NSX 管理者によって作成された DFW セクションの処理

マネージャからポリシーへの移行では、分散ファイアウォール (DFW) セクションが Vanilla Kubernetes クラスタ、TKGi クラスタ、TAS 基盤に及ぼす影響に応じて、NSX 管理者の対応が必要になることがあります。

NSX 管理者が DFW セクションを作成していない場合は、以下の情報をスキップできます。

DFW セクションがクラスタ/基盤に影響しない

NSX 管理者が次のいずれかを行う可能性があります。

ポリシー API を使用して、マネージャモードで作成された DFW と同じ DFW を作成する。
すべての Kubernetes クラスタが移行された後、NSX ユーザーインターフェイスを使用してすべてを移行する。
TAS で、基盤の移行前または移行後に DFW セクション/ルールを共有リソースとして移行します。DFW ルールの送信元と宛先が「ANY」の場合は、このような DFW セクションをデフォルトの NSX ポリシードメインに移行する必要があります。

DFW セクションが 1 つのクラスタ/基盤にのみ影響する

複数のセクションがある場合も、1 つのセクションに複数ルールがある場合もあります。

最上部セクションと最下部セクションのマーカー	NSX 管理者のアクション
NCP が、最上部セクションと最下部セクションのマーカーを使用しています NSX 管理者が作成したセクションは、最上部セクションと最下部セクションのマーカーの外側にあります。	Kubernetes ポリシー API を使用して、マネージャモードで作成された DFW をクラスタの最上部マーカーの上に作成します。これは、クラスタの移行を実行する前に処理されます。クラスタの移行が完了した後に、最下部マーカーの下にあるセクション/ルールに同じ操作を行います。 TAS 基盤の移行を実行する前に、クラスタの最上部マーカーより上にある、マネージャモードで作成された DFW を共有リソースとして移行します。基盤の移行が完了した後に、最下部マーカーの下にあるセクション/ルールに同じ操作を行います。すべての基盤が移行された後、優先順位の低いセクション（マネージャモードで最下部マーカーの下にあるのセクション）がポリシーに移行されていることを確認します。

最上部セクションと最下部セクションのマーカー

NSX 管理者のアクション

NCP が、最上部セクションと最下部セクションのマーカーを使用しています

NSX 管理者が作成したセクションは、最上部セクションと最下部セクションのマーカーの外側にあります。

Kubernetes

ポリシー API を使用して、マネージャモードで作成された DFW をクラスタの最上部マーカーの上に作成します。これは、クラスタの移行を実行する前に処理されます。クラスタの移行が完了した後に、最下部マーカーの下にあるセクション/ルールに同じ操作を行います。

TAS

基盤の移行を実行する前に、クラスタの最上部マーカーより上にある、マネージャモードで作成された DFW を共有リソースとして移行します。基盤の移行が完了した後に、最下部マーカーの下にあるセクション/ルールに同じ操作を行います。

すべての基盤が移行された後、優先順位の低いセクション（マネージャモードで最下部マーカーの下にあるのセクション）がポリシーに移行されていることを確認します。

最上部セクションと最下部セクションのマーカー	NSX 管理者のアクション
NCP が、最上部セクションと最下部セクションのマーカーを使用しています NSX 管理者が作成したセクションは、セクションの最上部マーカーと最下部マーカーの内側にあります。	Kubernetes 管理者が作成したセクションを最上部セクションのマーカーより上に移動できる場合は、クラスタの移行前に、マネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。管理者が作成したセクションを最下部セクションのマーカーより下に移動できる場合は、クラスタの移行が完了した後に、マネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。 TAS 管理者が作成したセクションを最上部セクションのマーカーより上に移動できる場合は、基盤の移行前に共有リソースと同じ DFW を移行します。管理者が作成したセクションを最下部セクションのマーカーより下に移動できる場合は、基盤の移行後に共有リソースと同じ DFW を移行します。 Kubernetes と TAS 上記のいずれも実行できない場合、このシナリオはサポートされません。

