この例では、単一の Antrea Kubernetes クラスタで実行されている企業の人事アプリケーションで、ポッド間のトラフィックを保護するために NSX に分散ファイアウォール ポリシーを作成することを目標とします。
Antrea Kubernetes クラスタ内のポッド ワークロードが、企業の人事アプリケーションの Web、アプリケーション、データベースのマイクロサービスを実行しているとします。次の表のように、ポッドベースのメンバーシップ基準を使用して、NSX 環境に Antrea グループを追加しました。
Antrea グループ名 | メンバーシップ基準 |
---|---|
HR-Web |
ポッド タグが Web で、スコープが HR |
HR-App |
ポッド タグが App で、スコープが HR |
HR-DB |
ポッド タグが DB で、スコープが HR |
ここでは、次のように 3 つのファイアウォール ルールを持つセキュリティ ポリシーをアプリケーション カテゴリに作成します。
- HR-Web グループから HR-App グループへのすべてのトラフィックを許可する。
- HR-App グループから HR-DB グループへのすべてのトラフィックを許可する。
- HR-Web から HR-DB グループへのすべてのトラフィックを拒否する。
前提条件
- Antrea Kubernetes クラスタは、NSX に登録されています。
- 分散ファイアウォール セキュリティ ポリシーを構成する資格をシステムに付与する適切なセキュリティ ライセンスを NSX 環境に適用します。
手順
結果
ポリシーが正常に認識されると、
Antrea Kubernetes クラスタで次のことが行われます。
- Antrea クラスタ ネットワーク ポリシー (ACNP) が作成されます。
- ルール 1022、1023、1024 が、この順序で Kubernetes クラスタに適用されます。
- ファイアウォール ルールごとに、対応する ingress ルールがクラスタ ネットワーク ポリシーに作成されます。