Gestione delle sezioni DFW create dall'amministratore di NSX

Per la migrazione da Manager a Criterio, è possibile che l'amministratore di NSX debba intervenire in base al modo in cui le sezioni del firewall distribuito (DFW) influiscono sui cluster Vanilla Kubernetes o TKGi e/o base TAS.

Se l'amministratore di NSX non crea alcuna sezione DFW, è possibile ignorare le informazioni seguenti.

Le sezioni DFW non influiscono su alcun cluster o alcuna base

L'amministratore di NSX può eseguire una delle operazioni seguenti:

Utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager.
Utilizzare l'interfaccia utente di NSX per eseguire la migrazione di tutti gli elementi dopo la migrazione di tutti i cluster Kubernetes.
In TAS, eseguire la migrazione delle sezioni/regole DFW come risorsa condivisa prima o dopo la migrazione delle basi. Si tenga presente che se le regole DFW hanno origine e destinazione impostate su QUALSIASI, è necessario eseguire la migrazione di tali sezioni DFW al dominio del criterio NSX "predefinito".

La sezione DFW influisce su un solo cluster o una sola base

In una sezione possono essere presenti più sezioni e più regole.

Indicatori di sezione superiore e inferiore	Azioni dell'amministratore di NSX
NCP utilizza indicatori di sezione superiore e inferiore La sezione creata dall'amministratore di NSX è esterna agli indicatori di sezione superiore e inferiore.	Kubernetes Utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager che esiste sopra l'indicatore superiore del cluster. Questa operazione deve essere eseguita prima della migrazione del cluster. Eseguire le stesse operazioni per le sezioni/regole che si trovano sotto l'indicatore inferiore dopo il completamento della migrazione del cluster. TAS Eseguire la migrazione dello stesso DFW creato in modalità Manager presente sopra l'indicatore superiore del cluster come risorsa condivisa prima che venga eseguita la migrazione della base. Dopo la migrazione della base, eseguire le stesse operazioni per le sezioni/regole che si trovano sotto l'indicatore inferiore. Assicurarsi che le sezioni con priorità bassa (quelle che in modalità Manager si trovano al di sotto dell'indicatore inferiore) vengano migrate in Criterio dopo la migrazione di tutte le basi.

Indicatori di sezione superiore e inferiore

Azioni dell'amministratore di NSX

NCP utilizza indicatori di sezione superiore e inferiore

La sezione creata dall'amministratore di NSX è esterna agli indicatori di sezione superiore e inferiore.

Kubernetes

Utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager che esiste sopra l'indicatore superiore del cluster. Questa operazione deve essere eseguita prima della migrazione del cluster. Eseguire le stesse operazioni per le sezioni/regole che si trovano sotto l'indicatore inferiore dopo il completamento della migrazione del cluster.

TAS

Eseguire la migrazione dello stesso DFW creato in modalità Manager presente sopra l'indicatore superiore del cluster come risorsa condivisa prima che venga eseguita la migrazione della base. Dopo la migrazione della base, eseguire le stesse operazioni per le sezioni/regole che si trovano sotto l'indicatore inferiore.

Assicurarsi che le sezioni con priorità bassa (quelle che in modalità Manager si trovano al di sotto dell'indicatore inferiore) vengano migrate in Criterio dopo la migrazione di tutte le basi.

Indicatori di sezione superiore e inferiore	Azioni dell'amministratore di NSX
NCP utilizza indicatori di sezione superiore e inferiore La sezione creata dall'amministratore di NSX è all'interno degli indicatori di sezione superiore e inferiore.	Kubernetes Se la sezione creata dall'amministratore può essere spostata sopra l'indicatore di sezione superiore, utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager prima della migrazione del cluster. Se la sezione creata dall'amministratore può essere spostata sotto l'indicatore di sezione inferiore, utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager dopo la migrazione del cluster. TAS Se la sezione creata dall'amministratore può essere spostata sopra l'indicatore di sezione superiore, eseguire la migrazione dello stesso DFW come risorsa condivisa prima della migrazione della base. Se la sezione creata dall'amministratore può essere spostata sotto l'indicatore di sezione inferiore, eseguire la migrazione dello stesso DFW come risorsa condivisa dopo la migrazione della base. Kubernetes e TAS Se non è possibile eseguire alcuna delle operazioni precedenti, lo scenario non è supportato.

