Pour sécuriser le trafic entre les espaces d'un cluster Antrea Kubernetes, vous pouvez créer des stratégies de pare-feu distribué (stratégies de sécurité) dans NSX et les appliquer à un ou plusieurs clusters Antrea Kubernetes.

Note : Cette documentation utilise le terme « Cluster Antrea Kubernetes » pour désigner les clusters Kubernetes avec Antrea CNI. Le terme « Cluster Kubernetes » est un terme générique, qui représente les clusters Tanzu Kubernetes Grid (TKG) avec Antrea CNI, les clusters OpenShift avec Antrea CNI ou les clusters Kubernetes en libre-service avec Antrea CNI.

L'interface utilisateur utilise le terme « Cluster de conteneurs Antrea » pour quelques champs ou étiquettes de l'interface utilisateur. Dans la section Procédure de cette documentation, le terme « Cluster de conteneurs Antrea » est conservé pour ces champs ou étiquettes de l'interface utilisateur. Pour tout le texte de forme libre, le terme « Cluster Kubernetes Antrea » est utilisé.

Conditions préalables

  • Des clusters Antrea Kubernetes sont enregistrés dans NSX.
  • Appliquez une licence de sécurité appropriée dans votre déploiement NSX qui autorise le système à configurer des stratégies de sécurité de pare-feu distribué.

Procédure

  1. À partir de votre navigateur, connectez-vous à un dispositif NSX Manager sur https://nsx-manager-ip-address.
  2. Cliquez sur l'onglet Sécurité, puis sous Gestion des stratégies, cliquez sur Pare-feu distribué.
    La page Règles spécifiques à la catégorie s'affiche.
    Note : L'interface utilisateur de NSX Manager récupère les informations sur les clusters Antrea Kubernetes enregistrés lorsque vous démarrez l'application NSX Manager dans le navigateur. Si l'interface utilisateur de l'application est déjà ouverte, elle n'extrait pas automatiquement les informations d'enregistrement du cluster Antrea Kubernetes. Ce comportement est normal et conforme à la conception actuelle de l'interface utilisateur. Si vous avez enregistré le premier cluster Antrea Kubernetes après l'ouverture de l'application NSX Manager, assurez-vous d'actualiser le navigateur après avoir accédé à la page Règles spécifiques à la catégorie. Une actualisation manuelle garantit que les éléments de l'interface utilisateur spécifiques à Antrea sont visibles dans l'interface utilisateur lorsque vous atteignez l'étape 4 de cette procédure.

    Cette actualisation manuelle du navigateur n'est requise qu'une seule fois et pas à chaque fois qu'un nouveau cluster Antrea Kubernetes doit être enregistré dans NSX.

  3. Sélectionnez la catégorie dans laquelle vous souhaitez créer la stratégie de sécurité.
    Les règles de pare-feu de couche 2 (Ethernet) basées sur des adresses MAC ne sont actuellement pas prises en charge pour les clusters Antrea Kubernetes. Les catégories dans NSX correspondent aux niveaux dans Antrea. Les stratégies de sécurité sont appliquées dans les clusters Antrea Kubernetes dans l'ordre de priorité décroissant suivant :
    • Catégorie Urgence (priorité la plus élevée)
    • Catégorie Infrastructure
    • Catégorie Environnement
    • Catégorie Application (priorité la plus faible)

    Dans une catégorie, les règles de pare-feu sont traitées de haut en bas dans l'ordre dans lequel les règles sont définies. Les catégories fournissent un moyen d'organiser les règles. Par exemple, plusieurs rôles d'utilisateur (personas) peuvent créer des stratégies de sécurité sans remplacer ou être en conflit avec les stratégies mutuelles. Par exemple, un administrateur de sécurité peut créer des stratégies dans la catégorie Urgence pour des règles de mise en quarantaine ou d'autorisation spécifiques. Un développeur d'application peut créer des stratégies dans la catégorie Application pour sécuriser le trafic entre des espaces spécifiques dans une application. Un administrateur réseau peut créer des stratégies dans la catégorie Infrastructure pour définir des règles d'accès pour des services partagés, tels que DHCP, DNS, Active Directory, etc.

