In questo esempio, l'obiettivo è creare un criterio del firewall distribuito in NSX per proteggere il traffico da pod a pod nell'applicazione Enterprise Human Resource, che è in esecuzione in un singolo cluster di container Antrea.
Si supponga che i carichi di lavoro del pod nel cluster di container Antrea eseguano i microservizi Web, App e Database dell'applicazione Enterprise Human Resource. Sono stati aggiunti gruppi Antrea nell'ambiente di NSX utilizzando criteri di appartenenza basati su pod, come illustrato nella tabella seguente.
Nome del gruppo Antrea | Criteri di appartenenza |
---|---|
HR-Web |
Tag pod uguale a Ambito Web uguale a HR |
HR-App |
Tag pod uguale a Ambito app uguale a HR |
HR-DB |
Tag pod uguale a Ambito DB uguale a HR |
L'obiettivo è creare un criterio di sicurezza nella categoria Applicazione con tre regole del firewall, come indicato di seguito:
- Consentire tutto il traffico dal gruppo HR-Web al gruppo HR-App.
- Consentire tutto il traffico dal gruppo HR-App al gruppo HR-DB.
- Rifiutare tutto il traffico da HR-Web al gruppo HR-DB.
Prerequisiti
Il cluster di container Antrea è registrato in NSX.
Procedura
risultati
Quando il criterio viene realizzato correttamente, nel cluster di container
Antrea si verificano i risultati seguenti:
- Viene creato un criterio di rete del cluster.
- Le regole 1022, 1023 e 1024 vengono applicate nel cluster di contenitori in questo ordine.
- Per ogni regola del firewall, viene creata una regola di ingresso corrispondente nel criterio di rete del cluster.