Panoramica dei criteri di appartenenza ai gruppi NSX

È possibile definire i criteri di appartenenza per aggiungere dinamicamente membri in un gruppo di NSX in base a uno o più criteri.

Un criterio può avere una o più condizioni. Le condizioni possono utilizzare lo stesso tipo di membro o una combinazione di tipi di membri diversi.

L'aggiunta di più condizioni con tipi di membri NSX misti o tipi di membri Kubernetes misti in un criterio di appartenenza si applicano alcune restrizioni. Vedere la sezione Limitazioni per i criteri con tipi di membri NSX misti e la sezione Limitazioni per i criteri con tipi di membri Kubernetes misti più avanti in questa documentazione.

Per impostazione predefinita, NSX utilizza l'operatore logico AND dopo ogni condizione di un criterio di appartenenza. Altri operatori logici non sono supportati per unire le condizioni in un criterio di appartenenza.

Per unire i criteri, sono disponibili gli operatori OR e AND. Per impostazione predefinita, il sistema seleziona l'operatore OR per unire due criteri. L'operatore AND è supportato tra due criteri solo quando:

Entrambi i criteri utilizzano lo stesso tipo di membro.
Entrambi i criteri utilizzano una singola condizione.

Quando si aggiungono più condizioni, si applicano le limitazioni seguenti:

In un singolo criterio di appartenenza sono supportate al massimo cinque condizioni con lo stesso tipo di membro. Ad esempio, in un criterio è possibile aggiungere al massimo cinque condizioni con il tipo di membro Macchina virtuale.
In un singolo criterio di appartenenza sono supportate al massimo 15 condizioni con tipi di membri misti. Ad esempio, in un criterio è possibile aggiungere al massimo 15 condizioni con una combinazione di tipi di membri Segmento e Porta segmento.
In un gruppo generico sono supportate al massimo 35 condizioni con tipi di membri misti.

Un gruppo può avere al massimo cinque criteri di appartenenza. Tuttavia, il numero totale di criteri che è possibile aggiungere in un gruppo è determinato dal numero di condizioni in ogni criterio. Vedere gli esempi seguenti.

Esempio 1

Un gruppo con tre criteri di appartenenza e un totale di 35 condizioni:

Il criterio 1 ha 15 condizioni con tipi di membri misti.
Il criterio 2 ha 15 condizioni con tipi di membri misti.
Il criterio 3 ha 5 condizioni con lo stesso tipo di membro.

Esempio 2

Un gruppo con quattro criteri di appartenenza e un totale di 35 condizioni:

Il criterio 1 ha 15 condizioni con tipi di membri misti.
Il criterio 2 ha 14 condizioni con tipi di membri misti.
Il criterio 3 ha quattro condizioni con lo stesso tipo di membro.
Il criterio 4 ha due condizioni con lo stesso tipo di membro.

Esempio 3

Un gruppo con cinque criteri di appartenenza e un totale di 22 condizioni:

Il criterio 1 ha 10 condizioni con tipi di membri misti.
Il criterio 2 ha tre condizioni con lo stesso tipo di membro.
Il criterio 3 ha quattro condizioni con lo stesso tipo di membro.
Il criterio 4 ha tre condizioni con lo stesso tipo di membro.
Il criterio 5 ha due condizioni con tipi di membri misti.

Poiché questo gruppo ha raggiunto il limite di cinque criteri, non è possibile aggiungere un altro criterio di appartenenza. Se necessario, è tuttavia possibile aggiungere altre condizioni in uno dei cinque criteri finché non si superano i seguenti limiti superiori indicati in precedenza:

Al massimo cinque condizioni con lo stesso tipo di membro in un singolo criterio.
Al massimo 15 condizioni con tipi di membri misti in un singolo criterio.
Un totale di 35 condizioni nel gruppo generico.