最上部セクションと最下部セクションのマーカー

NSX 管理者のアクション

NCP が、最上部セクションと最下部セクションのマーカーを使用しています

NSX 管理者が作成したセクションは、セクションの最上部マーカーと最下部マーカーの内側にあります。

Kubernetes

管理者が作成したセクションを最上部セクションのマーカーより上に移動できる場合は、クラスタの移行前に、マネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。

管理者が作成したセクションを最下部セクションのマーカーより下に移動できる場合は、クラスタの移行が完了した後に、マネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。

TAS

管理者が作成したセクションを最上部セクションのマーカーより上に移動できる場合は、基盤の移行前に共有リソースと同じ DFW を移行します。

管理者が作成したセクションを最下部セクションのマーカーより下に移動できる場合は、基盤の移行後に共有リソースと同じ DFW を移行します。

Kubernetes と TAS

上記のいずれも実行できない場合、このシナリオはサポートされません。

最上部セクションと最下部セクションのマーカー	NSX 管理者のアクション
NCP が、最上部セクションと最下部セクションのマーカーを使用していませんこの場合、NCP はマネージャモードで DFW セクションを最上部または最下部に作成します。	Kubernetes NCP が作成した最上部セクションより上に管理者が作成したセクションを移動できる場合は、クラスタが移行される前に、マネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。 NCP が作成した最下部セクションより下に管理者が作成したセクションを移動できる場合は、クラスタの移行が完了した後に、マネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。 TAS 管理者が作成したセクションを NCP 作成の最上部セクションより上に移動できる場合は、基盤の移行前に共有リソースと同じ DFW を移行します。管理者が作成したセクションを NCP 作成の最下部セクションより下に移動できる場合は、基盤の移行後に共有リソースと同じ DFW を移行します。

最上部セクションと最下部セクションのマーカー

NSX 管理者のアクション

NCP が、最上部セクションと最下部セクションのマーカーを使用していません

この場合、NCP はマネージャモードで DFW セクションを最上部または最下部に作成します。

Kubernetes

NCP が作成した最上部セクションより上に管理者が作成したセクションを移動できる場合は、クラスタが移行される前に、マネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。

NCP が作成した最下部セクションより下に管理者が作成したセクションを移動できる場合は、クラスタの移行が完了した後に、マネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。

TAS

管理者が作成したセクションを NCP 作成の最上部セクションより上に移動できる場合は、基盤の移行前に共有リソースと同じ DFW を移行します。

管理者が作成したセクションを NCP 作成の最下部セクションより下に移動できる場合は、基盤の移行後に共有リソースと同じ DFW を移行します。

DFW セクションが複数の Kubernetes クラスタに影響する

最上部セクションと最下部セクションのマーカー	NSX 管理者のアクション
NCP が、最上部セクションと最下部セクションのマーカーを使用していますすべてのクラスタ/基盤で、最上部セクションのマーカーと最下部セクションのマーカーが同じです。 NSX 管理者が作成したセクションは、最上部セクションと最下部セクションのマーカーの外側にあります。	Kubernetes クラスタを移行する前に、最上位マーカーの上にあるマネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。すべてのクラスタが移行された後に、最下部マーカーの下にあるセクション/ルールに同じ操作を実行します。 TAS 最初の基盤の移行中に、最上部マーカーより上にある、マネージャモードで作成された DFW を共有リソースとして移行します。すべての基盤が移行された後に、最下部マーカーの下にあるセクション/ルールに同じ操作を実行します。

最上部セクションと最下部セクションのマーカー

NSX 管理者のアクション

NCP が、最上部セクションと最下部セクションのマーカーを使用しています

すべてのクラスタ/基盤で、最上部セクションのマーカーと最下部セクションのマーカーが同じです。

NSX 管理者が作成したセクションは、最上部セクションと最下部セクションのマーカーの外側にあります。

Kubernetes

クラスタを移行する前に、最上位マーカーの上にあるマネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。すべてのクラスタが移行された後に、最下部マーカーの下にあるセクション/ルールに同じ操作を実行します。

TAS

最初の基盤の移行中に、最上部マーカーより上にある、マネージャモードで作成された DFW を共有リソースとして移行します。すべての基盤が移行された後に、最下部マーカーの下にあるセクション/ルールに同じ操作を実行します。

