Vous pouvez définir des critères d'appartenance pour ajouter des membres dynamiquement dans un groupe NSX en fonction d'un ou de plusieurs critères.

Un critère peut avoir une ou plusieurs conditions. Les conditions peuvent utiliser le même type de membre ou un mélange de différents types de membres.

Certaines restrictions s'appliquent à l'ajout de plusieurs conditions avec des types de membres NSX ou Kubernetes mixtes dans un critère d'appartenance. Reportez-vous à la section Restrictions pour les critères comprenant des types de membres NSX mixtes et à la section Restrictions pour les critères avec des types de membres Kubernetes mixtes plus loin dans cette documentation.

Par défaut, NSX utilise l'opérateur logique AND après chaque condition dans un critère d'appartenance. Les autres opérateurs logiques ne sont pas pris en charge pour joindre des conditions dans un critère d'appartenance.

Pour joindre les critères, des opérateurs OR et AND sont disponibles. Par défaut, le système sélectionne l'opérateur OR pour joindre deux critères. L'opérateur AND est pris en charge entre deux critères uniquement lorsque :
  • Les deux critères utilisent le même type de membre.
  • Les deux critères utilisent une condition unique.
Les restrictions suivantes s'appliquent à l'ajout de plusieurs conditions :
  • Un maximum de cinq conditions avec le même type de membre est pris en charge dans un critère d'appartenance unique. Par exemple, dans un critère, vous pouvez ajouter un maximum de cinq conditions avec le type de membre Machine virtuelle.
  • Un maximum de 15 conditions avec des types de membres mixtes est pris en charge dans un critère d'appartenance unique. Par exemple, dans un critère, vous pouvez ajouter un maximum de 15 conditions avec un mélange de types de membres segment et port de segment.
  • Un maximum de 35 conditions avec des types de membres mixtes est pris en charge dans un groupe générique.
Un groupe peut avoir un maximum de cinq critères d'appartenance. Toutefois, le nombre total de critères que vous pouvez ajouter à un groupe est déterminé par le nombre de conditions dans chaque critère. Consultez les exemples suivants.
Exemple 1
Un groupe avec trois critères d'appartenance et un total de 35 conditions :
  • Le critère 1 a 15 conditions avec des types de membres mixtes.
  • Le critère 2 a 15 conditions avec des types de membres mixtes.
  • Le critère 3 a 5 conditions avec le même type de membre.
Exemple 2
Un groupe avec quatre critères d'appartenance et un total de 35 conditions :
  • Le critère 1 a 15 conditions avec des types de membres mixtes.
  • Le critère 2 a 14 conditions avec des types de membres mixtes.
  • Le critère 3 a quatre conditions avec le même type de membre.
  • Le critère 4 a deux conditions avec le même type de membre.
Exemple 3
Un groupe avec cinq critères d'appartenance et un total de 22 conditions :
  • Le critère 1 a 10 conditions avec des types de membres mixtes.
  • Le critère 2 a trois conditions avec le même type de membre.
  • Le critère 3 a quatre conditions avec le même type de membre.
  • Le critère 4 a trois conditions avec le même type de membre.
  • Le critère 5 a deux conditions avec des types de membres mixtes.
Étant donné que ce groupe a atteint la limite de cinq critères, vous ne pouvez pas ajouter un autre critère d'appartenance. Cependant, vous pouvez ajouter d'autres conditions, si nécessaire, dans l'un des cinq critères tant que vous ne dépassez pas les limites maximales suivantes mentionnées précédemment :
  • Un maximum de cinq conditions avec le même type de membre dans un critère unique.
  • Un maximum de 15 conditions avec des types de membres mixtes dans un critère unique.
  • Un total de 35 conditions dans le groupe générique.

