Vous pouvez créer des groupes Antrea et les utiliser comme sources ou destinations dans des stratégies de pare-feu distribué pour protéger le trafic entre les espaces dans un cluster Kubernetes Antrea.

Note : Dans un environnement NSX à locataires multiples, les groupes Antrea ne sont actuellement pas pris en charge dans les projets. Vous pouvez ajouter des groupes Antrea uniquement dans la vue Par défaut (espace par défaut) de l'environnement NSX.

La fonctionnalité de groupe Antrea est prise en charge uniquement lorsque votre environnement NSX dispose d'un ou de plusieurs clusters Kubernetes Antrea enregistrés dans celui-ci. Lorsque des clusters Kubernetes Antrea enregistrés sont détectés, NSX Manager affiche un type de groupe distinct appelé Antrea sur la page Ajouter un groupe de l'interface utilisateur. Vous devez sélectionner ce type de groupe pour ajouter des groupes Antrea.

Si votre objectif est de protéger le trafic entre des clusters Antrea Kubernetes et les machines virtuelles dans le réseau de superposition NSX, vous devez créer des groupes Génériques avec des types de membres Kubernetes dans des critères d'appartenance dynamique et utiliser ces groupes dans des règles de pare-feu. Pour plus d'informations, reportez-vous à la section Groupes génériques avec des types de membres Kubernetes dans des critères d'appartenance dynamique.

Un groupe Antrea peut inclure des adresses IP statiques, des critères d'appartenance ou les deux. Les adresses IP peuvent être des adresses IP d'espace ou de service.

Lorsqu'un groupe Antrea contient des critères d'appartenance, les membres effectifs calculés par ce critère d'appartenance peuvent uniquement être des espaces.

Note :
  • Les membres effectifs sont calculés pour les groupes Antrea uniquement lorsque les groupes Antrea sont utilisés dans les règles de pare-feu distribué.

    Lorsque vous ajoutez des groupes Antrea avec des critères d'appartenance, mais que vous n'utilisez pas ces groupes dans les règles de pare-feu distribué, les membres effectifs de ces groupes Antrea ne sont ni calculés ni évalués dans NSX. En d'autres termes, la page Membres effectifs de ces groupes Antrea est vide.

  • Lorsque vous ajoutez des adresses IP statiques dans des groupes Antrea, les membres effectifs ne s'affichent actuellement pas dans l'interface utilisateur, que les groupes soient ou non utilisés dans les règles de pare-feu distribué.
Pour ajouter des critères d'appartenance à un groupe Antrea, les types de membres suivants sont actuellement pris en charge :
  • Espace de noms
  • Service
  • Espace

Présentation des critères d'appartenance

Vous pouvez ajouter des groupes Antrea avec un seul critère d'appartenance ou plusieurs critères. Un critère d'appartenance se compose d'une ou de plusieurs conditions. Une condition dans un critère d'appartenance se compose des propriétés suivantes :
  • Type de membre
  • Nom du type de membre ou balise associée au type de membre
  • Opérateur et valeur de balise (uniquement lorsque la balise est utilisée)
  • Opérateur et valeur de l'étendue (uniquement lorsque la balise est utilisée)
Les conditions d'un critère d'appartenance peuvent utiliser le même type de membre ou un mélange de différents types de membres. Par exemple, si un critère d'appartenance comprend trois conditions, les deux premières conditions peuvent être basées sur l'espace, tandis que la troisième condition peut être basée sur l'espace de noms. Cependant, certaines restrictions existent pour ajouter plusieurs conditions dans un critère d'appartenance. Reportez-vous à la section « Fonctionnalités prises en charge et non prises en charge » ultérieurement dans cette rubrique.

Par défaut, NSX utilise l'opérateur logique AND après chaque condition dans un critère d'appartenance. Les autres opérateurs logiques ne sont pas pris en charge pour joindre des conditions dans un critère d'appartenance.

Exemples :
Critères d'appartenance Description

Critère 1 :

La balise d'espace est égale à l'étendue de l'application est égale aux serveurs

Le critère d'appartenance se compose d'une seule condition basée sur l'espace. Plusieurs conditions ne sont pas utilisées. Les membres effectifs de ce groupe Antrea incluent tous les espaces disposant de la balise d'application.

Critère 2 :

La balise d'espace est égale à l'étendue de l'application est égale aux serveurs

La balise d'espace est égale à l'étendue de la base de données est égale aux serveurs

La balise d'espace est égale à l'étendue Web est égale aux serveurs

Le critère d'appartenance se compose de trois conditions. Toutes les conditions du critère sont basées sur l'espace. Les membres effectifs de ce groupe Antrea incluent tous les espaces avec les balises Application, Base de données et Web.

Critère 3 :

Le nom de l'espace de noms est égal à la production

Le nom du service est égal au cache

Le critère d'appartenance se compose de deux conditions avec un mélange d'espace de noms et de service. Les membres effectifs de ce groupe Antrea incluent tous les espaces associés au service de cache dans l'espace de noms de production.

