Per proteggere il traffico tra pod in un cluster Kubernetes Antrea, è possibile creare criteri del firewall distribuito (criteri di sicurezza) in NSX e applicarli a uno o più cluster Kubernetes Antrea.
L'interfaccia utente di utilizza il termine "cluster di container Antrea" per alcuni campi o etichette dell'interfaccia utente. Nella sezione Procedura della presente documentazione, il termine "cluster di container Antrea" viene mantenuto per tali campi o etichette dell'interfaccia utente. Per tutto il testo libero, viene utilizzato il termine "cluster Kubernetes Antrea".
Prerequisiti
- I cluster Kubernetes Antrea sono registrati in NSX.
- Nella distribuzione di NSX applicare una licenza di sicurezza appropriata che autorizzi il sistema a configurare criteri di sicurezza del firewall distribuito.
Procedura
risultati
- Il plug-in di rete Antrea crea un criterio di rete del cluster corrispondente a ogni criterio del firewall distribuito applicato al cluster Kubernetes Antrea.
- Se le regole contengono origini, in Criterio di rete cluster Antrea vengono create le regole di ingresso corrispondenti.
- Se le regole contengono destinazioni, in Criterio di rete cluster Antrea vengono create le regole di uscita corrispondenti.
- Se le regole contengono una configurazione Qualsiasi-Qualsiasi, Controller Antrea nel cluster divide la regola Qualsiasi-Qualsiasi in due regole, ovvero una regola di ingresso da Qualsiasi a Qualsiasi e un'altra regola di uscita da Qualsiasi a Qualsiasi.
Operazioni successive
Dopo aver realizzato correttamente i criteri di sicurezza nei cluster Kubernetes Antrea, è possibile eseguire le seguenti attività facoltative:
- Verificare che i criteri di rete del cluster Antrea siano visualizzati nei cluster Kubernetes. Eseguire il comando di kubectl seguente in ogni cluster Kubernetes Antrea:
$ kubectl get acnp
Nota: Il parametro priority nei criteri di rete del cluster Antrea include un valore float. Questo risultato è previsto. Nell'interfaccia utente di NSX Manager non viene visualizza la priorità dei criteri del firewall distribuito. NSX assegna internamente un valore intero alla priorità di ogni criterio. Questo valore intero viene assegnato da un ampio intervallo. Ma il plug-in di rete Antrea assegna un numero float più piccolo (valore assoluto) alla priorità dei criteri di rete del cluster Antrea. Pertanto, i valori di priorità di NSX vengono normalizzati internamente in numeri float più piccoli. Tuttavia, l'ordine in cui vengono aggiunti i criteri in una categoria di firewall distribuito viene conservato per i criteri di rete del cluster Antrea.È inoltre possibile visualizzare i dettagli dei criteri di rete del cluster Antrea nell'inventario di NSX. In NSX Manager passare a . Espandere il nome del cluster e fare clic sul numero accanto a Criteri di rete cluster per visualizzare i dettagli dei criteri, incluse le specifiche YAML.
- Visualizzare le statistiche dei criteri tramite NSX API:
GET https://{nsx-mgr-ip}/api/v1/infra/domains{domain-id}/security-policies/{security-policy-name}/statistics?container_cluster_path=/infra/sites/{site-id}/enforcement-points/{enforcement-point-id}/cluster-control-planes/{cluster-name}
- Visualizzazione delle statistiche della regola di runtime nell'interfaccia utente:
- In NSX Manager passare a .
- Espandere il nome del criterio e quindi fare clic sull'icona del grafico nell'angolo all'estrema destra di ciascuna regola.
- Selezionare il cluster Kubernetes dal menu a discesa per visualizzare le statistiche della regola per ogni cluster Kubernetes.
Le statistiche della regola vengono elaborate separatamente per ogni cluster Kubernetes in cui viene applicata la regola. Le statistiche non vengono aggregate per tutti i cluster Kubernetes e visualizzate nell'interfaccia utente. Le statistiche della regola vengono elaborate ogni minuto.