adresses IP uniquement. Lorsque vous confirmez la modification, tous les critères d'appartenance du groupe sont perdus. Seules les adresses IP sont conservées dans le groupe.
Une fois qu'un groupe Antrea est réalisé (enregistré) dans NSX, vous ne pouvez pas modifier le type de groupe. Les types de groupes Générique et Adresses IP uniquement sont grisés.
Solution de contournement pour Kubernetes version ≤ 1.20
Le critère de groupe Antrea « Le nom de l'espace de noms est égal à la valeur » fonctionne avec la version Kubernetes ≥ 1.21.
Kubernetes 1.21 ou version ultérieure ajoute automatiquement une étiquette spéciale à tous les espaces de noms et le critère « Le nom de l'espace de noms est égal à la valeur » utilise en interne cette étiquette spéciale. Toutefois, pour Kubernetes version ≤ 1.20, une solution est requise. Vous devez enregistrer le Webhook Contrôleur Antrea sur l'espace de noms créant des événements. Lorsque le Webhook Contrôleur Antrea est appelé, Contrôleur Antrea ajoute une étiquette spéciale au nouvel espace de noms, de sorte que le critère « Le nom de l'espace de noms est égal à la valeur » peut utiliser cette étiquette. Pour plus d'informations sur l'enregistrement du Webhook Contrôleur Antrea, reportez-vous à l'étape 3 de Envoyer les fichiers YAML au serveur d'API Kubernetes.
kube-system
et
default
n'obtiennent pas l'étiquette spéciale, et le critère « Le nom de l'espace de noms est égal à la
valeur » ne fonctionne pas avec ces espaces de noms.