Vous pouvez créer des groupes Antrea uniquement lorsque votre NSX dispose d'un ou de plusieurs clusters de conteneurs Antrea enregistrés sur celui-ci.

Si des clusters de conteneurs Antrea enregistrés sont détectés, NSX Manager affiche un type de groupe distinct appelé Antrea sur la page Ajouter un groupe de l'interface utilisateur. Vous devez sélectionner ce type de groupe pour ajouter des groupes Antrea.

Un groupe Antrea peut inclure des adresses IP statiques, des critères d'appartenance ou les deux. Les adresses IP peuvent être des adresses IP d'espace ou de service.

Lorsqu'un groupe Antrea contient des critères d'appartenance, les membres effectifs calculés par ce critère d'appartenance peuvent uniquement être des espaces.

Note :
  • Les membres effectifs sont calculés pour les groupes Antrea uniquement lorsque les groupes Antrea sont utilisés dans les règles de pare-feu distribué.

    Lorsque vous ajoutez des groupes Antrea avec des critères d'appartenance, mais que vous n'utilisez pas ces groupes dans les règles de pare-feu distribué, les membres effectifs de ces groupes Antrea ne sont ni calculés ni évalués dans NSX. En d'autres termes, la page Membres effectifs de ces groupes Antrea est vide.

  • Lorsque vous ajoutez des adresses IP statiques dans des groupes Antrea, les membres effectifs ne s'affichent actuellement pas dans l'interface utilisateur, que les groupes soient ou non utilisés dans les règles de pare-feu distribué.
Pour ajouter des critères d'appartenance à un groupe Antrea, les objets de cluster de conteneurs (types de membres) suivants sont actuellement pris en charge :
  • Espace de noms
  • Service
  • Espace

Présentation des critères d'appartenance

Vous pouvez ajouter des groupes Antrea avec un seul critère d'appartenance ou plusieurs critères. Un critère d'appartenance se compose d'une ou de plusieurs conditions. Une condition dans un critère d'appartenance se compose des propriétés suivantes :
  • Objet de cluster de conteneurs (également appelé type de membre)
  • Nom de l'objet de cluster de conteneurs ou balise attachée à l'objet conteneur
  • Opérateur et valeur de balise (uniquement lorsque la balise est utilisée)
  • Opérateur et valeur de l'étendue (uniquement lorsque la balise est utilisée)
Les conditions d'un critère d'appartenance peuvent utiliser le même objet de cluster de conteneurs ou un mélange d'objets de cluster de conteneurs différents. Par exemple, si le critère d'appartenance comprend trois conditions, les deux premières conditions peuvent utiliser l'objet Espace, tandis que la troisième condition peut utiliser l'objet Espace de noms. Cependant, certaines restrictions existent pour ajouter plusieurs conditions dans un critère d'appartenance. Reportez-vous à la section « Fonctionnalités prises en charge et non prises en charge » ultérieurement dans cette rubrique.

Par défaut, NSX utilise l'opérateur logique AND après chaque condition dans un critère d'appartenance. Les autres opérateurs logiques ne sont pas pris en charge pour joindre des conditions dans un critère d'appartenance.

Exemples :
Critères d'appartenance Description

Critère 1 :

La balise d'espace est égale à l'étendue de l'application est égale aux serveurs

Le critère d'appartenance se compose d'une seule condition basée sur l'objet Espace. Plusieurs conditions ne sont pas utilisées. Les membres effectifs de ce groupe Antrea incluent tous les espaces disposant de la balise d'application.

Critère 2 :

La balise d'espace est égale à l'étendue de l'application est égale aux serveurs

La balise d'espace est égale à l'étendue de la base de données est égale aux serveurs

La balise d'espace est égale à l'étendue Web est égale aux serveurs

Le critère d'appartenance se compose de trois conditions. Toutes les conditions du critère sont basées sur l'objet Espace. Les membres effectifs de ce groupe Antrea incluent tous les espaces avec les balises Application, Base de données et Web.

Critère 3 :

Le nom de l'espace de noms est égal à la production

Le nom du service est égal au cache

Le critère d'appartenance se compose de deux conditions avec un mélange d'objets d'espace de noms et de service. Les membres effectifs de ce groupe Antrea incluent tous les espaces associés au service nommé Cache dans l'espace de noms de production.

Jonction des critères d'appartenance avec des opérateurs OR, AND

Un groupe Antrea prend en charge plusieurs critères d'appartenance. Pour joindre les critères, des opérateurs OR et AND sont disponibles. Par défaut, NSX sélectionne l'opérateur OR pour joindre plusieurs critères. L'opérateur AND est pris en charge entre deux critères uniquement lorsque :
  • Les deux critères utilisent le même objet de cluster de conteneurs.
  • Les deux critères utilisent une condition unique.
Exemples :
  • Les critères 1, 2 et 3 sont tous basés sur l'objet Espace, et ils ne contiennent pas plusieurs conditions. Dans ce cas, les critères 1 et 2 peuvent être joints à l'opérateur OR ou AND. De même, les critères 2 et 3 peuvent également être joints à l'opérateur OR ou AND.
  • Le critère 1 est basé sur l'objet Espace, tandis que le critère 2 utilise deux conditions : l'une avec l'objet Service et l'autre avec l'objet Espace de noms. Dans ce cas, seul l'opérateur OR est pris en charge pour joindre les critères 1 et 2. L'opérateur AND n'est pas autorisé.
  • Le critère 1 et le critère 2 sont basés sur l'objet Espace, tandis que le critère 3 utilise deux conditions : l'une avec l'objet Service et l'autre avec l'objet Espace de noms. Dans ce cas, les critères 1 et 2 peuvent être joints à l'opérateur AND ou OR. Toutefois, les critères 2 et 3 ne peuvent être joints qu'à l'opérateur OR. L'opérateur AND n'est pas autorisé.

