この例では、単一の Antrea コンテナ クラスタで実行されている企業の人事アプリケーションで、ポッド間のトラフィックを保護するために NSX に分散ファイアウォール ポリシーを作成することを目標とします。
Antrea コンテナ クラスタ内のポッド ワークロードが、企業の人事アプリケーションの Web、アプリケーション、データベースのマイクロサービスを実行しているとします。次の表のように、ポッドベースのメンバーシップ基準を使用して、NSX 環境に Antrea グループを追加しました。
Antrea グループ名 | メンバーシップ基準 |
---|---|
HR-Web |
ポッド タグが Web で、スコープが HR |
HR-App |
ポッド タグが App で、スコープが HR |
HR-DB |
ポッド タグが DB で、スコープが HR |
ここでは、次のように 3 つのファイアウォール ルールを持つセキュリティ ポリシーをアプリケーション カテゴリに作成します。
- HR-Web グループから HR-App グループへのすべてのトラフィックを許可する。
- HR-App グループから HR-DB グループへのすべてのトラフィックを許可する。
- HR-Web から HR-DB グループへのすべてのトラフィックを拒否する。
前提条件
Antrea コンテナ クラスタが NSX に登録されている。
手順
結果
ポリシーが正常に認識されると、
Antrea コンテナ クラスタで次のことが行われます。
- クラスタ ネットワーク ポリシーが作成されます。
- ルール 1022、1023、1024 が、この順序でコンテナ クラスタに適用されます。
- ファイアウォール ルールごとに、対応する入力方向ルールがクラスタ ネットワーク ポリシーに作成されます。