Limitazioni per i criteri con tipi di membri NSX misti


Tipo di membro	Criterio con tipi di membri misti	Operatore tag	Operatore ambito
Macchina virtuale	Non supportato	Uguale a: è possibile selezionare un tag. Contiene Inizia con Termina con	Uguale a
Segmento	Supportato Le condizioni basate sul segmento possono essere combinate con le condizioni basate sulla porta del segmento	Uguale a: è possibile selezionare un tag. Non è uguale a: è possibile selezionare un tag.	Uguale a Non è uguale a: se è selezionato, l'operatore del tag viene rimosso.
Porta segmento	Supportato Le condizioni basate sulla porta del segmento possono essere combinate con le condizioni basate sul segmento NSX	Uguale a: è possibile selezionare un tag. Non è uguale a: è possibile selezionare un tag. Non in: è possibile selezionare al massimo cinque tag.	Uguale a Non è uguale a: se è selezionato, l'operatore del tag viene rimosso.
Gruppi di porte distribuiti	Supportato Le condizioni basate sul gruppo di porte distribuito possono essere combinate con le condizioni basate sulla porta distribuita	Uguale a: è possibile selezionare un tag. Non è uguale a: è possibile selezionare un tag.	Uguale a Non è uguale a: se è selezionato, l'operatore del tag viene rimosso.
Porte distribuite	Supportato Le condizioni basate sulla porta distribuita possono essere combinate con le condizioni basate sul gruppo di porte distribuito	Uguale a: è possibile selezionare un tag. Non è uguale a: è possibile selezionare un tag. Non in: è possibile selezionare al massimo cinque tag.	Uguale a Non è uguale a: se è selezionato, l'operatore del tag viene rimosso.
Set di IP: questo tipo di membro verrà deprecato in futuro. È attualmente disponibile per ottenere la compatibilità con le versioni precedenti per NSGroup o gruppi preesistenti in base al criterio basato su tag del set di IP. È consigliabile utilizzare Gruppo come tipo di membro e aggiungere gruppi basati su tag di tipo "Solo indirizzi IP" in un criterio di appartenenza.	Non supportato	Uguale a: è possibile selezionare un tag.	Uguale a
Gruppo: utilizzare questo tipo di membro per aggiungere gruppi basati su tag di tipo "Solo indirizzi IP" in un criterio di appartenenza.	Non supportato	Uguale a: è possibile selezionare un tag.	Uguale a

Panoramica dei criteri di appartenenza con i tipi di membri di Kubernetes

A partire da NSX 4.1, è possibile creare gruppi generici con tipi di membri Kubernetes in criteri di appartenenza dinamica in modo che corrispondano al traffico in entrata o in uscita da cluster Kubernetes Antrea.

È quindi possibile utilizzare questi gruppi generici nelle regole del firewall distribuito o nelle regole del firewall del gateway per proteggere il traffico tra le macchine virtuali nell'ambiente NSX e i pod nei cluster Kubernetes Antrea.

Questa funzionalità richiede la versione di Antrea-NSX Interworking disponibile con VMware Container Networking™ with Antrea™ 1.6.0 o versione successiva. Vedere le note di rilascio della versione 1.6.0.

In un gruppo generico, i tipi di membri Kubernetes sono disponibili nella pagina Criteri di appartenenza solo quando almeno un cluster Kubernetes Antrea è registrato nell'ambiente NSX.

Nota: In un ambiente NSX multi-tenant, le risorse del cluster Kubernetes non sono esposte all'inventario del progetto. Pertanto, all'interno di un progetto, non è possibile creare gruppi generici con tipi di membri Kubernetes nei criteri di appartenenza dinamica.

Nella tabella seguente sono elencati i tipi di membri Kubernetes disponibili nella vista Predefinita di NSX 4.1 e versioni successive per aggiungere criteri di appartenenza dinamica in un gruppo generico. Ogni tipo di membro Kubernetes appartiene all'ambito del cluster o dello spazio dei nomi.

Tipo di membro	Ambito
Cluster Kubernetes	Cluster
Spazio dei nomi Kubernetes	Spazio dei nomi
Nodo Kubernetes	Cluster
Servizio Kubernetes	Spazio dei nomi
Ingresso Kubernetes	Spazio dei nomi
Gateway Kubernetes	Spazio dei nomi
Uscita Antrea	Cluster
Pool IP Antrea	Cluster

Convenzioni di denominazione utilizzate per le condizioni con tipi di membri Kubernetes

La tabella seguente illustra le convenzioni di denominazione utilizzate in questa documentazione per rappresentare le diverse condizioni che è possibile aggiungere nei criteri di appartenenza dinamica, basati sui tipi di membri Kubernetes.

