Antrea グループに静的 IP アドレス、メンバーシップ基準、またはその両方を追加し、これらのグループを 1 つ以上の Antrea コンテナ クラスタに適用する分散ファイアウォール ポリシーの送信元または宛先として使用できます。

前提条件

少なくとも 1 つのAntrea コンテナ クラスタが NSX に登録されている。

手順

  1. ブラウザから、NSX Manager (https://nsx-manager-ip-address) にログインします。
  2. [インベントリ] > [グループ] の順に移動します。
    注: ブラウザで NSX Manager アプリケーションを起動すると、登録済みの Antrea コンテナ クラスタに関する情報が NSX Manager ユーザー インターフェイスに取得されます。アプリケーションのユーザー インターフェイスがすでに開いている場合、 Antrea コンテナ クラスタの登録情報は自動的に取得されません。この動作は、現在のユーザー インターフェイスのデザインで想定されている動作です。 NSX Manager アプリケーションを開いた後に最初の Antrea コンテナ クラスタを登録した場合は、 [グループ] ページに移動した後にブラウザを更新してください。手動で更新すると、この操作の手順 5 で、ユーザー インターフェイスに [Antrea] グループ タイプ オプションが表示されます。

    ブラウザの手動更新は 1 回だけ必要になります。新しい Antrea コンテナ クラスタが NSX に登録されるたびに行う必要はありません。

  3. [グループの追加] をクリックします。
  4. グループの名前を入力します。必要に応じて説明を入力します。
  5. [設定] をクリックして、グループ タイプとして [Antrea] を選択します。
    Antrea グループには、メンバーシップ基準、静的 IP アドレス、またはその両方を含めることができます。要件に応じて、手順 6、7、またはその両方を実行します。
  6. メンバーシップ基準を追加するには、[条件の追加] をクリックします。
    1. [基準] ペインで、条件を定義するコンテナ クラスタ オブジェクトを選択します。
      サポートされているコンテナ クラスタ オブジェクトは、ネームスペース、サービス、ポッドです。
    2. 必要に応じて、名前またはタグ、タグ演算子、スコープ演算子などの条件のプロパティを指定します。
    3. (オプション) メンバーシップ基準に複数の条件を追加するには、[基準] ペインの右上隅にあるプラス アイコンをクリックして、条件のプロパティを定義します。
      デフォルトでは、 NSX はメンバーシップ基準のすべての条件を AND 演算子で結合します。OR 演算子はサポートされていません。
    4. (オプション) 複数の基準を追加するには、[条件の追加] をクリックします。
      メンバーシップの基準を結合する場合、AND 演算子と OR 演算子を使用できます。デフォルトでは、 NSX は OR 演算子を選択して 2 つの基準を結合します。AND 演算子は、次の場合にのみ 2 つの基準の間で使用できます。
      • 両方の基準が同じコンテナ クラスタ オブジェクトを使用している。
      • 両方の基準が 1 つの条件を使用する。

      メンバーシップ基準の追加でサポートされている内容とサポートされていない内容の詳細については、Antrea グループを参照してください。

  7. グループに静的 IP アドレスを追加するには、[IP アドレス] をクリックして、テキスト ボックスに IP 値を入力します。
    TXT または CSV ファイルから IP 値をインポートする場合は、 [アクション] > [インポート] の順にクリックします。ファイル内の値はカンマで区切る必要があります。使用可能な値は、IP アドレス、IP アドレス範囲、または CIDR 形式の IP アドレスです。両方のアクションを組み合わせることもできます。つまり、テキスト ボックスに値を入力して、ファイルから値をインポートします。ただし、テキスト ボックスの IP アドレスの合計数は、 [IP アドレス] タブに表示される上限を超えないようにする必要があります。
  8. [適用] をクリックし、[保存] をクリックします。

結果

Antrea グループが NSX に保存され、状態が「成功」に変わります。

注:
  • 有効なメンバーは、Antrea グループが分散ファイアウォール ルールで使用されている場合にのみ、Antrea グループに対して計算されます。

    メンバーシップ基準を持つ Antrea グループを追加しても、これらのグループを分散ファイアウォール ルールで使用しない場合、これらの Antrea グループの有効なメンバーは NSX で計算または評価されません。つまり、これらの Antrea グループの [有効なメンバー] ページは空になります。

  • 現在、Antrea グループに静的 IP アドレスを追加すると、分散ファイアウォール ルールでグループが使用されているかどうかに関係なく、有効なメンバーはユーザー インターフェイスに表示されません。

例: ポッドに基づく Antrea グループの追加

Antrea コンテナ クラスタ内のすべてのネームスペースで Revenue、Sales、Metrics の各財務アプリケーションを実行しているすべてのポッドを含む Antrea グループを追加するとします。

次のタグがコンテナ クラスタ内のポッドに接続しているとします。
タグ スコープ
RevenueApp 財務
SalesApp 財務
MetricsApp 財務

次のように、ポッド オブジェクトに基づいて 3 つの条件を含むメンバーシップ基準を作成します。

基準:

ポッド タグが RevenueApp で、スコープが財務

ポッド タグが SalesApp で、スコープが財務

ポッド タグが MetricsApp で、スコープが財務

デフォルトでは、NSX は各条件の後で AND 演算子を使用します。この Antrea グループが分散ファイアウォール ルールで使用されている場合、このグループに有効なポッド メンバーが計算されます。

分散ファイアウォール ポリシーが認識されたら、[グループの追加] ページに移動します。この Antrea グループの [メンバーの表示] をクリックして、有効なポッド メンバーが [有効なメンバー] ページに表示されていることを確認します。