Dans cet exemple, votre objectif est de créer une stratégie de pare-feu distribué dans NSX pour sécuriser le trafic d'espace à espace dans l'application de ressources humaines d'entreprise, qui s'exécute dans un cluster Kubernetes Antrea unique.
Supposons que les charges de travail de l'espace dans le cluster Kubernetes Antrea exécutent des microservices Web, d'application et de base de données de l'application des ressources humaines d'entreprise. Vous avez ajouté des groupes Antrea dans votre environnement NSX à l'aide de critères d'appartenance basés sur l'espace, comme indiqué dans le tableau suivant.
Nom de groupe Antrea | Critères d'appartenance |
---|---|
HR-Web |
La balise d'espace est égale à l'étendue Web est égale à HR |
HR-App |
La balise d'espace est égale à l'étendue de l'application est égale à HR |
HR-DB |
La balise d'espace est égale à l'étendue de la base de données est égale à HR |
- Autorisez tout le trafic du groupe HR-Web vers le groupe HR-App.
- Autorisez tout le trafic du groupe HR-App vers le groupe HR-DB.
- Refusez tout le trafic entre HR-Web et le groupe HR-DB.
Conditions préalables
- Un cluster Antrea Kubernetes est enregistré dans NSX.
- Appliquez une licence de sécurité appropriée dans votre déploiement NSX qui autorise le système à configurer des stratégies de sécurité de pare-feu distribué.
Procédure
Résultats
- Une stratégie réseau de cluster Antrea (ACNP) est créée.
- Les règles 1022, 1023, et 1024 sont appliquées dans le cluster Kubernetes dans cet ordre.
- Pour chaque règle de pare-feu, une règle d'entrée correspondante est créée dans la stratégie réseau du cluster.