この例では、単一の Antrea Kubernetes クラスタで実行されている企業の人事アプリケーションで、ポッド間のトラフィックを保護するために NSX に分散ファイアウォール ポリシーを作成することを目標とします。

Antrea Kubernetes クラスタ内のポッド ワークロードが、企業の人事アプリケーションの Web、アプリケーション、データベースのマイクロサービスを実行しているとします。次の表のように、ポッドベースのメンバーシップ基準を使用して、NSX 環境に Antrea グループを追加しました。

Antrea グループ名 メンバーシップ基準

HR-Web

ポッド タグが Web で、スコープが HR

HR-App

ポッド タグが App で、スコープが HR

HR-DB

ポッド タグが DB で、スコープが HR
ここでは、次のように 3 つのファイアウォール ルールを持つセキュリティ ポリシーをアプリケーション カテゴリに作成します。
  • HR-Web グループから HR-App グループへのすべてのトラフィックを許可する。
  • HR-App グループから HR-DB グループへのすべてのトラフィックを許可する。
  • HR-Web から HR-DB グループへのすべてのトラフィックを拒否する。

前提条件

Antrea Kubernetes クラスタは、NSX に登録されています。

手順

  1. ブラウザから、NSX Manager (https://nsx-manager-ip-address) にログインします。
  2. [セキュリティ] タブをクリックし、[ポリシー管理][分散ファイアウォール] をクリックします。
    [カテゴリ固有のルール] ページが表示されます。
  3. [アプリケーション] カテゴリに属していることを確認します。
  4. [ポリシーの追加] をクリックし、ポリシー名を入力します。
    たとえば、 EnterpriseHRPolicy と入力します。
  5. ポリシーの [適用先] で、企業の人事アプリケーションのポッド ワークロードが実行されている Antrea Kubernetes クラスタを選択します。
  6. ポリシーを公開します。
  7. ポリシー名を選択して、[ルールを追加] をクリックします。
    次の表に示すように、3 つのファイアウォール ルールを構成します。
    ルール名 ルール ID 送信元 宛先 サービス 適用先 アクション
    Web-to-App 1022 HR-Web 該当なし 任意 HR-App 許可
    App-to-DB 1023 HR-App 該当なし 任意 HR-DB 許可
    Web-to-DB 1024 HR-Web 該当なし 任意 HR-DB 却下

    表のルール ID は、この例のサンプル値です。ルール ID は、NSX 環境によって異なる場合があります。

  8. ルールを公開します。

結果

ポリシーが正常に認識されると、 Antrea Kubernetes クラスタで次のことが行われます。
  • Antrea クラスタ ネットワーク ポリシー (ACNP) が作成されます。
  • ルール 1022、1023、1024 が、この順序で Kubernetes クラスタに適用されます。
  • ファイアウォール ルールごとに、対応する ingress ルールがクラスタ ネットワーク ポリシーに作成されます。