Vous pouvez créer des groupes Antrea et les utiliser comme sources ou destinations dans des stratégies de pare-feu distribué pour protéger le trafic entre les espaces dans un cluster Kubernetes Antrea.
La fonctionnalité de groupe Antrea est prise en charge uniquement lorsque votre environnement NSX dispose d'un ou de plusieurs clusters Kubernetes Antrea enregistrés dans celui-ci. Lorsque des clusters Kubernetes Antrea enregistrés sont détectés, NSX Manager affiche un type de groupe distinct appelé Antrea sur la page Ajouter un groupe de l'interface utilisateur. Vous devez sélectionner ce type de groupe pour ajouter des groupes Antrea.
Si votre objectif est de protéger le trafic entre des clusters Antrea Kubernetes et les machines virtuelles dans le réseau de superposition NSX, vous devez créer des groupes Génériques avec des types de membres Kubernetes dans des critères d'appartenance dynamique et utiliser ces groupes dans des règles de pare-feu. Pour plus d'informations, reportez-vous à la section Groupes génériques avec des types de membres Kubernetes dans des critères d'appartenance dynamique.
Un groupe Antrea peut inclure des adresses IP statiques, des critères d'appartenance ou les deux. Les adresses IP peuvent être des adresses IP d'espace ou de service.
Lorsqu'un groupe Antrea contient des critères d'appartenance, les membres effectifs calculés par ce critère d'appartenance peuvent uniquement être des espaces.
- Les membres effectifs sont calculés pour les groupes Antrea uniquement lorsque les groupes Antrea sont utilisés dans les règles de pare-feu distribué.
Lorsque vous ajoutez des groupes Antrea avec des critères d'appartenance, mais que vous n'utilisez pas ces groupes dans les règles de pare-feu distribué, les membres effectifs de ces groupes Antrea ne sont ni calculés ni évalués dans NSX. En d'autres termes, la page Membres effectifs de ces groupes Antrea est vide.
- Lorsque vous ajoutez des adresses IP statiques dans des groupes Antrea, les membres effectifs ne s'affichent actuellement pas dans l'interface utilisateur, que les groupes soient ou non utilisés dans les règles de pare-feu distribué.
- Espace de noms
- Service
- Espace
Présentation des critères d'appartenance
- Type de membre
- Nom du type de membre ou balise associée au type de membre
- Opérateur et valeur de balise (uniquement lorsque la balise est utilisée)
- Opérateur et valeur de l'étendue (uniquement lorsque la balise est utilisée)
Par défaut, NSX utilise l'opérateur logique AND après chaque condition dans un critère d'appartenance. Les autres opérateurs logiques ne sont pas pris en charge pour joindre des conditions dans un critère d'appartenance.
- Exemples :
-
Critères d'appartenance Description Critère 1 :
La balise d'espace est égale à l'étendue de l'application est égale aux serveurs
Le critère d'appartenance se compose d'une seule condition basée sur l'espace. Plusieurs conditions ne sont pas utilisées. Les membres effectifs de ce groupe Antrea incluent tous les espaces disposant de la balise d'application.
Critère 2 :
La balise d'espace est égale à l'étendue de l'application est égale aux serveurs
La balise d'espace est égale à l'étendue de la base de données est égale aux serveurs
La balise d'espace est égale à l'étendue Web est égale aux serveurs
Le critère d'appartenance se compose de trois conditions. Toutes les conditions du critère sont basées sur l'espace. Les membres effectifs de ce groupe Antrea incluent tous les espaces avec les balises Application, Base de données et Web.
Critère 3 :
Le nom de l'espace de noms est égal à la production
Le nom du service est égal au cache
Le critère d'appartenance se compose de deux conditions avec un mélange d'espace de noms et de service. Les membres effectifs de ce groupe Antrea incluent tous les espaces associés au service de cache dans l'espace de noms de production.
Jonction des critères d'appartenance avec des opérateurs OR, AND
- Les deux critères utilisent le même type de membre.
- Les deux critères utilisent une condition unique.
- Exemples :
-
- Les critères 1, 2 et 3 sont tous basés sur l'espace, et ils ne contiennent pas plusieurs conditions. Dans ce cas, les critères 1 et 2 peuvent être joints à l'opérateur OR ou AND. De même, les critères 2 et 3 peuvent également être joints à l'opérateur OR ou AND.