  4. Cliquez sur Ajouter une stratégie et spécifiez les paramètres de configuration de la stratégie.
    1. Entrez un nom unique pour la stratégie.
    2. Par défaut, la stratégie est appliquée au pare-feu distribué. En regard de Appliqué à, cliquez sur l'icône Modifier.
      La page Définir une valeur pour Appliqué à s'ouvre.
    3. Sélectionnez l'option Clusters de conteneurs Antrea.
    4. (Requis) Sélectionnez au moins un cluster pour décider de l'étendue ou de la portée de l'application de la stratégie de sécurité.
      L'étendue de la stratégie peut être un cluster Antrea Kubernetes unique ou plusieurs clusters Antrea Kubernetes.
    5. (Facultatif) Limitez l'étendue de la stratégie en sélectionnant des groupes Antrea.
      Lorsque vous sélectionnez des groupes Antrea dans Appliqué À d'une stratégie, cette configuration est utilisée pour toutes les règles de la stratégie. Pour spécifier un ensemble différent de groupes Antrea pour chaque règle de la stratégie, ignorez cette étape et spécifiez Appliqué À lors de l'ajout des règles dans la stratégie.
      Note : Les groupes Antrea avec des adresses IP ne doivent pas être utilisés dans Appliqué à de la stratégie, car NSX ne peut pas calculer les membres effectifs de l'espace à partir des adresses IP.
    6. (Facultatif) Cliquez sur l'icône d'engrenage dans le coin extrême droit pour spécifier les paramètres de configuration avancée de la stratégie.
      Pour les stratégies de sécurité appliquées aux clusters Antrea Kubernetes, les paramètres TCP Strict et Avec état sont grisés. Ces paramètres ne sont actuellement pas pris en charge.

      Seuls les paramètres Verrouillé et Commentaires sont pris en charge. Par défaut, une stratégie n'est pas verrouillée. Pour empêcher plusieurs utilisateurs d'apporter des modifications à la stratégie, activez l'option Verrouillé.

    7. Cliquez sur Publier.
      Vous pouvez ajouter plusieurs stratégies, puis les publier toutes ensemble.

      L'état de la stratégie passe initialement à En cours et, une fois qu'il est correctement réalisé dans les clusters Antrea Kubernetes, l'état passe à Réussite. Si la réalisation de la stratégie échoue pour une raison quelconque, cliquez sur l'état Échec pour afficher les erreurs dans une fenêtre contextuelle.

  5. Cochez la case en regard du nom de la stratégie et cliquez sur Ajouter une règle. Entrez un nom pour la règle.
    Par défaut, les colonnes Sources, Destinations, Services et Appliqué À de la règle indiquent Quelconque.
    Note : Les profils de contexte ne sont actuellement pas pris en charge pour les règles appliquées aux clusters Antrea Kubernetes.
  6. Spécifiez les paramètres de règle.
    1. Dans la colonne Sources ou Destinations, cliquez sur l'icône Modifier et sélectionnez un ou plusieurs groupes Antrea.
      Les contraintes suivantes s'appliquent pour spécifier des sources et des destinations de règle :
      • Seuls des groupes Antrea peuvent être sélectionnés. Les groupes avec des membres NSX ne peuvent pas être utilisés dans une règle. En d'autres termes, une règle ne peut pas contenir un mélange de groupes Antrea et de groupes de type Générique, Adresses IP uniquement.
      • Lorsque des groupes sont sélectionnés dans la colonne Sources, la colonne Destinations n'est pas applicable. Vous pouvez ajouter des destinations dans le champ Appliqué à de la règle.
      • Lorsque des groupes sont sélectionnés dans la colonne Destinations, la colonne Sources n'est pas applicable. Vous pouvez ajouter des sources dans le champ Appliqué à de la règle.

      Paramétrer Sources et Appliqué à dans la règle filtre le trafic de Sources à Appliqué à. Paramétrer Destinations et Appliqué à dans la règle filtre le trafic de Appliqué à vers Destinations. Le chemin de données Antrea effectue le filtrage sur les membres du groupe Appliqué à.

    2. (Facultatif) Dans la colonne Services, cliquez sur l'icône de modification et sélectionnez les services.
      Si aucun service n'est sélectionné, Quelconque est utilisé.

