Dans cet exemple, votre objectif est de créer une stratégie de pare-feu distribué dans NSX pour sécuriser le trafic d'espace à espace dans l'application de ressources humaines d'entreprise, qui s'exécute dans un cluster Kubernetes Antrea unique.

Supposons que les charges de travail de l'espace dans le cluster Kubernetes Antrea exécutent des microservices Web, d'application et de base de données de l'application des ressources humaines d'entreprise. Vous avez ajouté des groupes Antrea dans votre environnement NSX à l'aide de critères d'appartenance basés sur l'espace, comme indiqué dans le tableau suivant.

Nom de groupe Antrea Critères d'appartenance

HR-Web

La balise d'espace est égale à l'étendue Web est égale à HR

HR-App

La balise d'espace est égale à l'étendue de l'application est égale à HR

HR-DB

La balise d'espace est égale à l'étendue de la base de données est égale à HR

Votre objectif est de créer une stratégie de sécurité dans la catégorie Application avec trois règles de pare-feu, comme suit :
  • Autorisez tout le trafic du groupe HR-Web vers le groupe HR-App.
  • Autorisez tout le trafic du groupe HR-App vers le groupe HR-DB.
  • Refusez tout le trafic entre HR-Web et le groupe HR-DB.

Conditions préalables

  • Un cluster Antrea Kubernetes est enregistré dans NSX.
  • Appliquez une licence de sécurité appropriée dans votre déploiement NSX qui autorise le système à configurer des stratégies de sécurité de pare-feu distribué.

Procédure

  1. À partir de votre navigateur, connectez-vous à un dispositif NSX Manager sur https://nsx-manager-ip-address.
  2. Cliquez sur l'onglet Sécurité, puis sous Gestion des stratégies, cliquez sur Pare-feu distribué.
    La page Règles spécifiques à la catégorie s'affiche.
  3. Assurez-vous que vous êtes dans la catégorie Application.
  4. Cliquez sur Ajouter une stratégie et entrez un nom de stratégie.
    Par exemple, entrez EnterpriseHRPolicy.
  5. Dans le champ Appliqué à de la stratégie, sélectionnez le cluster Kubernetes Antrea sur lequel les charges de travail de l'espace de l'application des ressources humaines d'entreprise s'exécutent.
  6. Publiez la stratégie.
  7. Sélectionnez le nom de la stratégie et cliquez sur Ajouter une règle.
    Configurez trois règles de pare-feu, comme indiqué dans le tableau suivant.
    Nom de la règle ID de la règle Sources Destinations Services Appliqué à Action
    Web-to-App 1022 HR-Web S/O Quelconque HR-App Autoriser
    App-to-DB 1023 HR-App S/O Quelconque HR-DB Autoriser
    Web-to-DB 1024 HR-Web S/O Quelconque HR-DB Rejeter

    Les ID de règle dans le tableau sont uniquement des exemples de valeurs pour cet exemple. Les ID de règle peuvent varier dans votre environnement NSX.

  8. Publiez les règles.

Résultats

Lorsque la stratégie est correctement réalisée, les résultats suivants se produisent dans le cluster Kubernetes Antrea :
  • Une stratégie réseau de cluster Antrea (ACNP) est créée.
  • Les règles 1022, 1023, et 1024 sont appliquées dans le cluster Kubernetes dans cet ordre.
  • Pour chaque règle de pare-feu, une règle d'entrée correspondante est créée dans la stratégie réseau du cluster.