最上部セクションと最下部セクションのマーカー	NSX 管理者のアクション
NCP が、最上部セクションと最下部セクションのマーカーを使用していますすべてのクラスタ/基盤で、最上部セクションのマーカーと最下部セクションのマーカーが同じです。 NSX 管理者が作成したセクションは、最上部セクションと最下部セクションのマーカーの内側にあります。	Kubernetes 管理者が作成したセクションを最上部セクションマーカーより上に移動できる場合は、セクションの影響を受けるクラスタを移行する前に、ポリシー API を使用して、マネージャモードで作成された DFW と同じ DFW を作成します。管理者が作成したセクションを最下部セクションマーカーより下に移動できる場合は、セクションの影響を受けるクラスタを移行した後に、ポリシー API を使用して、マネージャモードで作成された DFW と同じ DFW を作成します。 TAS 管理者が作成したセクションを最上部セクションのマーカーより上に移動できる場合は、セクションの影響を受ける基盤を移行する前に、共有リソースと同じ DFW を移行します。これらは、いずれかの基盤の Opsmanager を使用して移行できます。管理者が作成したセクションを最下部セクションのマーカーより下に移動できる場合は、セクションの影響を受けるすべての基盤を移行した後に、共有リソースと同じ DFW を移行します。これらは、いずれかの基盤の Opsmanager を使用して移行できます。 Kubernetes と TAS 上記のいずれも実行できない場合、このシナリオはサポートされません。

最上部セクションと最下部セクションのマーカー

NSX 管理者のアクション

NCP が、最上部セクションと最下部セクションのマーカーを使用しています

すべてのクラスタ/基盤で、最上部セクションのマーカーと最下部セクションのマーカーが同じです。

NSX 管理者が作成したセクションは、最上部セクションと最下部セクションのマーカーの内側にあります。

Kubernetes

管理者が作成したセクションを最上部セクションマーカーより上に移動できる場合は、セクションの影響を受けるクラスタを移行する前に、ポリシー API を使用して、マネージャモードで作成された DFW と同じ DFW を作成します。

管理者が作成したセクションを最下部セクションマーカーより下に移動できる場合は、セクションの影響を受けるクラスタを移行した後に、ポリシー API を使用して、マネージャモードで作成された DFW と同じ DFW を作成します。

TAS

管理者が作成したセクションを最上部セクションのマーカーより上に移動できる場合は、セクションの影響を受ける基盤を移行する前に、共有リソースと同じ DFW を移行します。これらは、いずれかの基盤の Opsmanager を使用して移行できます。

管理者が作成したセクションを最下部セクションのマーカーより下に移動できる場合は、セクションの影響を受けるすべての基盤を移行した後に、共有リソースと同じ DFW を移行します。これらは、いずれかの基盤の Opsmanager を使用して移行できます。

Kubernetes と TAS

上記のいずれも実行できない場合、このシナリオはサポートされません。

最上部セクションと最下部セクションのマーカー	NSX 管理者のアクション
NCP がセクションの最上部セクションと最下部セクションのマーカーを使用しています。クラスタ/基盤によって、最上部セクションのマーカーと最下部セクションのマーカーが異なります。 NSX 管理者が作成したセクションは、最上部セクションと最下部セクションのマーカーの外側にあります。	Kubernetes クラスタを移行する前に、最上位マーカーの上にあるマネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。すべてのクラスタの移行が完了した後に、最下部マーカーの下にあるセクション/ルールに同じ操作を実行します。 TAS 基盤の移行中に、最上部マーカーより上にある、マネージャモードで作成された DFW を共有リソースとして移行します。すべての基盤が移行された後に、最下部マーカーの下にあるセクション/ルールに同じ操作を実行します。

最上部セクションと最下部セクションのマーカー

NSX 管理者のアクション

NCP がセクションの最上部セクションと最下部セクションのマーカーを使用しています。

クラスタ/基盤によって、最上部セクションのマーカーと最下部セクションのマーカーが異なります。

NSX 管理者が作成したセクションは、最上部セクションと最下部セクションのマーカーの外側にあります。

Kubernetes

クラスタを移行する前に、最上位マーカーの上にあるマネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。すべてのクラスタの移行が完了した後に、最下部マーカーの下にあるセクション/ルールに同じ操作を実行します。