Indicatori di sezione superiore e inferiore

Azioni dell'amministratore di NSX

NCP utilizza indicatori di sezione superiore e inferiore

La sezione creata dall'amministratore di NSX è all'interno degli indicatori di sezione superiore e inferiore.

Kubernetes

Se la sezione creata dall'amministratore può essere spostata sopra l'indicatore di sezione superiore, utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager prima della migrazione del cluster.

Se la sezione creata dall'amministratore può essere spostata sotto l'indicatore di sezione inferiore, utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager dopo la migrazione del cluster.

TAS

Se la sezione creata dall'amministratore può essere spostata sopra l'indicatore di sezione superiore, eseguire la migrazione dello stesso DFW come risorsa condivisa prima della migrazione della base.

Se la sezione creata dall'amministratore può essere spostata sotto l'indicatore di sezione inferiore, eseguire la migrazione dello stesso DFW come risorsa condivisa dopo la migrazione della base.

Kubernetes e TAS

Se non è possibile eseguire alcuna delle operazioni precedenti, lo scenario non è supportato.

Indicatori di sezione superiore e inferiore	Azioni dell'amministratore di NSX
NCP non utilizza indicatori di sezione superiore e inferiore In questo caso, NCP crea sezioni DFW in modalità Manager nella parte superiore o inferiore.	Kubernetes Se la sezione creata dall'amministratore può essere spostata sopra la sezione superiore creata da NCP, utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager prima della migrazione del cluster. Se la sezione creata dall'amministratore può essere spostata sotto la sezione inferiore creata da NCP, utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager dopo la migrazione del cluster. TAS Se la sezione creata dall'amministratore può essere spostata sopra la sezione superiore creata da NCP, eseguire la migrazione dello stesso DFW come risorsa condivisa prima della migrazione della base. Se la sezione creata dall'amministratore può essere spostata sotto la sezione inferiore creata da NCP, eseguire la migrazione dello stesso DFW come risorsa condivisa dopo la migrazione della base.

Indicatori di sezione superiore e inferiore

Azioni dell'amministratore di NSX

NCP non utilizza indicatori di sezione superiore e inferiore

In questo caso, NCP crea sezioni DFW in modalità Manager nella parte superiore o inferiore.

Kubernetes

Se la sezione creata dall'amministratore può essere spostata sopra la sezione superiore creata da NCP, utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager prima della migrazione del cluster.

Se la sezione creata dall'amministratore può essere spostata sotto la sezione inferiore creata da NCP, utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager dopo la migrazione del cluster.

TAS

Se la sezione creata dall'amministratore può essere spostata sopra la sezione superiore creata da NCP, eseguire la migrazione dello stesso DFW come risorsa condivisa prima della migrazione della base.

Se la sezione creata dall'amministratore può essere spostata sotto la sezione inferiore creata da NCP, eseguire la migrazione dello stesso DFW come risorsa condivisa dopo la migrazione della base.

La sezione DFW influisce su più cluster/basi

Indicatori di sezione superiore e inferiore	Azioni dell'amministratore di NSX
NCP utilizza indicatori di sezione superiore e inferiore Tutti i cluster e le basi hanno gli stessi indicatori di sezione superiore e inferiore. Le sezioni create dall'amministratore di NSX sono esterne agli indicatori di sezione superiore e inferiore.	Kubernetes Utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager presente sopra l'indicatore superiore prima di eseguire la migrazione dei cluster. Eseguire le stesse operazioni per le sezioni/regole che si trovano sotto l'indicatore inferiore dopo la migrazione di tutti i cluster. TAS Eseguire la migrazione dello stesso DFW creato in modalità Manager presente sopra l'indicatore superiore come risorsa condivisa durante la migrazione della prima base. Eseguire le stesse operazioni per le sezioni/regole che si trovano sotto l'indicatore inferiore dopo la migrazione di tutte le basi.

Indicatori di sezione superiore e inferiore

Azioni dell'amministratore di NSX

NCP utilizza indicatori di sezione superiore e inferiore

Tutti i cluster e le basi hanno gli stessi indicatori di sezione superiore e inferiore.

Le sezioni create dall'amministratore di NSX sono esterne agli indicatori di sezione superiore e inferiore.

Kubernetes

Utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager presente sopra l'indicatore superiore prima di eseguire la migrazione dei cluster. Eseguire le stesse operazioni per le sezioni/regole che si trovano sotto l'indicatore inferiore dopo la migrazione di tutti i cluster.