Restrictions pour les critères comprenant des types de membres NSX mixtes

Type de membre Critère avec des types de membres mixtes Opérateur de balise Opérateur d'étendue
Machine virtuelle

Non pris en charge

  • Est égal à : une balise peut être sélectionnée.
  • Contient
  • Commence par
  • Se termine par
  • Est égal à
Segment

Pris en charge

Les conditions basées sur le segment peuvent être combinées à des conditions basées sur le port de segment

  • Est égal à : une balise peut être sélectionnée.
  • N'est pas égal à : une balise peut être sélectionnée.
  • Est égal à
  • N'est pas égal à : si cette option est sélectionnée, l'opérateur de balise est supprimé.
Port de segment

Pris en charge

Les conditions basées sur le port de segment peuvent être combinées à des conditions basées sur le segment NSX

  • Est égal à : une balise peut être sélectionnée.
  • N'est pas égal à : une balise peut être sélectionnée.
  • En dehors de : un maximum de cinq balises peut être sélectionné.
  • Est égal à
  • N'est pas égal à : si cette option est sélectionnée, l'opérateur de balise est supprimé.
Groupe de ports distribués

Pris en charge

Les conditions basées sur le groupe de ports distribués peuvent être mixtes avec des conditions basées sur le port distribué

  • Est égal à : une balise peut être sélectionnée.
  • N'est pas égal à : une balise peut être sélectionnée.
  • Est égal à
  • N'est pas égal à : si cette option est sélectionnée, l'opérateur de balise est supprimé.
Ports distribués

Pris en charge

Les conditions basées sur un port distribué peuvent être combinées à des conditions basées sur un groupe de ports distribués

  • Est égal à : une balise peut être sélectionnée.
  • N'est pas égal à : une balise peut être sélectionnée.
  • En dehors de : un maximum de cinq balises peut être sélectionné.
  • Est égal à
  • N'est pas égal à : si cette option est sélectionnée, l'opérateur de balise est supprimé.
Ensemble d'adresses IP : ce type de membre sera obsolète ultérieurement. Il est actuellement disponible pour obtenir une compatibilité descendante avec des NSGroups ou des groupes préexistants basés sur un critère basé sur des balises d'ensemble d'adresses IP. Nous vous recommandons d'utiliser Groupe comme type de membre et d'ajouter des groupes basés sur des balises du type « Adresses IP uniquement » dans un critère d'appartenance.

Non pris en charge

  • Est égal à : une balise peut être sélectionnée.
  • Est égal à
Groupe : utilisez ce type de membre pour ajouter des groupes basés sur des balises du type « Adresses IP uniquement » dans un critère d'appartenance.

Non pris en charge

Est égal à : une balise peut être sélectionnée. Est égal à

Présentation des critères d'appartenance avec les types de membres Kubernetes

À partir de NSX 4.1, vous pouvez créer des groupes génériques avec des types de membres Kubernetes dans des critères d'appartenance dynamique pour faire correspondre le trafic entrant ou sortant de clusters Antrea Kubernetes.

Vous pouvez ensuite utiliser ces groupes génériques dans des règles de pare-feu distribué ou des règles de pare-feu de passerelle pour sécuriser le trafic entre les machines virtuelles dans l'environnement NSX et les espaces dans des clusters Antrea Kubernetes.

Cette fonctionnalité nécessite la version d'interfonctionnement Antrea-NSX disponible avec VMware Container Networking™ with Antrea™ 1.6.0 ou version ultérieure. Consultez les notes de mise à jour de 1.6.0.

Dans un groupe générique, les types de membres Kubernetes sont disponibles sur la page Critères d'appartenance uniquement lorsqu'au moins un cluster Kubernetes Antrea est enregistré dans votre environnement NSX.

Note : Dans un environnement NSX mutualisé, les ressources de cluster Kubernetes ne sont pas exposées à l'inventaire du projet. Par conséquent, dans un projet, vous ne pouvez pas créer de groupes génériques avec des types de membres Kubernetes dans des critères d'appartenance dynamique.

Le tableau suivant répertorie les types de membres Kubernetes disponibles dans la vue Par défaut de NSX 4.1 et versions ultérieures pour ajouter des critères d'appartenance dynamique à un groupe générique. Chaque type de membre Kubernetes appartient à l'étendue du cluster ou à l'étendue de l'espace de noms.