Convenzione di denominazione per la condizione	Significato
Condizione cluster Kubernetes	Le condizioni nei criteri di appartenenza dinamica si basano sul tipo di membro Cluster Kubernetes.
Condizione spazio dei nomi Kubernetes	Le condizioni nei criteri di appartenenza dinamica si basano sul tipo di membro Spazio dei nomi Kubernetes.
Condizione risorse	Le condizioni nel criterio di appartenenza dinamica si basano su uno di questi tipi di membri Kubernetes: Servizio Kubernetes Ingresso Kubernetes Gateway Kubernetes Uscita Antrea Pool IP Antrea Nodo Kubernetes
Condizione risorse nell'ambito del cluster	Le condizioni nei criteri di appartenenza dinamica si basano su uno di questi tipi di membri Kubernetes: Uscita Antrea Pool IP Antrea Nodo Kubernetes
Condizione risorse nell'ambito dello spazio dei nomi	Le condizioni nei criteri di appartenenza dinamica si basano su uno di questi tipi di membri Kubernetes: Servizio Kubernetes Ingresso Kubernetes Gateway Kubernetes

Azioni per i criteri con tipi di membri Kubernetes misti

La tabella seguente fornisce un riepilogo generale delle limitazioni o delle convalide che si applicano all'utilizzo dei tipi di membri Kubernetes in un singolo criterio di appartenenza. Per esempi di convalide, vedere la sezione Convalide per il raggruppamento dinamico con tipi di membro Kubernetes più avanti in questa documentazione.

Tipo di membro	Limitazioni per l'utilizzo del tipo di membro in un criterio	Attributi supportati	Operatore tag	Operatore ambito
Cluster Kubernetes	Non può essere utilizzato da solo in un criterio. In un criterio è consentita una sola condizione cluster. Deve essere combinato con almeno una condizione risorse Kubernetes. Facoltativamente, può essere combinato con le condizioni dello Spazio dei nomi Kubernetes e le condizioni risorse Kubernetes.	Nome	Non supportato	Non supportato
Spazio dei nomi Kubernetes	Non può essere utilizzato da solo in un criterio. Non può essere combinato con le condizioni risorse con ambito cluster. Deve essere combinato con le condizioni risorse con ambito spazio dei nomi. Facoltativamente, può essere combinato con una condizione cluster Kubernetes.	Nome Tag	Uguale a - è possibile selezionare un solo tag	Uguale a
Uscita Antrea	Può essere utilizzato da solo in un criterio. Facoltativamente, può essere combinato con una condizione cluster Kubernetes.	Nome Tag	Uguale a - è possibile selezionare un solo tag	Uguale a
Pool IP Antrea	Può essere utilizzato da solo in un criterio. Facoltativamente, può essere combinato con una condizione cluster Kubernetes.	Nome Tag	Uguale a - è possibile selezionare un solo tag	Uguale a
Ingresso Kubernetes	Può essere utilizzato da solo in un criterio. Facoltativamente, può essere combinato solo con condizioni spazio dei nomi Kubernetes, con solo una condizione cluster Kubernetes o con entrambe.	Nome Tag	Uguale a - è possibile selezionare un solo tag	Uguale a
Gateway Kubernetes	Può essere utilizzato da solo in un criterio. Facoltativamente, può essere combinato solo con condizioni spazio dei nomi Kubernetes, con solo una condizione cluster Kubernetes o con entrambe.	Nome Tag	Uguale a - è possibile selezionare un solo tag	Uguale a
Servizio Kubernetes	Può essere utilizzato da solo in un criterio. Facoltativamente, può essere combinato solo con condizioni spazio dei nomi Kubernetes, con solo una condizione cluster Kubernetes o con entrambe.	Nome Tag	Uguale a - è possibile selezionare un solo tag	Uguale a
Nodo Kubernetes	Può essere utilizzato da solo in un criterio. È consentita una sola condizione a nodo singolo. Facoltativamente, può essere combinato con una condizione cluster Kubernetes. Non può essere combinato con le condizioni spazio dei nomi Kubernetes o le condizioni risorse Kubernetes.	Indirizzo IP CIDR pod	Non supportato Vedere la Nota successiva a questa tabella.	Non supportato

