Vous pouvez ajouter des adresses IP statiques, des critères d'appartenance ou les deux dans des groupes Antrea, puis utiliser ces groupes comme source ou destination des stratégies de pare-feu distribué que vous créez pour protéger le trafic dans un cluster Antrea Kubernetes.
Conditions préalables
Au moins un cluster Antrea Kubernetes est enregistré dans NSX.
Procédure
- À partir de votre navigateur, connectez-vous à une instance de NSX Manager sur https://nsx-manager-ip-address.
- Accédez à .
Note : L'interface utilisateur de
NSX Manager récupère les informations sur les clusters
Antrea Kubernetes enregistrés lorsque vous démarrez l'application
NSX Manager dans le navigateur. Si l'interface utilisateur de l'application est déjà ouverte, elle n'extrait pas automatiquement les informations d'enregistrement du cluster
Antrea Kubernetes. Ce comportement est normal et conforme à la conception actuelle de l'interface utilisateur. Si vous avez enregistré le premier cluster Kubernetes
Antrea après l'ouverture de l'application
NSX Manager, assurez-vous d'actualiser le navigateur après avoir accédé à la page
Groupes. Une actualisation manuelle permet de s'assurer que l'option de type de groupe
Antrea est visible dans l'interface utilisateur lorsque vous atteignez l'étape 5 de cette procédure.
Cette actualisation manuelle du navigateur n'est requise qu'une seule fois et pas à chaque fois qu'un nouveau cluster Antrea Kubernetes doit être enregistré dans NSX.
- Cliquez sur Ajouter un groupe.
- Entrez le nom et éventuellement la description du groupe.
- Cliquez sur Définir et sélectionnez Antrea comme type de groupe.
Un groupe
Antrea peut inclure des critères d'appartenance, des adresses IP statiques ou les deux. Selon vos besoins, effectuez les étapes 6, 7 ou les deux.
- Pour ajouter un critère d'appartenance, cliquez sur Ajouter un critère.
- Dans le volet Critère, sélectionnez le type de membre sur lequel vous souhaitez définir la condition.
Les types de membre pris en charge sont : espace de noms, service et espace.
- Spécifiez les propriétés de la condition, telles que le nom ou la balise, l'opérateur de balise, l'opérateur d'étendue, si nécessaire.
- (Facultatif) Pour ajouter plusieurs conditions dans un critère d'appartenance, cliquez sur l'icône plus dans le coin supérieur droit du volet Critère et définissez les propriétés de la condition.
Dans un critère d'appartenance,
NSX joint toutes les conditions à l'opérateur AND, par défaut. L'opérateur OR n'est pas pris en charge.
- (Facultatif) Pour ajouter plusieurs critères, cliquez de nouveau sur Ajouter un critère.
Pour joindre les critères d'appartenance, des opérateurs AND et OR sont disponibles. Par défaut,
NSX sélectionne l'opérateur OR pour joindre deux critères. L'opérateur AND est pris en charge entre deux critères uniquement lorsque :
- Les deux critères utilisent le même type de membre.
- Les deux critères utilisent une condition unique.
Pour plus d'informations sur les éléments pris en charge et non pris en charge pour l'ajout de critères d'appartenance, reportez-vous à la section Groupes Antrea.
- Pour ajouter des adresses IP statiques dans le groupe, cliquez sur Adresses IP et entrez des valeurs IP dans la zone de texte.
Si vous souhaitez importer des valeurs IP à partir d'un fichier TXT ou CSV, cliquez sur
. Les valeurs du fichier doivent être séparées par des virgules. Les valeurs autorisées sont les adresses IP, les plages d'adresses IP ou les adresses IP au format CIDR. Vous pouvez également effectuer une combinaison des deux actions. Autrement dit, entrez des valeurs dans la zone de texte et importez des valeurs à partir d'un fichier. Toutefois, le nombre total de valeurs IP dans la zone de texte ne doit pas dépasser la limite maximale qui s'affiche dans l'onglet
Adresses IP.
- Cliquez sur Appliquer, puis sur Enregistrer.
Résultats
Le groupe Antrea est enregistré dans NSX et l'état devient Réussite.
Note :
- Les membres effectifs sont calculés pour les groupes Antrea uniquement lorsque les groupes Antrea sont utilisés dans les règles de pare-feu distribué.
Lorsque vous ajoutez des groupes Antrea avec des critères d'appartenance, mais que vous n'utilisez pas ces groupes dans les règles de pare-feu distribué, les membres effectifs de ces groupes Antrea ne sont ni calculés ni évalués dans NSX. En d'autres termes, la page Membres effectifs de ces groupes Antrea est vide.
- Lorsque vous ajoutez des adresses IP statiques dans des groupes Antrea, les membres effectifs ne s'affichent actuellement pas dans l'interface utilisateur, que les groupes soient ou non utilisés dans les règles de pare-feu distribué.
Exemple : Ajouter un groupe Antrea basé sur des espaces
Supposons que vous souhaitez ajouter un groupe Antrea contenant tous les espaces exécutant les applications financières Revenus, Ventes et Mesures dans tous les espaces de noms du cluster Kubernetes Antrea.
Supposons que les balises suivantes sont attachées à des espaces dans le cluster
Antrea Kubernetes.
Balise |
Portée |
RevenueApp |
Finance |
SalesApp |
Finance |
MetricsApp |
Finance |
Créez un critère d'appartenance avec trois conditions basées sur le type de membre Espace comme suit :
Critère :
La balise d'espace est égale à RevenueApp L'étendue est égale à Finance
La balise d'espace est égale à SalesApp L'étendue est égale à Finance
La balise d'espace est égale à MetricsApp L'étendue est égale à Finance
Par défaut, NSX utilise l'opérateur AND après chaque condition. Lorsque ce groupe Antrea est utilisé dans une règle de pare-feu distribué, les membres effectifs de l'espace pour ce groupe sont calculés.
Une fois la stratégie de pare-feu distribué réalisée, accédez à la page Ajouter un groupe. Cliquez sur Afficher les membres pour ce groupe Antrea et vérifiez que les membres effectifs de l'espace s'affichent sur la page Membres effectifs.