Type de membre Portée

Cluster Kubernetes

Cluster

Espace de noms Kubernetes

Espace de noms

Nœud Kubernetes

Cluster

Service Kubernetes

Espace de noms

Entrée Kubernetes

Espace de noms

Passerelle Kubernetes

Espace de noms

Sortie Antrea

Cluster

Pool IP Antrea

Cluster

Conventions de dénomination utilisées pour les conditions avec des types de membres Kubernetes

Le tableau suivant décrit les conventions de dénomination utilisées dans cette documentation pour représenter les différentes conditions que vous pouvez ajouter dans les critères d'appartenance dynamique, qui sont basés sur les types de membres Kubernetes.

Convention de dénomination pour la condition Signification

Condition de cluster Kubernetes

Les conditions dans les critères d'appartenance dynamique sont basées sur le type de membre du cluster Kubernetes.

Condition d'espace de noms Kubernetes

Les conditions des critères d'appartenance dynamique sont basées sur le type de membre Espace de noms Kubernetes.

Condition de ressource

Les conditions du critère d'appartenance dynamique sont basées sur l'un de ces types de membres Kubernetes :
  • Service Kubernetes
  • Entrée Kubernetes
  • Passerelle Kubernetes
  • Sortie Antrea
  • Pool IP Antrea
  • Nœud Kubernetes

Condition de ressource d'étendue de cluster

Les conditions des critères d'appartenance dynamique sont basées sur l'un de ces types de membres Kubernetes :
  • Sortie Antrea
  • Pool IP Antrea
  • Nœud Kubernetes

Condition de ressource d'étendue d'espace de noms

Les conditions des critères d'appartenance dynamique sont basées sur l'un de ces types de membres Kubernetes :
  • Service Kubernetes
  • Entrée Kubernetes
  • Passerelle Kubernetes

Restrictions pour les critères comprenant des types de membres Kubernetes mixtes

Le tableau suivant fournit un résumé général des restrictions ou validations qui s'appliquent à l'utilisation de types de membres Kubernetes dans un critère d'appartenance unique. Pour obtenir des exemples de validations, reportez-vous à la section Validations pour le regroupement dynamique avec des types de membres Kubernetes plus loin dans cette documentation.

Type de membre Restrictions d'utilisation du type de membre dans un critère Attributs pris en charge Opérateur de balise Opérateur d'étendue

Cluster Kubernetes

Ne peut pas être utilisé seul dans un critère.

Une seule condition de cluster est autorisée dans un critère.

Doit être mélangé à au moins une condition de ressource Kubernetes.

Éventuellement, peut être mélangé avec des conditions d'espace de noms Kubernetes et des conditions de ressources Kubernetes.

Nom

Non pris en charge

Non pris en charge

Espace de noms Kubernetes

Ne peut pas être utilisé seul dans un critère.

Ne peut pas être mélangé avec des conditions de ressources d'étendue de cluster.

Doit être mélangé à des conditions de ressources d'étendue d'espace de noms.

Éventuellement, peut être mélangé avec une condition de cluster Kubernetes.

Nom

Balise

Est égal à : une balise peut être sélectionnée

Est égal à

Sortie Antrea

Peut être utilisé seul dans un critère.

Éventuellement, peut être mélangé avec une condition de cluster Kubernetes.

Nom

Balise

Est égal à : une balise peut être sélectionnée

Est égal à

Pool IP Antrea

Peut être utilisé seul dans un critère.

Éventuellement, peut être mélangé avec une condition de cluster Kubernetes.

Nom

Balise

Est égal à : une balise peut être sélectionnée

Est égal à

Entrée Kubernetes

Peut être utilisé seul dans un critère.

Éventuellement, peut être mélangé avec uniquement des conditions d'espace de noms Kubernetes, uniquement une condition de cluster Kubernetes ou les deux.

Nom

Balise

Est égal à : une balise peut être sélectionnée

Est égal à

Passerelle Kubernetes

Peut être utilisé seul dans un critère.

Éventuellement, peut être mélangé avec uniquement des conditions d'espace de noms Kubernetes, uniquement une condition de cluster Kubernetes ou les deux.

Nom

Balise

Est égal à : une balise peut être sélectionnée

Est égal à

Service Kubernetes

Peut être utilisé seul dans un critère.

