In questo esempio, l'obiettivo è creare un criterio del firewall distribuito in NSX per proteggere il traffico da pod a pod nell'applicazione Enterprise Human Resource, che è in esecuzione in un singolo cluster Kubernetes Antrea.
Si supponga che i carichi di lavoro del pod nel cluster Kubernetes Antrea eseguano i microservizi Web, App e Database dell'applicazione Enterprise Human Resource. Sono stati aggiunti gruppi Antrea nell'ambiente di NSX utilizzando criteri di appartenenza basati su pod, come illustrato nella tabella seguente.
Nome del gruppo Antrea | Criteri di appartenenza |
---|---|
HR-Web |
Tag pod uguale a Ambito Web uguale a HR |
HR-App |
Tag pod uguale a Ambito app uguale a HR |
HR-DB |
Tag pod uguale a Ambito DB uguale a HR |
L'obiettivo è creare un criterio di sicurezza nella categoria Applicazione con tre regole del firewall, come indicato di seguito:
- Consentire tutto il traffico dal gruppo HR-Web al gruppo HR-App.
- Consentire tutto il traffico dal gruppo HR-App al gruppo HR-DB.
- Rifiutare tutto il traffico da HR-Web al gruppo HR-DB.
Prerequisiti
- Il cluster Kubernetes Antrea è registrato in NSX.
- Nella distribuzione di NSX applicare una licenza di sicurezza appropriata che autorizzi il sistema a configurare criteri di sicurezza del firewall distribuito.
Procedura
risultati
Quando il criterio viene realizzato correttamente, nel cluster Kubernetes
Antrea si verificano i risultati seguenti:
- Viene creato un criterio di rete del cluster Antrea (ACNP).
- Le regole 1022, 1023 e 1024 vengono applicate nel cluster Kubernetes in questo ordine.
- Per ogni regola del firewall, viene creata una regola di ingresso corrispondente nel criterio di rete del cluster.