Jonction des critères d'appartenance avec des opérateurs OR, AND

Un groupe Antrea prend en charge plusieurs critères d'appartenance. Pour joindre les critères, des opérateurs OR et AND sont disponibles. Par défaut, NSX sélectionne l'opérateur OR pour joindre plusieurs critères. L'opérateur AND est pris en charge entre deux critères uniquement lorsque :
  • Les deux critères utilisent le même type de membre.
  • Les deux critères utilisent une condition unique.
Exemples :
  • Les critères 1, 2 et 3 sont tous basés sur l'espace, et ils ne contiennent pas plusieurs conditions. Dans ce cas, les critères 1 et 2 peuvent être joints à l'opérateur OR ou AND. De même, les critères 2 et 3 peuvent également être joints à l'opérateur OR ou AND.
  • Le critère 1 est basé sur l'espace, tandis que le critère 2 utilise deux conditions : l'une avec l'objet Service et l'autre avec l'objet Espace de noms. Dans ce cas, seul l'opérateur OR est pris en charge pour joindre les critères 1 et 2. L'opérateur AND n'est pas autorisé.
  • Critère 1 et critère 2 sont basés sur l'espace, tandis que le critère 3 utilise deux conditions : l'une avec l'objet Service et l'autre avec l'objet Espace de noms. Dans ce cas, les critères 1 et 2 peuvent être joints à l'opérateur AND ou OR. Toutefois, les critères 2 et 3 ne peuvent être joints qu'à l'opérateur OR. L'opérateur AND n'est pas autorisé.

Fonctionnalités prises en charge et non prises en charge

Le tableau suivant répertorie les types de membre, l'opérateur de balise et l'opérateur d'étendue qui sont pris en charge pour l'ajout de critères d'appartenance dans des groupes Antrea.
Type de membre Attribut d'objet Opérateur de balise Opérateur d'étendue Exemple de critères

Espace de noms

Nom

Est égal à

Non applicable

Le nom de l'espace de noms est égal à la production

Espace de noms

Balise

Est égal à

N'est pas égal à

Est égal à

La balise d'espace de noms est égale à Base de données L'étendue est égale à Serveurs

Service

Nom

Non pris en charge

Non pris en charge

Le nom du service est égal au cache

Espace

Balise

Est égal à

N'est pas égal à

Est égal à

La balise d'espace est égale à l'étendue de l'application est égale aux serveurs

  • Les opérateurs de balise suivants ne sont actuellement pas pris en charge pour les types de membre Espace de noms et Espace :
    • Contient
    • Commence par
    • Se termine par
  • Dans un critère d'appartenance, une condition basée sur un service doit être combinée à une condition basée sur l'attribut Nom de l'espace de noms. En d'autres termes, un critère avec uniquement le type de membre Service n'est pas autorisé.
    Exemple :
    Pris en charge Non pris en charge

    Critère :

    Le nom du service est égal à Mon service

    Le nom de l'espace de noms est égal au Préenrôlement

    Critère :

    Le nom du service est égal à Mon service

  • Dans un critère d'appartenance, une condition basée sur un service ne peut pas être combinée à une condition basée sur un espace. Cependant, vous pouvez ajouter des conditions basées sur le service et l'espace dans deux critères d'appartenance distincts et les joindre à un opérateur OR.
    Exemple :
    Pris en charge Non pris en charge

    Critère 1 : le nom du service est égal à Mon service

    OU

    Critère 2 : la balise d'espace est égale à Base de données L'étendue est égale à Serveurs

    Critère :

    Le nom du service est égal à Mon service

    La balise d'espace est égale à l'étendue de la base de données est égale aux serveurs

  • Pour l'ajout de membres de manière statique dans un groupe Antrea, seules les adresses IP sont prises en charge. L'espace de noms, l'espace et le service ne peuvent pas être ajoutés statiquement en tant que membres dans un groupe Antrea.
  • Lorsque vous ajoutez un groupe Antrea, NSX affiche un message d'information si vous tentez de modifier le type de groupe de Antrea à Générique ou de Antrea à Adresses IP uniquement. Lorsque vous confirmez la modification, tous les critères d'appartenance du groupe sont perdus. Seules les adresses IP sont conservées dans le groupe.

    Une fois qu'un groupe Antrea est réalisé (enregistré) dans NSX, vous ne pouvez pas modifier le type de groupe. Les types de groupes Générique et Adresses IP uniquement sont grisés.

Solution de contournement pour Kubernetes version ≤ 1.20

Le critère de groupe Antrea « Le nom de l'espace de noms est égal à la valeur » fonctionne avec la version Kubernetes ≥ 1.21.

Kubernetes 1.21 ou version ultérieure ajoute automatiquement une étiquette spéciale à tous les espaces de noms et le critère « Le nom de l'espace de noms est égal à la valeur » utilise en interne cette étiquette spéciale. Toutefois, pour Kubernetes version ≤ 1.20, une solution est requise. Vous devez enregistrer le Webhook Contrôleur Antrea sur l'espace de noms créant des événements. Lorsque le Webhook Contrôleur Antrea est appelé, Contrôleur Antrea ajoute une étiquette spéciale au nouvel espace de noms, de sorte que le critère « Le nom de l'espace de noms est égal à la valeur  » peut utiliser cette étiquette. Pour plus d'informations sur l'enregistrement du Webhook Contrôleur Antrea, reportez-vous à l'étape 3 de Envoyer les fichiers YAML au serveur d'API Kubernetes.

Note : Le Webhook Contrôleur Antrea est effectif uniquement pour les nouveaux espaces de noms que vous créez après l'enregistrement du Webhook. En d'autres termes, les espaces de noms existants, tels que kube-system et default n'obtiennent pas l'étiquette spéciale, et le critère « Le nom de l'espace de noms est égal à la valeur » ne fonctionne pas avec ces espaces de noms.