Antrea Kubernetes クラスタ内のポッド間のトラフィックを保護するには、NSX に分散ファイアウォール ポリシー(セキュリティ ポリシー)を作成し、1 つ以上の Antrea Kubernetes クラスタに適用します。
注: このドキュメントでは、
Antrea CNI を含む Kubernetes クラスタを「Antrea Kubernetes クラスタ」という用語で表しています。「Kubernetes クラスタ」という用語は一般的な用語で、
Antrea CNI を含む
Tanzu Kubernetes Grid (TKG) クラスタ、
Antrea CNI を含む OpenShift クラスタ、または
Antrea CNI を含むユーザー独自の (DIY) Kubernetes クラスタを表します。
ユーザー インターフェイスでは、いくつかのユーザー インターフェイス フィールドまたはラベルで「Antrea コンテナ クラスタ」という用語が使用されています。このドキュメントの 手順 セクションでは、これらのユーザー インターフェイス フィールドまたはラベルには「Antrea コンテナ クラスタ」という用語をそのまま使用しています。すべての自由形式のテキストでは、「Antrea Kubernetes クラスタ」という用語を使用しています。
前提条件
- Antrea Kubernetes クラスタが NSX に登録されている。
- 分散ファイアウォール セキュリティ ポリシーを構成する資格をシステムに付与する適切なセキュリティ ライセンスを NSX 環境に適用します。
手順
結果
Antrea Kubernetes クラスタで、次の処理が行われます。
- Antrea ネットワーク プラグインが、Antrea Kubernetes クラスタに適用される各分散ファイアウォール ポリシーに対応するクラスタ ネットワーク ポリシーを作成します。
- ルールに送信元が含まれている場合は、対応する入力方向ルールが Antrea クラスタ ネットワーク ポリシー に作成されます。
- ルールに宛先が含まれている場合は、対応する出力方向ルールが Antrea クラスタ ネットワーク ポリシー に作成されます。
- ルールに Any-Any 構成が含まれている場合、クラスタ内の Antrea Controller が、Any-Any ルールを 2 つのルールに分割します。1 つは、Any-Any を含む入力方向ルール、もう 1 つは Any-Any を含む出力方向ルールです。
注:
Antrea ネットワーク プラグインを使用すると、
kubectl コマンド ラインから
Antrea クラスタ ネットワーク ポリシーの更新または削除を行うことができなくなります。このような操作は避ける必要があります。これは、セキュリティ ポリシーが
NSX によって管理されるためです。
Antrea Kubernetes クラスタ内の
中央制御プレーン アダプタ は、
kubectl コマンド ラインから行われたポリシーの変更をすぐに上書きします。つまり、
NSX によりポリシーの信頼性が保証されます。これらのクラスタ ネットワーク ポリシーに
kubectl コマンド ラインから行った変更は
NSX Manager に表示されません。
次のタスク
Antrea Kubernetes クラスタでセキュリティ ポリシーが正常に認識されたら、次のオプションのタスクを実行できます。
- Antrea クラスタ ネットワーク ポリシーが Kubernetes クラスタに表示されていることを確認します。各 Antrea Kubernetes クラスタで、次の kubectl コマンドを実行します。
$ kubectl get acnp
注: Antrea クラスタ ネットワーク ポリシーの priority パラメータに、浮動小数が表示されます。これは通常の結果です。 NSX Manager ユーザー インターフェイスに、分散ファイアウォール ポリシーの優先順位は表示されません。 NSX は、内部で各ポリシーの優先順位に整数値を割り当てます。この整数値は、大きな範囲から割り当てられます。ただし、 Antrea ネットワーク プラグインは、ク Antrea ラスタ ネットワーク ポリシーの優先順位に小さな浮動小数(絶対値)を割り当てます。したがって、 NSX の優先順位の値は、内部で小さな浮動小数に正規化されます。ただし、分散ファイアウォール カテゴリにポリシーを追加する順序は、 Antrea クラスタ ネットワーク ポリシーに保持されます。NSX インベントリで、Antrea クラスタ ネットワーク ポリシーの詳細を表示することもできます。NSX Manager で、 の順に移動します。クラスタ名を展開し、[クラスタ ネットワーク ポリシー] の横にある数字をクリックして、YAML 仕様などのポリシーの詳細を表示します。
- NSX API を使用して、ポリシー統計情報を表示します。
GET https://{nsx-mgr-ip}/api/v1/infra/domains{domain-id}/security-policies/{security-policy-name}/statistics?container_cluster_path=/infra/sites/{site-id}/enforcement-points/{enforcement-point-id}/cluster-control-planes/{cluster-name}
- ユーザー インターフェイスでランタイム ルールの統計情報を表示します。
- NSX Manager で、 の順に移動します。
- ポリシー名を展開して、各ルールの右上隅にあるグラフ アイコンをクリックします。
- ドロップダウン メニューから Kubernetes クラスタを選択して、各 Kubernetes クラスタのルール統計情報を表示します。
ルールの統計情報は、ルールが適用される Kubernetes クラスタごとに個別に計算されます。統計情報は、すべての Kubernetes クラスタについて集計されず、ユーザー インターフェイスに表示されます。ルールの統計情報は 1 分ごとに計算されます。