È possibile aggiungere indirizzi IP statici, criteri di appartenenza o entrambi in gruppi Antrea e quindi utilizzare questi gruppi come origine o destinazione dei criteri del firewall distribuito creati per proteggere il traffico in un cluster Kubernetes Antrea.

Prerequisiti

Almeno un cluster Kubernetes Antrea registrato in NSX.

Procedura

  1. Dal browser, accedere a NSX Manager all'indirizzo https://nsx-manager-ip-address.
  2. Passare a Inventario > Gruppi.
    Nota: L'interfaccia utente di NSX Manager recupera le informazioni relative ai cluster Kubernetes di Antrea registrati quando si avvia l'applicazione NSX Manager nel browser. Se l'interfaccia utente dell'applicazione è già aperta, non recupera automaticamente le informazioni di registrazione del cluster Kubernetes Antrea. Questo comportamento è previsto e in base alla progettazione dell'interfaccia utente corrente. Se è stato registrato il primo cluster Kubernetes Antrea dopo l'apertura dell'applicazione NSX Manager, assicurarsi di aggiornare il browser dopo aver navigato nella pagina Gruppi. L'aggiornamento manuale garantisce che l'opzione del tipo di gruppo Antrea sia visibile nell'interfaccia utente quando si raggiunge il passaggio 5 di questa procedura.

    L'aggiornamento manuale del browser è necessario solo una volta e non ogni volta dopo la registrazione di un nuovo cluster Kubernetes Antrea in NSX.

  3. Fare clic su Aggiungi gruppo.
  4. Immettere un nome e, facoltativamente, una descrizione per il gruppo.
  5. Fare clic su Imposta e selezionare Antrea come tipo di gruppo.
    Un gruppo Antrea può includere criteri di appartenenza, indirizzi IP statici o entrambi. In base alle proprie esigenze, eseguire il passaggio 6 o 7 oppure entrambi.
  6. Per aggiungere un criterio di appartenenza, fare clic su Aggiungi criterio.
    1. Nel riquadro Criterio selezionare il tipo di membro in cui si desidera definire la condizione.
      I tipi di membro supportati sono: Spazio dei nomi, Servizio e Pod.
    2. Specificare le proprietà della condizione, ad esempio nome o tag, operatore del tag e operatore dell'ambito, in base alle necessità.
    3. (Facoltativo) Per aggiungere più condizioni in un criterio di appartenenza, fare clic sull'icona con il segno più nell'angolo superiore destro del riquadro Criterio e definire le proprietà della condizione.
      In un criterio di appartenenza, NSX unisce tutte le condizioni con l'operatore AND, per impostazione predefinita. L'operatore OR non è supportato.
    4. (Facoltativo) Per aggiungere più criteri, fare di nuovo clic su Aggiungi criterio.
      Per unire i criteri di appartenenza, è possibile utilizzare gli operatori AND e OR. Per impostazione predefinita, NSX seleziona l'operatore OR per unire due criteri. L'operatore AND è supportato tra due criteri solo quando:
      • Entrambi i criteri utilizzano lo stesso tipo di membro.
      • Entrambi i criteri utilizzano una singola condizione.

      Per ulteriori informazioni su ciò che è supportato e ciò che non è supportato per l'aggiunta di criteri di appartenenza, vedere Gruppi Antrea.

  7. Per aggiungere indirizzi IP statici nel gruppo, fare clic su Indirizzi IP e immettere i valori degli indirizzi IP nella casella di testo.
    Se si desidera importare i valori degli indirizzi IP da un file TXT o CSV, fare clic su Azioni > Importa. I valori del file devono essere separati da virgole. I valori consentiti sono indirizzi IP, intervalli di indirizzi IP o indirizzi IP in formato CIDR. È inoltre possibile eseguire una combinazione di entrambe le azioni, ovvero immettere valori nella casella di testo e importare valori da un file. Il numero totale di valori di indirizzi IP nella casella di testo non deve tuttavia superare il limite massimo visualizzato nella scheda Indirizzi IP.
  8. Fare clic su Applica, quindi fare clic su Salva.

risultati

Il gruppo Antrea viene salvato in NSX e lo stato diventa Operazione eseguita.

Nota:
  • I membri effettivi vengono elaborati per i gruppi Antrea solo quando i gruppi Antrea vengono utilizzati nelle regole del firewall distribuito.

    Quando si aggiungono gruppi Antrea con criteri di appartenenza, ma questi gruppi non vengono utilizzati in alcuna regola del firewall distribuito, i membri effettivi di questi gruppi Antrea non vengono elaborati o valutati in NSX. In altre parole, la pagina Membri effettivi di questi gruppi Antrea è vuota.

  • Quando si aggiungono indirizzi IP statici nei gruppi Antrea, i membri effettivi non vengono al momento visualizzati nell'interfaccia utente, indipendentemente dal fatto che i gruppi vengano utilizzati nelle regole del firewall distribuito.

Esempio: Aggiunta di un gruppo Antrea in base a pod

Si supponga di voler aggiungere un gruppo Antrea che contenga tutti i pod che eseguono le applicazioni finanziarie Revenue, Sales e Metrics in tutti gli spazi dei nomi nel cluster Kubernetes Antrea.

Si tenga presente che ai pod del cluster Kubernetes Antrea vengono collegati i tag seguenti.
Tag Ambito
RevenueApp Contabilità
SalesApp Contabilità
MetricsApp Contabilità

Creare un criterio di appartenenza con tre condizioni basate sul tipo di membro Pod nel modo seguente:

Criterio:

Tag pod uguale a RevenueApp Ambito uguale a Contabilità

Tag pod uguale a SalesApp Ambito uguale a Contabilità

Tag pod uguale a MetricsApp Ambito uguale a Contabilità

Per impostazione predefinita, NSX utilizza l'operatore AND dopo ogni condizione. Quando questo gruppo Antrea viene utilizzato in una regola del firewall distribuito, vengono elaborati i membri pod effettivi per questo gruppo.

Dopo che il criterio del firewall distribuito è stato realizzato, passare alla pagina Aggiungi gruppo. Fare clic su Visualizza membri per questo gruppo Antrea e verificare che nella pagina Membri effettivi vengano visualizzati i membri pod effettivi.