Pour sécuriser le trafic entre les espaces d'un cluster Antrea Kubernetes, vous pouvez créer des stratégies de pare-feu distribué (stratégies de sécurité) dans NSX et les appliquer à un ou plusieurs clusters Antrea Kubernetes.
L'interface utilisateur utilise le terme « Cluster de conteneurs Antrea » pour quelques champs ou étiquettes de l'interface utilisateur. Dans la section Procédure de cette documentation, le terme « Cluster de conteneurs Antrea » est conservé pour ces champs ou étiquettes de l'interface utilisateur. Pour tout le texte de forme libre, le terme « Cluster Kubernetes Antrea » est utilisé.
Conditions préalables
- Des clusters Antrea Kubernetes sont enregistrés dans NSX.
- Appliquez une licence de sécurité appropriée dans votre déploiement NSX qui autorise le système à configurer des stratégies de sécurité de pare-feu distribué.
Procédure
Résultats
- Le plug-in réseau Antrea crée une stratégie réseau de cluster correspondant à chaque stratégie de pare-feu distribué appliquée aux clusters Antrea Kubernetes.
- Si les règles contiennent des sources, les règles d'entrée correspondantes sont créées dans la Stratégie du réseau du cluster Antrea.
- Si les règles contiennent des destinations, les règles de sortie correspondantes sont créées dans la Stratégie du réseau du cluster Antrea.
- Si les règles contiennent une configuration Any-Any, Contrôleur Antrea dans le cluster divise la règle Any-Any en deux règles : une règle d'entrée avec Any à Any et une autre règle de sortie avec Any à Any.
Que faire ensuite
Une fois les stratégies de sécurité correctement réalisées dans les clusters Antrea Kubernetes, vous pouvez effectuer les tâches facultatives suivantes :
- Vérifier que les stratégies réseau de cluster Antrea sont affichées dans les clusters Kubernetes. Exécuter la commande kubectl suivante dans chaque cluster Antrea Kubernetes :
$ kubectl get acnp
Note : Le paramètre priority dans les stratégies réseau du cluster Antrea affiche une valeur flottante. Ce résultat est attendu. L'interface utilisateur de NSX Manager n'affiche pas la priorité des stratégies de pare-feu distribué. NSX attribue en interne une valeur entière à la priorité de chaque stratégie. Cette valeur entière est attribuée à partir d'une large plage. Cependant, le plug-in réseau Antrea attribue un nombre flottant inférieur (valeur absolue) à la priorité des stratégies réseau du cluster Antrea. Par conséquent, les valeurs de priorité de NSX sont normalisées en interne sur des nombres flottants plus petits. Toutefois, l'ordre dans lequel vous ajoutez les stratégies dans une catégorie de pare-feu distribué est conservé pour les stratégies réseau du cluster Antrea.Vous pouvez également afficher les détails des stratégies réseau de cluster Antrea dans l'inventaire de NSX. Dans NSX Manager, accédez à, . Développez le nom du cluster et cliquez sur le nombre en regard de Stratégies réseau du cluster pour afficher les détails des stratégies, y compris les spécifications YAML.
- Afficher les statistiques de stratégie à l'aide de NSX API :
GET https://{nsx-mgr-ip}/api/v1/infra/domains{domain-id}/security-policies/{security-policy-name}/statistics?container_cluster_path=/infra/sites/{site-id}/enforcement-points/{enforcement-point-id}/cluster-control-planes/{cluster-name}
- Afficher les statistiques de règle d'exécution dans l'interface utilisateur :
- Dans NSX Manager, accédez à .
- Développez le nom de la stratégie, puis cliquez sur l'icône de graphique dans le coin extrême droit de chaque règle.
- Sélectionnez le cluster Kubernetes dans le menu déroulant pour afficher les statistiques de règle pour chaque cluster Kubernetes.
Les statistiques de la règle sont calculées séparément pour chaque cluster Kubernetes sur lequel la règle est appliquée. Les statistiques ne sont pas agrégées pour tous les clusters Kubernetes et affichées dans l'interface utilisateur. Les statistiques de règle sont calculées toutes les minutes.