Antrea グループに静的 IP アドレス、メンバーシップ基準、またはその両方を追加し、これらのグループを 1 つ以上の Antrea コンテナ クラスタに適用する分散ファイアウォール ポリシーの送信元または宛先として使用できます。
前提条件
少なくとも 1 つのAntrea コンテナ クラスタが NSX-T Data Center に登録されている。
手順
- ブラウザから、NSX Manager (https://nsx-manager-ip-address) にログインします。
- の順に移動します。
注: ブラウザで
NSX Manager アプリケーションを起動すると、登録済みの
Antrea コンテナ クラスタに関する情報が
NSX Manager ユーザー インターフェイスに取得されます。アプリケーションのユーザー インターフェイスがすでに開いている場合、
Antrea コンテナ クラスタの登録情報は自動的に取得されません。この動作は、現在のユーザー インターフェイスのデザインで想定されている動作です。
NSX Manager アプリケーションを開いた後に最初の
Antrea コンテナ クラスタを登録した場合は、
[グループ] ページに移動した後にブラウザを更新してください。手動で更新すると、この操作の手順 5 で、ユーザー インターフェイスに
[Antrea] グループ タイプ オプションが表示されます。
ブラウザの手動更新は 1 回だけ必要になります。新しい Antrea コンテナ クラスタが NSX-T Data Center に登録されるたびに行う必要はありません。
- [グループの追加] をクリックします。
- グループの名前を入力します。必要に応じて説明を入力します。
- [設定] をクリックして、グループ タイプとして [Antrea] を選択します。
Antrea グループには、メンバーシップ基準、静的 IP アドレス、またはその両方を含めることができます。要件に応じて、手順 6、7、またはその両方を実行します。
- メンバーシップ基準を追加するには、[条件の追加] をクリックします。
- [基準] ペインで、条件を定義するコンテナ クラスタ オブジェクトを選択します。
サポートされているコンテナ クラスタ オブジェクトは、ネームスペース、サービス、ポッドです。
- 必要に応じて、名前またはタグ、タグ演算子、スコープ演算子などの条件のプロパティを指定します。
- (オプション) メンバーシップ基準に複数の条件を追加するには、[基準] ペインの右上隅にあるプラス アイコンをクリックして、条件のプロパティを定義します。
デフォルトでは、
NSX-T はメンバーシップ基準のすべての条件を AND 演算子で結合します。OR 演算子はサポートされていません。
- (オプション) 複数の基準を追加するには、[条件の追加] をクリックします。
メンバーシップの基準を結合する場合、AND 演算子と OR 演算子を使用できます。デフォルトでは、
NSX-T は OR 演算子を選択して 2 つの基準を結合します。AND 演算子は、次の場合にのみ 2 つの基準の間で使用できます。
- 両方の基準が同じコンテナ クラスタ オブジェクトを使用している。
- 両方の基準が 1 つの条件を使用する。
メンバーシップ基準の追加でサポートされている内容とサポートされていない内容の詳細については、Antrea グループを参照してください。
- グループに静的 IP アドレスを追加するには、[IP アドレス] をクリックして、テキスト ボックスに IP 値を入力します。
TXT または CSV ファイルから IP 値をインポートする場合は、
の順にクリックします。ファイル内の値はカンマで区切る必要があります。使用可能な値は、IP アドレス、IP アドレス範囲、または CIDR 形式の IP アドレスです。両方のアクションを組み合わせることもできます。つまり、テキスト ボックスに値を入力して、ファイルから値をインポートします。ただし、テキスト ボックスの IP アドレスの合計数は、
[IP アドレス] タブに表示される上限を超えないようにする必要があります。
- [適用] をクリックし、[保存] をクリックします。
結果
Antrea グループが NSX-T に保存され、状態が「成功」に変わります。
例: ポッドに基づく Antrea グループの追加
Antrea コンテナ クラスタ内のすべてのネームスペースで Revenue、Sales、Metrics の各財務アプリケーションを実行しているすべてのポッドを含む Antrea グループを追加するとします。
次のタグがコンテナ クラスタ内のポッドに接続しているとします。
タグ |
スコープ |
RevenueApp |
財務 |
SalesApp |
財務 |
MetricsApp |
財務 |
次のように、ポッド オブジェクトに基づいて 3 つの条件を含むメンバーシップ基準を作成します。
基準:
ポッド タグが RevenueApp で、スコープが財務
ポッド タグが SalesApp で、スコープが財務
ポッド タグが MetricsApp で、スコープが財務
デフォルトでは、NSX-T は各条件の後で AND 演算子を使用します。この Antrea グループが分散ファイアウォール ルールで使用されている場合、このグループに有効なポッド メンバーが計算されます。
分散ファイアウォール ポリシーが認識されたら、[グループの追加] ページに移動します。この Antrea グループの [メンバーの表示] をクリックして、有効なポッド メンバーが [有効なメンバー] ページに表示されていることを確認します。