TAS

Eseguire la migrazione dello stesso DFW creato in modalità Manager presente sopra l'indicatore superiore come risorsa condivisa durante la migrazione della prima base. Eseguire le stesse operazioni per le sezioni/regole che si trovano sotto l'indicatore inferiore dopo la migrazione di tutte le basi.

Indicatori di sezione superiore e inferiore	Azioni dell'amministratore di NSX
NCP utilizza indicatori di sezione superiore e inferiore Tutti i cluster e le basi hanno gli stessi indicatori di sezione superiore e inferiore. Le sezioni create dall'amministratore di NSX si trovano all'interno degli indicatori di sezione superiore e inferiore.	Kubernetes Se le sezioni create dall'amministratore possono essere spostate sopra l'indicatore di sezione superiore, utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager prima di eseguire la migrazione dei cluster interessati dalle sezioni. Se le sezioni create dall'amministratore possono essere spostate sotto l'indicatore di sezione inferiore, utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager dopo la migrazione dei cluster interessati dalle sezioni. TAS Se le sezioni create dall'amministratore possono essere spostate sopra l'indicatore di sezione superiore, eseguire la migrazione degli stessi DFW come risorse condivise prima di eseguire la migrazione di qualsiasi base interessata dalle sezioni. È possibile eseguirne la migrazione utilizzando l'Opsmanager di qualsiasi base. Se le sezioni create dall'amministratore possono essere spostate sotto l'indicatore di sezione inferiore, eseguire la migrazione dello stesso DFW come risorsa condivisa dopo la migrazione di tutte le basi interessate dalle sezioni. È possibile eseguirne la migrazione utilizzando l'Opsmanager di qualsiasi base. Kubernetes e TAS Se non è possibile eseguire alcuna delle operazioni precedenti, lo scenario non è supportato.

Indicatori di sezione superiore e inferiore

Azioni dell'amministratore di NSX

NCP utilizza indicatori di sezione superiore e inferiore

Tutti i cluster e le basi hanno gli stessi indicatori di sezione superiore e inferiore.

Le sezioni create dall'amministratore di NSX si trovano all'interno degli indicatori di sezione superiore e inferiore.

Kubernetes

Se le sezioni create dall'amministratore possono essere spostate sopra l'indicatore di sezione superiore, utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager prima di eseguire la migrazione dei cluster interessati dalle sezioni.

Se le sezioni create dall'amministratore possono essere spostate sotto l'indicatore di sezione inferiore, utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager dopo la migrazione dei cluster interessati dalle sezioni.

TAS

Se le sezioni create dall'amministratore possono essere spostate sopra l'indicatore di sezione superiore, eseguire la migrazione degli stessi DFW come risorse condivise prima di eseguire la migrazione di qualsiasi base interessata dalle sezioni. È possibile eseguirne la migrazione utilizzando l'Opsmanager di qualsiasi base.

Se le sezioni create dall'amministratore possono essere spostate sotto l'indicatore di sezione inferiore, eseguire la migrazione dello stesso DFW come risorsa condivisa dopo la migrazione di tutte le basi interessate dalle sezioni. È possibile eseguirne la migrazione utilizzando l'Opsmanager di qualsiasi base.

Kubernetes e TAS

Se non è possibile eseguire alcuna delle operazioni precedenti, lo scenario non è supportato.

Indicatori di sezione superiore e inferiore	Azioni dell'amministratore di NSX
NCP utilizza indicatori di sezione superiore e inferiore. I cluster e le basi hanno indicatori di sezione superiore e inferiore diversi. Le sezioni create dall'amministratore di NSX sono esterne agli indicatori di sezione superiore e inferiore.	Kubernetes Utilizzare l'API di Criterio per creare lo stesso DFW creato in modalità Manager presente sopra l'indicatore superiore prima di eseguire la migrazione dei cluster. Eseguire le stesse operazioni per le sezioni/regole che si trovano sotto l'indicatore inferiore dopo la migrazione di tutti i cluster. TAS Eseguire la migrazione dello stesso DFW creato in modalità Manager presente sopra l'indicatore superiore come risorsa condivisa durante la migrazione della base. Eseguire le stesse operazioni per le sezioni/regole che si trovano sotto l'indicatore inferiore dopo la migrazione di tutte le basi.

Indicatori di sezione superiore e inferiore

Azioni dell'amministratore di NSX

NCP utilizza indicatori di sezione superiore e inferiore.

I cluster e le basi hanno indicatori di sezione superiore e inferiore diversi.