Nota: Quando si crea un gruppo generico con il tipo di membro Nodo Kubernetes utilizzando l'API, è consentito solo l'operatore Corrisponde a. Questo operatore può accettare solo il valore *. Il carattere jolly * corrisponderà a tutti i nodi nel cluster K8s (se la condizione Nodo Kubernetes è combinata con una condizione Cluster Kubernetes) oppure corrisponderà ai nodi di tutti i cluster (se la condizione Nodo Kubernetes viene utilizzata da sola).

Convalide per il raggruppamento dinamico con tipi di membro Kubernetes

Convalida 1

Un criterio di appartenenza può avere al massimo una condizione Cluster Kubernetes. Per associare un singolo cluster Kubernetes in base al nome, utilizzare l'operatore Uguale a e immettere il nome del cluster.

Nota: Il nome del cluster Kubernetes deve essere univoco.

Se si desidera associare più cluster in una singola condizione Cluster Kubernetes, è possibile utilizzare uno di questi operatori:

In
Inizia con
Termina con

Esempio:

Corrisponde a un singolo cluster K8s	Corrisponde a più cluster K8s
Criterio: Nome cluster Kubernetes uguale a ClusterA	Criterio: Nome cluster Kubernetes in ClusterA,ClusterB,ClusterC Sono consentiti al massimo cinque valori separati da virgole. I valori non devono essere separati da spazi.

Corrisponde a un singolo cluster K8s

Corrisponde a più cluster K8s

Criterio:

Nome cluster Kubernetes uguale a ClusterA

Criterio:

Nome cluster Kubernetes in ClusterA,ClusterB,ClusterC

Sono consentiti al massimo cinque valori separati da virgole. I valori non devono essere separati da spazi.

Convalida 2

Un criterio di appartenenza con una condizione Cluster Kubernetes può essere mescolato con una qualsiasi delle condizioni risorse Kubernetes. Se si aggiungono anche condizioni Spazio dei nomi Kubernetes nello stesso criterio, le condizioni risorse devono essere limitate solo alle condizioni risorse nell'ambito dello spazio dei nomi.

Esempi:

Un criterio di appartenenza con una condizione cluster Kubernetes e tre condizioni Ingresso Kubernetes è valido.
Un criterio di appartenenza con una condizione cluster Kubernetes e due condizioni Uscita Antrea è valido.
Un criterio di appartenenza con una condizione cluster Kubernetes e tre condizioni Pool di IP Antrea è valido.
Un criterio di appartenenza con una condizione Cluster Kubernetes, una condizione Spazio dei nomi Kubernetes e tre condizioni Gateway Kubernetes è valido.

Convalida 3

Un criterio di appartenenza deve includere almeno una condizione di risorsa Kubernetes. Un criterio di appartenenza non è valido se contiene:

Solo condizione Cluster Kubernetes
Solo condizione Spazio dei nomi Kubernetes
Solo condizione Cluster Kubernetes e Spazio dei nomi Kubernetes

Esempi:

Un criterio di appartenenza con una condizione Cluster Kubernetes, una condizione Spazio dei nomi Kubernetes e una condizione Ingresso Kubernetes è valido.
Un criterio di appartenenza con una condizione Cluster Kubernetes, due condizioni Spazio dei nomi Kubernetes e due condizioni Ingresso Kubernetes è valido.

Convalida 4

Un criterio di appartenenza può avere una sola condizione di nodo Kubernetes. Facoltativamente, una condizione Nodo Kubernetes può essere combinata solo con una condizione Cluster Kubernetes.

Una condizione Nodo Kubernetes non può essere combinata con le condizioni Spazio dei nomi Kubernetes o con le condizioni risorse Kubernetes.

Un criterio di appartenenza con solo una condizione Nodo Kubernetes può essere autonomo. Tuttavia, un gruppo con solo una condizione Nodo Kubernetes corrisponderà ai nodi di tutti i cluster Kubernetes Antrea registrati in NSX.

L'operatore Tag e l'operatore Ambito non sono attualmente supportati per la condizione Nodo Kubernetes.