TAS

基盤の移行中に、最上部マーカーより上にある、マネージャモードで作成された DFW を共有リソースとして移行します。すべての基盤が移行された後に、最下部マーカーの下にあるセクション/ルールに同じ操作を実行します。

最上部セクションと最下部セクションのマーカー	NSX 管理者のアクション
NCP がセクションの最上部セクションと最下部セクションのマーカーを使用しています。クラスタ/基盤によって、最上部セクションのマーカーと最下部セクションのマーカーが異なります。 NSX 管理者が作成したセクションは、最上部セクションと最下部セクションのマーカーの内側にあります。	Kubernetes 可能であれば、セクションの影響を受けるすべてのクラスタの最上位セクションのマーカーの上にセクションを移動します。次に、セクションの影響を受けるクラスタを移行する前に、マネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。可能であれば、セクションの影響を受けるすべてのクラスタの最下位セクションのマーカーの下にセクションを移動します。次に、セクションの影響を受けるクラスタを移行した後に、マネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。 TAS 可能であれば、セクションの影響を受けるすべてのクラスタの最上部セクションのマーカーより上に、管理者が作成したセクションを移動します。次に、セクションの影響を受ける基盤のいずれかを移行する前に、共有リソースと同じ DFW を移行します。これらは、いずれかの基盤の Opsmanager を使用して移行できます。可能であれば、セクションの影響を受けるすべてのクラスタの最下部セクションのマーカーより下に、管理者が作成したセクションを移動します。次に、セクションの影響を受ける基盤をすべて移行した後に、共有リソースと同じ DFW を移行します。これらは、いずれかの基盤の Opsmanager を使用して移行できます。 Kubernetes と TAS 可能であれば、セクションを小さなセクションに分割します。これにより、次のようになります。各セクションが 1 つのクラスタ/基盤にのみ影響します。上記の表の「DFW セクションが 1 つの Kubernetes クラスタ/基盤にのみ影響する」で説明したシナリオに該当します。各セクションは複数のクラスタ/基盤に影響しますが、セクションは影響を受けるクラスタ/基盤の最上部セクションと最下部セクションのマーカーの外側にあります。上の行で説明したシナリオが該当します。上記のいずれも実行できない場合、このシナリオはサポートされません。

最上部セクションと最下部セクションのマーカー

NSX 管理者のアクション

NCP がセクションの最上部セクションと最下部セクションのマーカーを使用しています。

クラスタ/基盤によって、最上部セクションのマーカーと最下部セクションのマーカーが異なります。

NSX 管理者が作成したセクションは、最上部セクションと最下部セクションのマーカーの内側にあります。

Kubernetes

可能であれば、セクションの影響を受けるすべてのクラスタの最上位セクションのマーカーの上にセクションを移動します。次に、セクションの影響を受けるクラスタを移行する前に、マネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。

可能であれば、セクションの影響を受けるすべてのクラスタの最下位セクションのマーカーの下にセクションを移動します。次に、セクションの影響を受けるクラスタを移行した後に、マネージャモードで作成された DFW と同じ DFW をポリシー API で作成します。

TAS

可能であれば、セクションの影響を受けるすべてのクラスタの最上部セクションのマーカーより上に、管理者が作成したセクションを移動します。次に、セクションの影響を受ける基盤のいずれかを移行する前に、共有リソースと同じ DFW を移行します。これらは、いずれかの基盤の Opsmanager を使用して移行できます。

可能であれば、セクションの影響を受けるすべてのクラスタの最下部セクションのマーカーより下に、管理者が作成したセクションを移動します。次に、セクションの影響を受ける基盤をすべて移行した後に、共有リソースと同じ DFW を移行します。これらは、いずれかの基盤の Opsmanager を使用して移行できます。

Kubernetes と TAS

可能であれば、セクションを小さなセクションに分割します。これにより、次のようになります。

各セクションが 1 つのクラスタ/基盤にのみ影響します。上記の表の「DFW セクションが 1 つの Kubernetes クラスタ/基盤にのみ影響する」で説明したシナリオに該当します。
各セクションは複数のクラスタ/基盤に影響しますが、セクションは影響を受けるクラスタ/基盤の最上部セクションと最下部セクションのマーカーの外側にあります。上の行で説明したシナリオが該当します。