Éventuellement, peut être mélangé avec uniquement des conditions d'espace de noms Kubernetes, uniquement une condition de cluster Kubernetes ou les deux.

Nom

Balise

Est égal à : une balise peut être sélectionnée

Est égal à

Nœud Kubernetes

Peut être utilisé seul dans un critère.

Seule une condition de nœud unique est autorisée.

Éventuellement, peut être mélangé avec une condition de cluster Kubernetes.

Ne peut pas être mélangé avec des conditions d'espace de noms Kubernetes ou des conditions de ressources Kubernetes.

Adresse IP

CIDR d'espace

Non pris en charge

Reportez-vous à la section Remarque après ce tableau.

Non pris en charge

Note : Lorsque vous créez un groupe générique avec le type de membre de nœud Kubernetes à l'aide de l'API, seul l'opérateur Correspond est autorisé. Cet opérateur ne peut prendre que la valeur *. Le caractère générique * correspondra à tous les nœuds du cluster K8s (si la condition de nœud Kubernetes est mélangée à une condition de cluster Kubernetes), ou il correspondra aux nœuds sur tous les clusters (si la condition de nœud Kubernetes est utilisée seule).

Validations pour le regroupement dynamique avec des types de membres Kubernetes

Validation 1
Un critère d'appartenance peut avoir un maximum d'une condition de cluster Kubernetes. Pour faire correspondre un cluster Kubernetes unique par nom, utilisez l'opérateur Est égal à et entrez le nom du cluster.
Note : Le nom du cluster Kubernetes doit être unique.
Si vous souhaitez faire correspondre plusieurs clusters dans une condition de cluster Kubernetes unique, vous pouvez utiliser l'un de ces opérateurs :
  • Entrant
  • Commence par
  • Se termine par

Exemple :

Correspond au cluster K8s unique Correspond à plusieurs clusters K8s
Critère :

Le nom du cluster Kubernetes est égal à ClusterA

Critère :

Nom du cluster Kubernetes dans ClusterA, ClusterB, ClusterC

Un maximum de cinq valeurs séparées par des virgules est autorisé. Les valeurs ne doivent pas être séparées par des espaces.

Validation 2

Un critère d'appartenance avec une condition de cluster Kubernetes peut être mélangé à n'importe quelle condition de ressource Kubernetes. Si vous ajoutez également des conditions d'espace de noms Kubernetes dans le même critère, les conditions de ressources doivent être limitées uniquement aux conditions de ressources d'étendue d'espace de noms.

Exemples :
  • Un critère d'appartenance avec une condition de cluster Kubernetes et trois conditions d'entrée Kubernetes est valide.
  • Un critère d'appartenance avec une condition de cluster Kubernetes et deux conditions de sortie Antrea est valide.
  • Un critère d'appartenance avec une condition de cluster Kubernetes et trois conditions de pool d'adresses IP Antrea est valide.
  • Un critère d'appartenance avec une condition de cluster Kubernetes, une condition d'espace de noms Kubernetes et trois conditions de passerelle Kubernetes est valide.
Validation 3
Un critère d'appartenance doit inclure au moins une condition de ressource Kubernetes. Un critère d'appartenance n'est pas valide s'il contient :
  • Uniquement une condition de cluster Kubernetes
  • Uniquement une condition d'espace de noms Kubernetes
  • Uniquement la condition de cluster Kubernetes et la condition d'espace de noms Kubernetes
Exemples :
  • Un critère d'appartenance avec une condition de cluster Kubernetes, une condition d'espace de noms Kubernetes et une condition d'entrée Kubernetes est valide.
  • Un critère d'appartenance avec une condition de cluster Kubernetes, deux conditions d'espace de noms Kubernetes et trois conditions d'entrée Kubernetes est valide.
Validation 4

Un critère d'appartenance ne peut avoir qu'une seule condition de nœud Kubernetes. Éventuellement, une condition de nœud Kubernetes ne peut être mélangée qu'à une condition de cluster Kubernetes.

Une condition de nœud Kubernetes ne peut pas être mélangée avec des conditions d'espace de noms Kubernetes ou des conditions de ressources Kubernetes.