La condizione Nodo Kubernetes supporta le due proprietà seguenti.

Proprietà	Descrizione
Indirizzo IP	Corrisponde all'indirizzo IP interno di tutti i nodi dei cluster Kubernetes Antrea specificati.
CIDR pod	Corrisponde al CIDR del pod di tutti i nodi dei cluster Kubernetes Antrea specificati.

Convalida 5

Se un criterio di appartenenza include la condizione Cluster Kubernetes e le condizioni Spazio dei nomi Kubernetes, deve includere almeno una condizione risorse Kubernetes con ambito dello spazio dei nomi. Non è possibile combinare una delle seguenti condizioni risorse Kubernetes di ambito cluster nello stesso criterio:

Uscita Antrea
Pool di IP Antrea
Nodo Kubernetes

Esempi:

Un criterio di appartenenza con una condizione Cluster Kubernetes, due condizioni Spazio dei nomi Kubernetes e condizioni Gateway Kubernetes è valido.
Un criterio di appartenenza con una condizione Cluster Kubernetes, due condizioni Spazio dei nomi Kubernetes e quattro condizioni Servizio Kubernetes è valido.
Un criterio di appartenenza con una condizione Cluster Kubernetes. una condizione Spazio dei nomi Kubernetes e una condizione Uscita Antrea non è valida perché Uscita Antrea è una risorsa nell'ambito cluster.

Convalida 6

Un criterio di appartenenza deve includere almeno una condizione di risorsa Kubernetes. Una condizione risorse può essere autonoma in un criterio. Tuttavia, se si aggiungono più condizioni risorse in un criterio, tutte le condizioni risorse devono essere dello stesso tipo di membro.

Nota: Le condizioni Cluster Kubernetes e Spazio dei nomi Kubernetes vengono utilizzate per definire l'ambito di un criterio. Non sono condizioni risorse Kubernetes e quindi non sono limitate da questa regola di convalida.

Esempi:

Un criterio di appartenenza con cinque condizioni Servizio Kubernetes è valido.
Un criterio di appartenenza con una condizione Cluster Kubernetes, tre condizioni Spazio dei nomi Kubernetes e quattro condizioni Servizio Kubernetes è valido.
Un criterio di appartenenza con una condizione Cluster Kubernetes, tre condizioni Spazio dei nomi Kubernetes, quattro condizioni Servizio Kubernetes e tre condizioni Ingresso Kubernetes non è valido. Il motivo è che si mescolano condizioni risorse di due tipi di membri diversi (Servizio Kubernetes e Ingresso Kubernetes) nello stesso criterio.
Tuttavia, è possibile creare criteri separati con una condizione risorse basata su un singolo tipo di membro e quindi unire entrambi i criteri con un operatore OR, come illustrato di seguito:
Criterio 1:
una condizione Cluster Kubernetes + tre condizioni Spazio dei nomi Kubernetes + quattro condizioni Servizio Kubernetes
OR
Criterio 2:
una condizione Cluster Kubernetes + tre condizioni Spazio dei nomi Kubernetes + tre condizioni Ingresso Kubernetes

Convalida 7

In un singolo criterio di appartenenza, le condizioni basate sui tipi di membri NSX non possono essere combinate con le condizioni basate sui tipi di membri Kubernetes. Tuttavia, è possibile disporre di un gruppo con un criterio basato solo sui tipi di membri NSX e un altro criterio basato solo su tipi di membri Kubernetes e quindi unire entrambi i criteri con un operatore OR.

Esempio:

Valida	Non valido
Criterio 1: Condizioni della macchina virtuale OR Criterio 2: Condizione Cluster Kubernetes + condizioni Gateway Kubernetes	Criterio: Condizione Segmento NSX + condizione Porta segmento AND Condizione Cluster Kubernetes + condizioni Gateway Kubernetes

Valida

Non valido

Criterio 1:

Condizioni della macchina virtuale

Criterio 2:

Condizione Cluster Kubernetes + condizioni Gateway Kubernetes

Criterio:

Condizione Segmento NSX + condizione Porta segmento

AND

Condizione Cluster Kubernetes + condizioni Gateway Kubernetes