上記のいずれも実行できない場合、このシナリオはサポートされません。

最上部セクションと最下部セクションのマーカー	NSX 管理者のアクション
NCP が、最上部セクションと最下部セクションのマーカーを使用していません。この場合、NCP はマネージャモードで DFW セクションを最上部または最下部に作成します。	このシナリオは、上の行で説明したシナリオに似ていますが、最上部セクションのマーカーは NCP で作成された最上部セクションに置き換えられます。また、最下部セクションのマーカーは NCP で作成された最下部セクションに置き換えられます。

メモ

ポリシーモードで DFW を作成する場合、NSX 管理者は、その前に DFW に必要な NSX リソースを作成する必要があります。このようなリソースの例としては、NSGroup、IPset などがあります。同様に、TAS の Opsmanager で依存する NSX リソースをすべて指定する必要があります。
DFW が NCP/TKGI/TAS によって作成された NSX リソースを使用しており、NCP/TKGi/TAS によって作成された NSX リソースが移行される前にこの DFW を移行する必要がある場合は、ポリシーで同様の NSX リソースを手動で作成する必要があります。
- これを実行できない場合、このシナリオはサポートされません。クラスタ/基盤が移行されると、すべての NCP、TKGI、TAS リソースを使用してセキュリティポリシーとルールを作成できるようになります。
- これを行う場合は、クラスタ/基盤の移行後に、管理者がセキュリティポリシーを編集し、DFW で NCP/TAS/TKGI NSX リソースを使用する必要があります。
NCP は、環境カテゴリとアプリケーションカテゴリにセキュリティポリシーを作成します。これらに使用されるシーケンス番号は次のとおりです。
- 環境：1
- アプリケーション：10、50、90、99
NCP が使用する範囲外のシーケンス番号になるように、ポリシー API のすべてのセキュリティポリシー/DFW を作成する必要があります。たとえば、最上位セクションのマーカーより上にあるアプリケーションカテゴリにポリシーを作成または移行する場合、シーケンス番号に 0 ～ 9（両端を含む）を設定できます。シーケンス番号はセキュリティポリシーに一意ではありません（「セキュリティポリシーのパッチ適用」を参照）。たとえば、管理プレーン内の優先順位の高いすべてのルールにシーケンス番号 9 をマッピングできます。また、異なるカテゴリのセクションを移行または作成することもできます。優先度を下げる場合の選択肢は、「緊急」、「インフラストラクチャ」、「環境」、「アプリケーション」です。

DFW セクションについて

移行前にポリシーモードで DFW ルールを作成する場合は、表示名 top_firewall_section_marker を使用しないでください。

マネージャモードでは、NCP は top_firewall_section_marker と bottom_firewall_section_marker の内側に DFW セクションを作成します。クラスタ/基盤では、別の top_firewall_section_marker または bottom_firewall_section_marker を使用できます。次のようなセクションがある場合があります。

top-firewall-section-k8scl-two
k8scl-two cluster DFW section
top-firewall-section-k8scl-one
k8scl-one cluster DFW section
bottom-marker-section-k8scl-one
bottom-marker-section-k8scl-two

ポリシーモードでは、適用順序（セクションの優先順位）がシーケンス番号で制御されるため、NCP は最上部と最下部のファイアウォールセクションマーカーをサポートしません。つまり、ユーザーは 10 ～ 99 の範囲（両端を含む）の DFW セクションを作成できません。DFW セクションのシーケンス番号が 10 より小さい場合、このセクションの優先順位は、NCP によって作成されたすべてのクラスタ/基盤のセクションよりも高くなります。次はその例です。

top-firewall-section-k8scl-two [sequence 8]
top-firewall-section-k8scl-one [sequence 9]
k8scl-two cluster DFW section allow [sequence 10]
k8scl-one cluster DFW section allow [sequence 10]
bottom-marker-section-k8scl-one [sequence 100]
bottom-marker-section-k8scl-two [sequence 101]