Le sezioni create dall'amministratore di NSX sono esterne agli indicatori di sezione superiore e inferiore.

Kubernetes

TAS

Eseguire la migrazione dello stesso DFW creato in modalità Manager presente sopra l'indicatore superiore come risorsa condivisa durante la migrazione della base. Eseguire le stesse operazioni per le sezioni/regole che si trovano sotto l'indicatore inferiore dopo la migrazione di tutte le basi.

Indicatori di sezione superiore e inferiore	Azioni dell'amministratore di NSX
NCP utilizza indicatori di sezione superiore e inferiore. I cluster e le basi hanno indicatori di sezione superiore e inferiore diversi. Le sezioni create dall'amministratore di NSX si trovano all'interno degli indicatori di sezione superiore e inferiore.	Kubernetes Se possibile, spostare la sezione sopra l'indicatore di sezione superiore di tutti i cluster su cui la sezione influisce. Utilizzare quindi l'API di Criterio per creare lo stesso DFW creato in modalità Manager prima di eseguire la migrazione dei cluster su cui la sezione influisce. Se possibile, spostare la sezione sotto l'indicatore di sezione inferiore di tutti i cluster su cui la sezione influisce. Utilizzare quindi l'API di Criterio per creare lo stesso DFW creato in modalità Manager dopo la migrazione dei cluster su cui la sezione influisce. TAS Se possibile, spostare le sezioni create dall'amministratore sopra gli indicatori di sezione superiore di tutti i cluster interessati dalle sezioni. Eseguire quindi la migrazione degli stessi DFW come risorse condivise prima di eseguire la migrazione delle basi interessate dalle sezioni. È possibile eseguirne la migrazione utilizzando l'Opsmanager di qualsiasi base. Se possibile, spostare le sezioni create dall'amministratore sotto gli indicatori di sezione inferiore di tutti i cluster interessati dalle sezioni. Eseguire quindi la migrazione degli stessi DFW come risorse condivise dopo la migrazione di tutte le basi interessate dalle sezioni. È possibile eseguirne la migrazione utilizzando l'Opsmanager di qualsiasi base. Kubernetes e TAS Se possibile, dividere una sezione in sezioni più piccole in modo che: Ciascuna sezione influisca su un solo cluster o una sola base. Si avrà lo scenario descritto nella tabella precedente "La sezione DFW influisce su un solo cluster Kubernetes o una sola base". Ogni sezione influisca su più cluster/basi ma la sezione sia esterna agli indicatori di sezione superiore e inferiore dei cluster o delle basi interessati. Si avrà lo scenario descritto nella riga precedente. Se non è possibile eseguire alcuna delle operazioni precedenti, lo scenario non è supportato.

Indicatori di sezione superiore e inferiore

Azioni dell'amministratore di NSX

NCP utilizza indicatori di sezione superiore e inferiore.

I cluster e le basi hanno indicatori di sezione superiore e inferiore diversi.

Le sezioni create dall'amministratore di NSX si trovano all'interno degli indicatori di sezione superiore e inferiore.

Kubernetes

Se possibile, spostare la sezione sopra l'indicatore di sezione superiore di tutti i cluster su cui la sezione influisce. Utilizzare quindi l'API di Criterio per creare lo stesso DFW creato in modalità Manager prima di eseguire la migrazione dei cluster su cui la sezione influisce.

Se possibile, spostare la sezione sotto l'indicatore di sezione inferiore di tutti i cluster su cui la sezione influisce. Utilizzare quindi l'API di Criterio per creare lo stesso DFW creato in modalità Manager dopo la migrazione dei cluster su cui la sezione influisce.

TAS

Se possibile, spostare le sezioni create dall'amministratore sopra gli indicatori di sezione superiore di tutti i cluster interessati dalle sezioni. Eseguire quindi la migrazione degli stessi DFW come risorse condivise prima di eseguire la migrazione delle basi interessate dalle sezioni. È possibile eseguirne la migrazione utilizzando l'Opsmanager di qualsiasi base.

Se possibile, spostare le sezioni create dall'amministratore sotto gli indicatori di sezione inferiore di tutti i cluster interessati dalle sezioni. Eseguire quindi la migrazione degli stessi DFW come risorse condivise dopo la migrazione di tutte le basi interessate dalle sezioni. È possibile eseguirne la migrazione utilizzando l'Opsmanager di qualsiasi base.