Un critère d'appartenance avec uniquement une condition de nœud Kubernetes peut être autonome. Cependant, un groupe avec uniquement une condition de nœud Kubernetes correspondra aux nœuds de tous les clusters Kubernetes Antrea qui sont enregistrés dans NSX.

L'opérateur de balise et l'opérateur d'étendue ne sont actuellement pas pris en charge pour la condition de nœud Kubernetes.

La condition de nœud Kubernetes prend en charge les deux propriétés suivantes.

Propriété Description

Adresse IP

Correspond à l'adresse IP interne de tous les nœuds de clusters Kubernetes Antrea spécifiés.

CIDR d'espace

Correspond au CIDR d'espace de tous les nœuds de clusters Kubernetes Antrea spécifiés.

Validation 5
Si un critère d'appartenance inclut une condition de cluster Kubernetes et des conditions d'espace de noms Kubernetes, il doit inclure au moins une condition de ressource Kubernetes à l'espace de noms. Vous ne pouvez pas mélanger les conditions de ressources Kubernetes basées sur le cluster suivantes dans le même critère :
  • Sortie Antrea
  • Antrea IP Pool
  • Nœud Kubernetes
Exemples :
  • Un critère d'appartenance avec une condition de cluster Kubernetes, deux conditions d'espace de noms Kubernetes et des conditions de passerelle Kubernetes est valide.
  • Un critère d'appartenance avec une condition de cluster Kubernetes, quatre conditions d'espace de noms Kubernetes et trois conditions de service Kubernetes est valide.
  • Un critère d'appartenance avec une condition de cluster Kubernetes, une condition d'espace de noms Kubernetes et une condition de sortie Antrea n'est pas valide, car la sortie Antrea est une ressource à l'échelle du cluster.
Validation 6
Un critère d'appartenance doit inclure au moins une condition de ressource Kubernetes. Une condition de ressource peut être autonome dans un critère. Cependant, si vous ajoutez plusieurs conditions de ressources dans un critère, toutes les conditions de ressources doivent être du même type de membre.
Note : La condition de cluster Kubernetes et les conditions d'espace de noms Kubernetes sont utilisées pour définir l'étendue d'un critère. Il ne s'agit pas de conditions de ressources Kubernetes. Elles ne sont donc pas limitées par cette règle de validation.
Exemples :
  • Un critère d'appartenance avec cinq conditions de service Kubernetes est valide.
  • Un critère d'appartenance avec une condition de cluster Kubernetes, trois conditions d'espace de noms Kubernetes et quatre conditions de service Kubernetes est valide.
  • Un critère d'appartenance avec une condition de cluster Kubernetes, trois conditions d'espace de noms Kubernetes, quatre conditions de service Kubernetes et trois conditions d'entrée Kubernetes n'est pas valide. Cela est dû au fait que vous avez mélangé les conditions de ressources de deux types de membres différents (Service Kubernetes et Entrée Kubernetes) dans le même critère.

    Cependant, vous pouvez créer des critères distincts avec une condition de ressource basée sur un type de membre unique, puis joindre les deux critères avec un opérateur OR, comme indiqué ci-dessous :

    Critère 1 :

    Une condition de cluster Kubernetes + trois conditions d'espace de noms Kubernetes + quatre conditions de service Kubernetes

    OU

    Critère 2 :

    Une condition de cluster Kubernetes + trois conditions d'espace de noms Kubernetes + trois conditions d'entrée Kubernetes

Validation 7

Dans un critère d'appartenance unique, les conditions basées sur des types de membres NSX ne peuvent pas être mélangées avec des conditions basées sur des types de membres Kubernetes. Cependant, vous pouvez disposer d'un groupe avec un critère basé uniquement sur des types de membres NSX et d'autres critères basés uniquement sur des types de membres Kubernetes, puis joindre les deux critères avec un opérateur OR.

Exemple :

Valide Non valide

Critère 1 :

Conditions de machine virtuelle

OU

Critère 2 :

Condition de cluster Kubernetes + conditions de la passerelle Kubernetes

Critère :

Condition de segment NSX + condition de port de segment

ET

Condition de cluster Kubernetes + conditions de la passerelle Kubernetes