      Les contraintes suivantes s'appliquent pour spécifier des services :

      • Seuls les services TCP et UDP sont pris en charge. Tous les autres services ne sont pas pris en charge.
      • La combinaison de ports et de protocoles bruts prend uniquement en charge le type de service TCP et UDP.
      • Seuls les ports de destination sont pris en charge. Les ports source ne sont pas pris en charge.
    3. Dans la colonne Appliqué À, cliquez sur l'icône Modifier et sélectionnez les groupes Antrea auxquels vous souhaitez appliquer la règle.

      Si aucun groupe n'est sélectionné, Quelconque est utilisé.

      Note :
      • Des groupes Antrea avec des adresses IP ne doivent pas être utilisés dans le champ Appliqué à de la règle, car NSX ne peut pas calculer les membres effectifs de l'espace à partir des adresses IP.
      • Si vous spécifiez des groupes Antrea dans le champ Appliqué À de la stratégie et de la règle, les groupes du champ Appliqué À de la stratégie sont prioritaires sur les groupes du champ Appliqué À de la règle.
    4. Dans le menu déroulant Action, sélectionnez l'une des options suivantes.
      Option Description
      Autoriser

      Autorise l'ensemble du trafic L3 avec la source, la destination et le protocole spécifiés à passer par le contexte de pare-feu actuel. Les paquets qui correspondent à la règle, et qui sont acceptés, traversent le cluster Kubernetes comme si le pare-feu n'était pas présent.

      Annuler

      Abandonne des paquets avec la source, la destination et le protocole spécifiés. L'abandon d'un paquet est une action silencieuse sans notification à la source ou à la destination. L'abandon d'un paquet entraîne une nouvelle tentative de connexion jusqu'à ce que le seuil de nouvelles tentatives soit atteint.

      Rejeter

      Rejette des paquets avec la source, la destination et le protocole spécifiés. Le refus d'un paquet est une manière plus appropriée de refuser un paquet, car il envoie un message de destination inaccessible à l'expéditeur. Si le protocole est TCP, un message TCP RST est envoyé. Les messages ICMP avec du code interdit par l'administrateur sont envoyés pour les connexions UDP, ICMP et autres connexions IP. L'avantage d'utiliser l'action Refuser est que l'application d'envoi est informée après une seule tentative que la connexion ne peut pas être établie.

    5. Cliquez sur le bouton bascule pour activer ou désactiver la règle.
      Par défaut, la règle est activée.
    6. (Facultatif) Cliquez sur l'icône d'engrenage pour configurer d'autres paramètres de règle.
      Paramètre de la règle Description
      Journalisation Par défaut, la journalisation est désactivée. Les journaux de pare-feu sont inclus dans les journaux de Agent Antrea. Lorsque vous créez une demande de bundle de support pour le cluster Antrea Kubernetes et que vous sélectionnez les nœuds à partir du cluster, le bundle de support inclut les journaux de Agent Antrea pour ces nœuds.
      Direction

      Fait référence à la direction du trafic d'après l'espace de destination.

      La direction de la règle est en lecture seule dans les cas suivants et ne peut pas être modifiée :
      • Lorsque des sources sont spécifiées dans la règle, la direction est Entrant.
      • Lorsque des destinations sont spécifiées dans la règle, la direction est Sortant.

      La direction de la règle est modifiable lorsque les sources et les destinations sont définies sur Quelconque. Dans ce cas, la direction par défaut est Entrant/Sortant. Toutefois, vous pouvez changer la direction sur Entrant ou Sortant.

      Commentaires

      Entrez des remarques sur la règle, si nécessaire.

      Ces commentaires ne sont pas propagés au cluster Antrea Kubernetes. Par conséquent, les commentaires sur la règle ne s'affichent pas sous forme d'annotations dans les spécifications de Stratégie du réseau du cluster Antrea.

  7. Cliquez sur Publier pour transférer les règles vers les clusters Antrea Kubernetes.
    Vous pouvez ajouter plusieurs règles, puis les publier ensemble.
    Note : Une fois la stratégie de sécurité réalisée dans les clusters Antrea Kubernetes, vous ne pouvez pas modifier le champ Appliqué à de la stratégie. Autrement dit, NSX ne vous permet pas de modifier l'étendue de la stratégie de sécurité de Clusters de conteneurs Antrea à DFW ou Groupes.