- Le critère 1 est basé sur l'espace, tandis que le critère 2 utilise deux conditions : l'une avec l'objet Service et l'autre avec l'objet Espace de noms. Dans ce cas, seul l'opérateur OR est pris en charge pour joindre les critères 1 et 2. L'opérateur AND n'est pas autorisé.
- Critère 1 et critère 2 sont basés sur l'espace, tandis que le critère 3 utilise deux conditions : l'une avec l'objet Service et l'autre avec l'objet Espace de noms. Dans ce cas, les critères 1 et 2 peuvent être joints à l'opérateur AND ou OR. Toutefois, les critères 2 et 3 ne peuvent être joints qu'à l'opérateur OR. L'opérateur AND n'est pas autorisé.
Fonctionnalités prises en charge et non prises en charge
Type de membre | Attribut d'objet | Opérateur de balise | Opérateur d'étendue | Exemple de critères |
---|---|---|---|---|
Espace de noms |
Nom |
Est égal à |
Non applicable |
Le nom de l'espace de noms est égal à la production |
Espace de noms |
Balise |
Est égal à N'est pas égal à |
Est égal à |
La balise d'espace de noms est égale à Base de données L'étendue est égale à Serveurs |
Service |
Nom |
Non pris en charge |
Non pris en charge |
Le nom du service est égal au cache |
Espace |
Balise |
Est égal à N'est pas égal à |
Est égal à |
La balise d'espace est égale à l'étendue de l'application est égale aux serveurs |
- Les opérateurs de balise suivants ne sont actuellement pas pris en charge pour les types de membre Espace de noms et Espace :
- Contient
- Commence par
- Se termine par
- Dans un critère d'appartenance, une condition basée sur un service doit être combinée à une condition basée sur l'attribut Nom de l'espace de noms. En d'autres termes, un critère avec uniquement le type de membre Service n'est pas autorisé.
- Dans un critère d'appartenance, une condition basée sur un service ne peut pas être combinée à une condition basée sur un espace. Cependant, vous pouvez ajouter des conditions basées sur le service et l'espace dans deux critères d'appartenance distincts et les joindre à un opérateur OR.
- Exemple :
-
Pris en charge Non pris en charge Critère 1 : le nom du service est égal à Mon service
OU
Critère 2 : la balise d'espace est égale à Base de données L'étendue est égale à Serveurs
Critère :
Le nom du service est égal à Mon service
La balise d'espace est égale à l'étendue de la base de données est égale aux serveurs
- Pour l'ajout de membres de manière statique dans un groupe Antrea, seules les adresses IP sont prises en charge. L'espace de noms, l'espace et le service ne peuvent pas être ajoutés statiquement en tant que membres dans un groupe Antrea.
- Lorsque vous ajoutez un groupe Antrea, NSX affiche un message d'information si vous tentez de modifier le type de groupe de Antrea à Générique ou de Antrea à Adresses IP uniquement. Lorsque vous confirmez la modification, tous les critères d'appartenance du groupe sont perdus. Seules les adresses IP sont conservées dans le groupe.
Une fois qu'un groupe Antrea est réalisé (enregistré) dans NSX, vous ne pouvez pas modifier le type de groupe. Les types de groupes Générique et Adresses IP uniquement sont grisés.
Solution de contournement pour Kubernetes version ≤ 1.20
Le critère de groupe Antrea « Le nom de l'espace de noms est égal à la valeur » fonctionne avec la version Kubernetes ≥ 1.21.
Kubernetes 1.21 ou version ultérieure ajoute automatiquement une étiquette spéciale à tous les espaces de noms et le critère « Le nom de l'espace de noms est égal à la valeur » utilise en interne cette étiquette spéciale. Toutefois, pour Kubernetes version ≤ 1.20, une solution est requise. Vous devez enregistrer le Webhook Contrôleur Antrea sur l'espace de noms créant des événements. Lorsque le Webhook Contrôleur Antrea est appelé, Contrôleur Antrea ajoute une étiquette spéciale au nouvel espace de noms, de sorte que le critère « Le nom de l'espace de noms est égal à la valeur » peut utiliser cette étiquette. Pour plus d'informations sur l'enregistrement du Webhook Contrôleur Antrea, reportez-vous à l'étape 3 de Envoyer les fichiers YAML au serveur d'API Kubernetes.
kube-system
et
default
n'obtiennent pas l'étiquette spéciale, et le critère « Le nom de l'espace de noms est égal à la
valeur » ne fonctionne pas avec ces espaces de noms.