In questo esempio, l'obiettivo è creare un criterio del firewall distribuito in NSX per proteggere il traffico da pod a pod nell'applicazione Enterprise Human Resource, che è in esecuzione in un singolo cluster Kubernetes Antrea.

Si supponga che i carichi di lavoro del pod nel cluster Kubernetes Antrea eseguano i microservizi Web, App e Database dell'applicazione Enterprise Human Resource. Sono stati aggiunti gruppi Antrea nell'ambiente di NSX utilizzando criteri di appartenenza basati su pod, come illustrato nella tabella seguente.

Nome del gruppo Antrea Criteri di appartenenza

HR-Web

Tag pod uguale a Ambito Web uguale a HR

HR-App

Tag pod uguale a Ambito app uguale a HR

HR-DB

Tag pod uguale a Ambito DB uguale a HR

L'obiettivo è creare un criterio di sicurezza nella categoria Applicazione con tre regole del firewall, come indicato di seguito:
  • Consentire tutto il traffico dal gruppo HR-Web al gruppo HR-App.
  • Consentire tutto il traffico dal gruppo HR-App al gruppo HR-DB.
  • Rifiutare tutto il traffico da HR-Web al gruppo HR-DB.

Prerequisiti

  • Il cluster Kubernetes Antrea è registrato in NSX.
  • Nella distribuzione di NSX applicare una licenza di sicurezza appropriata che autorizzi il sistema a configurare criteri di sicurezza del firewall distribuito.

Procedura

  1. Dal browser, accedere a NSX Manager all'indirizzo https://nsx-manager-ip-address.
  2. Fare clic sulla scheda Sicurezza e quindi in Gestione criteri fare clic su Firewall distribuito.
    Viene visualizzata la pagina Regole specifiche per una categoria.
  3. Verificare di trovarsi nella categoria Applicazione.
  4. Fare clic su Aggiungi criterio e immettere un nome per il criterio.
    Ad esempio, immettere EnterpriseHRPolicy.
  5. Nel campo Si applica a del criterio, selezionare il cluster Kubernetes Antrea in cui sono in esecuzione i carichi di lavoro del pod dell'applicazione Enterprise Human Resource.
  6. Pubblicare il criterio.
  7. Selezionare il nome del criterio e fare clic su Aggiungi regola.
    Configurare tre regole del firewall, come illustrato nella tabella seguente.
    Nome regola ID regola Origini Destinazioni Servizi Si applica a Azione
    Da Web ad App 1022 HR-Web N/D Qualsiasi HR-App Consenti
    Da App a DB 1023 HR-App N/D Qualsiasi HR-DB Consenti
    Da Web a DB 1024 HR-Web N/D Qualsiasi HR-DB Rifiuta

    Gli ID delle regole nella tabella sono solo valori di esempio per questo esempio. Gli ID delle regole possono variare nell'ambiente di NSX.

  8. Pubblicare le regole.

risultati

Quando il criterio viene realizzato correttamente, nel cluster Kubernetes Antrea si verificano i risultati seguenti:
  • Viene creato un criterio di rete del cluster Antrea (ACNP).
  • Le regole 1022, 1023 e 1024 vengono applicate nel cluster Kubernetes in questo ordine.
  • Per ogni regola del firewall, viene creata una regola di ingresso corrispondente nel criterio di rete del cluster.