Résultats

Les résultats suivants se produisent dans les clusters Kubernetes Antrea :
  • Le plug-in réseau Antrea crée une stratégie réseau de cluster correspondant à chaque stratégie de pare-feu distribué appliquée aux clusters Antrea Kubernetes.
  • Si les règles contiennent des sources, les règles d'entrée correspondantes sont créées dans la Stratégie du réseau du cluster Antrea.
  • Si les règles contiennent des destinations, les règles de sortie correspondantes sont créées dans la Stratégie du réseau du cluster Antrea.
  • Si les règles contiennent une configuration Any-Any, Contrôleur Antrea dans le cluster divise la règle Any-Any en deux règles : une règle d'entrée avec Any à Any et une autre règle de sortie avec Any à Any.
Note : Le plug-in réseau Antrea ne vous empêche pas de mettre à jour ou de supprimer les stratégies réseau de cluster Antrea de la ligne de commande kubectl. Mais vous devez éviter de le faire. Cela est dû au fait que les stratégies de sécurité sont gérées par NSX. Par conséquent, l' Adaptateur de plan de contrôle central dans le cluster Antrea Kubernetes remplace immédiatement les modifications de stratégie apportées à partir de la ligne de commande kubectl. En d'autres termes, NSX est la source d'approbation des stratégies. Les modifications apportées à ces stratégies réseau de cluster via la ligne de commande kubectl ne s'affichent pas dans NSX Manager.

Que faire ensuite

Une fois les stratégies de sécurité correctement réalisées dans les clusters Antrea Kubernetes, vous pouvez effectuer les tâches facultatives suivantes :

  • Vérifier que les stratégies réseau de cluster Antrea sont affichées dans les clusters Kubernetes. Exécuter la commande kubectl suivante dans chaque cluster Antrea Kubernetes :
    $ kubectl get acnp
    Note : Le paramètre priority dans les stratégies réseau du cluster Antrea affiche une valeur flottante. Ce résultat est attendu. L'interface utilisateur de NSX Manager n'affiche pas la priorité des stratégies de pare-feu distribué. NSX attribue en interne une valeur entière à la priorité de chaque stratégie. Cette valeur entière est attribuée à partir d'une large plage. Cependant, le plug-in réseau Antrea attribue un nombre flottant inférieur (valeur absolue) à la priorité des stratégies réseau du cluster Antrea. Par conséquent, les valeurs de priorité de NSX sont normalisées en interne sur des nombres flottants plus petits. Toutefois, l'ordre dans lequel vous ajoutez les stratégies dans une catégorie de pare-feu distribué est conservé pour les stratégies réseau du cluster Antrea.

    Vous pouvez également afficher les détails des stratégies réseau de cluster Antrea dans l'inventaire de NSX. Dans NSX Manager, accédez à, Inventaire > Conteneurs > Clusters. Développez le nom du cluster et cliquez sur le nombre en regard de Stratégies réseau du cluster pour afficher les détails des stratégies, y compris les spécifications YAML.

  • Afficher les statistiques de stratégie à l'aide de NSX API :
    GET https://{nsx-mgr-ip}/api/v1/infra/domains{domain-id}/security-policies/{security-policy-name}/statistics?container_cluster_path=/infra/sites/{site-id}/enforcement-points/{enforcement-point-id}/cluster-control-planes/{cluster-name}
  • Afficher les statistiques de règle d'exécution dans l'interface utilisateur :
    1. Dans NSX Manager, accédez à Sécurité > Pare-feu distribué.
    2. Développez le nom de la stratégie, puis cliquez sur l'icône de graphique dans le coin extrême droit de chaque règle.
    3. Sélectionnez le cluster Kubernetes dans le menu déroulant pour afficher les statistiques de règle pour chaque cluster Kubernetes.

      Les statistiques de la règle sont calculées séparément pour chaque cluster Kubernetes sur lequel la règle est appliquée. Les statistiques ne sont pas agrégées pour tous les clusters Kubernetes et affichées dans l'interface utilisateur. Les statistiques de règle sont calculées toutes les minutes.