Kubernetes e TAS

Se possibile, dividere una sezione in sezioni più piccole in modo che:

Ciascuna sezione influisca su un solo cluster o una sola base. Si avrà lo scenario descritto nella tabella precedente "La sezione DFW influisce su un solo cluster Kubernetes o una sola base".
Ogni sezione influisca su più cluster/basi ma la sezione sia esterna agli indicatori di sezione superiore e inferiore dei cluster o delle basi interessati. Si avrà lo scenario descritto nella riga precedente.

Se non è possibile eseguire alcuna delle operazioni precedenti, lo scenario non è supportato.

Indicatori di sezione superiore e inferiore	Azioni dell'amministratore di NSX
NCP non utilizza gli indicatori di sezione superiore e inferiore. In questo caso, NCP crea sezioni DFW in modalità Manager nella parte superiore o inferiore.	Questo scenario è simile allo scenario descritto nella riga precedente, ad eccezione del fatto che l'indicatore di sezione superiore viene sostituito dalla sezione superiore creata da NCP e l'indicatore di sezione inferiore viene sostituito dalla sezione inferiore creata da NCP.

Note

Quando crea un DFW in modalità Criterio, l'amministratore di NSX deve innanzitutto creare le risorse NSX necessarie per il DFW. Esempi di tali risorse sono NSGroup, IPSet e così via. Analogamente, devono specificare tutte le risorse NSX dipendenti in Opsmanager in TAS.
Se DFW utilizza una risorsa NSX creata da NCP/TKGI/TAS e deve essere migrato prima di eseguire la migrazione della risorsa NSX creata da NCP/TKGi/TAS, è necessario creare manualmente una risorsa NSX simile in Criterio.
- Se questa operazione non può essere eseguita, questo scenario non è supportato. Dopo la migrazione del cluster o della base, tutte le risorse di NCP, TKGI e TAS saranno disponibili per creare il criterio di sicurezza e le regole.
- Se questa operazione può essere eseguita, l'amministratore deve modificare il criterio di sicurezza e utilizzare le risorse NSX di NCP/TKGI/TAS in DFW dopo la migrazione del cluster o della base.
NCP crea i criteri di sicurezza nelle categorie Ambiente e Applicazione. I sequence_number utilizzati sono:
- Ambiente: 1
- Applicazione: 10, 50, 90, 99
È necessario creare o migrare tutti i criteri di sicurezza/DFW nell'API di Criterio in modo che dispongano di un sequence_number esterno all'intervallo utilizzato da NCP. Ad esempio, quando si crea/migra un criterio nella categoria Applicazione che si trova sopra un indicatore di sezione superiore, può avere un sequence_number compreso tra 0 e 9 (inclusi). Il sequence_number non è univoco per un criterio di sicurezza (vedere Patch security policy). Ad esempio, tutte le regole con priorità alta in MP possono essere mappate al numero di sequenza 9. In alternativa, è possibile migrare o creare le sezioni in una categoria diversa. Le opzioni in ordine di priorità decrescente sono "Emergenza", "Infrastruttura", "Ambiente" e "Applicazione".

Informazioni sulle sezioni DFW

Prima della migrazione, quando si crea una regola DFW in modalità Criterio, non utilizzare il nome visualizzato top_firewall_section_marker.

In modalità Manager, NCP creerà le sezioni DFW all'interno di top_firewall_section_marker e bottom_firewall_section_marker. I cluster o le basi possono utilizzare top_firewall_section_marker e/o bottom_firewall_section_marker diversi. È possibile che siano presenti sezioni simili alle seguenti:

top-firewall-section-k8scl-two
k8scl-two cluster DFW section
top-firewall-section-k8scl-one
k8scl-one cluster DFW section
bottom-marker-section-k8scl-one
bottom-marker-section-k8scl-two

In modalità Criterio, NCP non supporta gli indicatori di sezione superiore e inferiore del firewall perché l'ordine di applicazione (ovvero la priorità della sezione) è determinato dal relativo numero di sequenza. Questo significa che gli utenti non devono creare sezioni DFW comprese nell'intervallo 10-99, estremi inclusi. Se in una sezione DFW il numero di sequenza è inferiore a 10, questa sezione ha una priorità più alta rispetto a tutte le sezioni cluster/foundation create da NCP. Ad esempio:

top-firewall-section-k8scl-two [sequence 8]
top-firewall-section-k8scl-one [sequence 9]
k8scl-two cluster DFW section allow [sequence 10]
k8scl-one cluster DFW section allow [sequence 10]
bottom-marker-section-k8scl-one [sequence 100]
bottom-marker-section-k8scl-two [sequence 101]