Exemple : ajouter une stratégie de pare-feu distribué pour sécuriser le trafic dans un cluster Kubernetes Antrea

Dans cet exemple, votre objectif est de créer une stratégie de pare-feu distribué dans NSX pour sécuriser le trafic d'espace à espace dans l'application de ressources humaines d'entreprise, qui s'exécute dans un cluster Kubernetes Antrea unique.

Supposons que les charges de travail de l'espace dans le cluster Kubernetes Antrea exécutent des microservices Web, d'application et de base de données de l'application des ressources humaines d'entreprise. Vous avez ajouté des groupes Antrea dans votre environnement NSX à l'aide de critères d'appartenance basés sur l'espace, comme indiqué dans le tableau suivant.

Nom de groupe Antrea	Critères d'appartenance
HR-Web	La balise d'espace est égale à l'étendue Web est égale à HR
HR-App	La balise d'espace est égale à l'étendue de l'application est égale à HR
HR-DB	La balise d'espace est égale à l'étendue de la base de données est égale à HR

Votre objectif est de créer une stratégie de sécurité dans la catégorie Application avec trois règles de pare-feu, comme suit :

Autorisez tout le trafic du groupe HR-Web vers le groupe HR-App.
Autorisez tout le trafic du groupe HR-App vers le groupe HR-DB.
Refusez tout le trafic entre HR-Web et le groupe HR-DB.

Conditions préalables

Un cluster Antrea Kubernetes est enregistré dans NSX.
Appliquez une licence de sécurité appropriée dans votre déploiement NSX qui autorise le système à configurer des stratégies de sécurité de pare-feu distribué.

Procédure

À partir de votre navigateur, connectez-vous à un dispositif NSX Manager sur https://nsx-manager-ip-address.
Cliquez sur l'onglet Sécurité, puis sous Gestion des stratégies, cliquez sur Pare-feu distribué.
La page Règles spécifiques à la catégorie s'affiche.
Assurez-vous que vous êtes dans la catégorie Application.
Cliquez sur Ajouter une stratégie et entrez un nom de stratégie.
Par exemple, entrez EnterpriseHRPolicy.
Dans le champ Appliqué à de la stratégie, sélectionnez le cluster Kubernetes Antrea sur lequel les charges de travail de l'espace de l'application des ressources humaines d'entreprise s'exécutent.
Publiez la stratégie.

Sélectionnez le nom de la stratégie et cliquez sur Ajouter une règle.

Configurez trois règles de pare-feu, comme indiqué dans le tableau suivant.


Nom de la règle	ID de la règle	Sources	Destinations	Services	Appliqué à	Action
Web-to-App	1022	HR-Web	S/O	Quelconque	HR-App	Autoriser
App-to-DB	1023	HR-App	S/O	Quelconque	HR-DB	Autoriser
Web-to-DB	1024	HR-Web	S/O	Quelconque	HR-DB	Rejeter

Les ID de règle dans le tableau sont uniquement des exemples de valeurs pour cet exemple. Les ID de règle peuvent varier dans votre environnement NSX.

Publiez les règles.

Résultats

Lorsque la stratégie est correctement réalisée, les résultats suivants se produisent dans le cluster Kubernetes Antrea :

Une stratégie réseau de cluster Antrea (ACNP) est créée.
Les règles 1022, 1023, et 1024 sont appliquées dans le cluster Kubernetes dans cet ordre.
Pour chaque règle de pare-feu, une règle d'entrée correspondante est créée dans la stratégie réseau du cluster.