Fonctionnalités prises en charge et non prises en charge

Le tableau suivant répertorie les objets de cluster de conteneurs, l'opérateur de balise et l'opérateur d'étendue qui sont pris en charge pour l'ajout de critères d'appartenance dans des groupes Antrea.
Objet de cluster de conteneurs Attribut d'objet Opérateur de balise Opérateur d'étendue Exemple de critères

Espace de noms

Nom

Est égal à

Non applicable

Le nom de l'espace de noms est égal à la production

Espace de noms

Balise

Est égal à

N'est pas égal à

Est égal à

La balise d'espace de noms est égale à Base de données L'étendue est égale à Serveurs

Service

Nom

Non pris en charge

Non pris en charge

Le nom du service est égal au cache

Espace

Balise

Est égal à

N'est pas égal à

Est égal à

La balise d'espace est égale à l'étendue de l'application est égale aux serveurs

  • Les opérateurs de balise suivants ne sont actuellement pas pris en charge pour les objets d'espace de noms et d'espace :
    • Contient
    • Commence par
    • Se termine par
  • Dans un critère d'appartenance, une condition basée sur l'objet Service doit être combinée à une condition basée sur l'attribut Nom de l'objet Espace de noms. En d'autres termes, un critère avec uniquement l'objet Service n'est pas autorisé.
    Exemple :
    Pris en charge Non pris en charge

    Critère :

    Le nom du service est égal à Mon service

    Le nom de l'espace de noms est égal au Préenrôlement

    Critère :

    Le nom du service est égal à Mon service

  • Dans un critère d'appartenance, une condition basée sur l'objet Service ne peut pas être combinée à une condition basée sur l'objet Espace. Cependant, vous pouvez ajouter les objets de service et d'espace dans deux critères d'appartenance distincts et les joindre à l'opérateur OR.
    Exemple :
    Pris en charge Non pris en charge

    Critère 1 : le nom du service est égal à Mon service

    OU

    Critère 2 : la balise d'espace est égale à Base de données L'étendue est égale à Serveurs

    Critère :

    Le nom du service est égal à Mon service

    La balise d'espace est égale à l'étendue de la base de données est égale aux serveurs

  • Pour l'ajout de membres statiques dans un groupe Antrea, seules les adresses IP sont prises en charge. Les objets du cluster de conteneurs ne peuvent pas être ajoutés en tant que membres statiques dans un groupe Antrea.
  • Lorsque vous ajoutez un groupe Antrea, NSX affiche un message d'information si vous tentez de modifier le type de groupe de Antrea à Générique ou de Antrea à Adresses IP uniquement. Lorsque vous confirmez la modification, tous les critères d'appartenance du groupe sont perdus. Seules les adresses IP sont conservées dans le groupe.

    Une fois qu'un groupe Antrea est réalisé (enregistré) dans NSX, vous ne pouvez pas modifier le type de groupe. Les types de groupes Générique et Adresses IP uniquement sont grisés.

Solution de contournement pour Kubernetes version ≤ 1.20

Le critère de groupe Antrea « Le nom de l'espace de noms est égal à la valeur » fonctionne avec la version Kubernetes ≥ 1.21.

Kubernetes 1.21 ou version ultérieure ajoute automatiquement une étiquette spéciale à tous les espaces de noms et le critère « Le nom de l'espace de noms est égal à la valeur » utilise en interne cette étiquette spéciale. Toutefois, pour Kubernetes version ≤ 1.20, une solution est requise. Vous devez enregistrer le Webhook Contrôleur Antrea sur l'espace de noms créant des événements. Lorsque le Webhook Contrôleur Antrea est appelé, Contrôleur Antrea ajoute une étiquette spéciale au nouvel espace de noms, de sorte que le critère « Le nom de l'espace de noms est égal à la valeur  » peut utiliser cette étiquette. Pour plus d'informations sur l'enregistrement du Webhook Contrôleur Antrea, reportez-vous à l'étape 3 de Envoyer les fichiers YAML au serveur d'API Kubernetes.

Note : Le Webhook Contrôleur Antrea est effectif uniquement pour les nouveaux espaces de noms que vous créez après l'enregistrement du Webhook. En d'autres termes, les espaces de noms existants, tels que kube-system et default n'obtiennent pas l'étiquette spéciale, et le critère « Le nom de l'espace de noms est égal à la valeur » ne fonctionne pas avec ces espaces de noms.