Antrea グループに静的 IP アドレス、メンバーシップ基準、またはその両方を追加し、Antrea Kubernetes クラスタ内のトラフィックを保護するために作成する分散ファイアウォール ルールの送信元または宛先として、これらのグループを使用できます。

前提条件

少なくとも 1 つのAntrea Kubernetes クラスタが NSX に登録されている。

手順

  1. ブラウザから、NSX Manager (https://nsx-manager-ip-address) にログインします。
  2. [インベントリ] > [グループ] の順に移動します。
    注: ブラウザで NSX Manager アプリケーションを起動すると、登録済みの Antrea Kubernetes クラスタに関する情報が NSX Manager ユーザー インターフェイスに取得されます。アプリケーションのユーザー インターフェイスがすでに開いている場合、 Antrea Kubernetes クラスタの登録情報は自動的に取得されません。この動作は、現在のユーザー インターフェイスのデザインで想定されている動作です。 NSX Manager アプリケーションを開いた後に最初の Antrea Kubernetes クラスタを登録した場合は、 [グループ] ページに移動した後にブラウザを更新してください。手動で更新すると、この操作の手順 5 で、ユーザー インターフェイスに [Antrea] グループ タイプ オプションが表示されます。

    ブラウザの手動更新は 1 回だけ必要になります。新しい Antrea Kubernetes クラスタが NSX に登録されるたびに行う必要はありません。

  3. [グループの追加] をクリックします。
  4. グループの名前を入力します。必要に応じて説明を入力します。
  5. [設定] をクリックして、グループ タイプとして [Antrea] を選択します。
    Antrea グループには、メンバーシップ基準、静的 IP アドレス、またはその両方を含めることができます。要件に応じて、手順 6、7、またはその両方を実行します。
  6. メンバーシップ基準を追加するには、[条件の追加] をクリックします。
    1. [基準] ペインで、条件を定義するメンバー タイプを選択します。
      サポートされているメンバー タイプは、ネームスペース、サービス、ポッドです。
    2. 必要に応じて、名前またはタグ、タグ演算子、スコープ演算子などの条件のプロパティを指定します。
    3. (オプション) メンバーシップ基準に複数の条件を追加するには、[基準] ペインの右上隅にあるプラス アイコンをクリックして、条件のプロパティを定義します。
      デフォルトでは、 NSX はメンバーシップ基準のすべての条件を AND 演算子で結合します。OR 演算子はサポートされていません。
    4. (オプション) 複数の基準を追加するには、[条件の追加] をクリックします。
      メンバーシップの基準を結合する場合、AND 演算子と OR 演算子を使用できます。デフォルトでは、 NSX は OR 演算子を選択して 2 つの基準を結合します。AND 演算子は、次の場合にのみ 2 つの基準の間で使用できます。
      • 両方の基準で同じメンバー タイプを使用する。
      • 両方の基準が 1 つの条件を使用する。

      メンバーシップ基準の追加でサポートされている内容とサポートされていない内容の詳細については、Antrea グループを参照してください。

  7. グループに静的 IP アドレスを追加するには、[IP アドレス] をクリックして、テキスト ボックスに IP 値を入力します。
    TXT または CSV ファイルから IP 値をインポートする場合は、 [アクション] > [インポート] の順にクリックします。ファイル内の値はカンマで区切る必要があります。使用可能な値は、IP アドレス、IP アドレス範囲、または CIDR 形式の IP アドレスです。両方のアクションを組み合わせることもできます。つまり、テキスト ボックスに値を入力して、ファイルから値をインポートします。ただし、テキスト ボックスの IP アドレスの合計数は、 [IP アドレス] タブに表示される上限を超えないようにする必要があります。
  8. [適用] をクリックし、[保存] をクリックします。

結果

Antrea グループが NSX に保存され、状態が「成功」に変わります。

注:
  • 有効なメンバーは、Antrea グループが分散ファイアウォール ルールで使用されている場合にのみ、Antrea グループに対して計算されます。

    メンバーシップ基準のある Antrea グループを追加しても、これらのグループを分散ファイアウォール ルールで使用しない場合、これらの Antrea グループの有効なメンバーは NSX で計算または評価されません。つまり、これらの Antrea グループの [有効なメンバー] ページは空になります。

  • 現在、Antrea グループに静的 IP アドレスを追加すると、分散ファイアウォール ルールでグループが使用されているかどうかに関係なく、有効なメンバーはユーザー インターフェイスに表示されません。

例: ポッドに基づく Antrea グループの追加

Antrea Kubernetes クラスタ内のすべてのネームスペースで Revenue、Sales、Metrics の各財務アプリケーションを実行しているすべてのポッドを含む Antrea グループを追加するとします。

次のタグが Antrea Kubernetes クラスタ内のポッドに接続しているとします。
タグ スコープ
RevenueApp 財務
SalesApp 財務
MetricsApp 財務

次のように、ポッド メンバー タイプに基づいて 3 つの条件を含むメンバーシップ基準を作成します。

基準:

ポッド タグが RevenueApp で、スコープが財務

ポッド タグが SalesApp で、スコープが財務

ポッド タグが MetricsApp で、スコープが財務

デフォルトでは、NSX は各条件の後で AND 演算子を使用します。この Antrea グループが分散ファイアウォール ルールで使用されている場合、このグループに有効なポッド メンバーが計算されます。

分散ファイアウォール ポリシーが認識されたら、[グループの追加] ページに移動します。この Antrea グループの [メンバーの表示] をクリックして、有効なポッド メンバーが [有効なメンバー] ページに表示されていることを確認します。