Antrea 그룹에 고정 IP 주소, 멤버 자격 조건 또는 둘 다를 추가한 다음, 이러한 그룹을 하나 이상의 Antrea 컨테이너 클러스터에 적용하려는 분산 방화벽 정책의 소스 또는 대상으로 사용할 수 있습니다.

사전 요구 사항

하나 이상의 Antrea 컨테이너 클러스터가 NSX에 등록되었습니다.

프로시저

  1. 브라우저의 https://nsx-manager-ip-address에서 NSX Manager에 로그인합니다.
  2. 인벤토리 > 그룹으로 이동합니다.
    참고: 브라우저에서 NSX Manager 애플리케이션을 시작할 때 NSX Manager UI가 등록된 Antrea 컨테이너 클러스터에 대한 정보를 가져옵니다. 애플리케이션 UI가 이미 열려 있으면 Antrea 컨테이너 클러스터 등록 정보를 자동으로 가져오지 않습니다. 이 동작은 현재 UI 디자인에 따라 예상되는 동작입니다. NSX Manager 애플리케이션을 연 후 첫 번째 Antrea 컨테이너 클러스터를 등록한 경우 그룹 페이지로 이동한 후 브라우저를 새로 고쳐야 합니다. 수동 새로 고침을 수행하면 이 절차의 5단계에 도달할 때 UI에 Antrea 그룹 유형 옵션이 표시됩니다.

    이 수동 브라우저 새로 고침은 한 번만 필요하며 새 Antrea 컨테이너 클러스터가 NSX에 등록될 때마다 매번 필요하지는 않습니다.

  3. 그룹 추가를 클릭합니다.
  4. 그룹의 이름과 선택적으로 그룹에 대한 설명을 입력합니다.
  5. 설정을 클릭하고 그룹 유형으로 Antrea를 선택합니다.
    Antrea 그룹에는 멤버 자격 조건, 고정 IP 주소 또는 둘 모두가 포함될 수 있습니다. 요구 사항에 따라 6단계나 7단계 또는 둘 다를 수행합니다.
  6. 멤버 자격 기준을 추가하려면 기준 추가를 클릭합니다.
    1. 조건 창에서 조건을 정의할 컨테이너 클러스터 개체를 선택합니다.
      지원되는 컨테이너 클러스터 개체는 네임스페이스, 서비스 및 포드입니다.
    2. 필요에 따라 이름 또는 태그, 태그 연산자, 범위 연산자와 같은 조건의 속성을 지정합니다.
    3. (선택 사항) 멤버 자격 기준에 둘 이상의 조건을 추가하려면 조건 창의 오른쪽 상단 모서리에 있는 더하기 아이콘을 클릭하고 조건의 속성을 정의합니다.
      멤버 자격 조건에서 NSX는 기본적으로 AND 연산자를 사용하여 모든 조건을 결합합니다. OR 연산자는 지원되지 않습니다.
    4. (선택 사항) 여러 기준을 추가하려면 기준 추가를 다시 클릭합니다.
      멤버 자격 조건을 결합하려면 AND 및 OR 연산자를 사용할 수 있습니다. 기본적으로 NSX는 OR 연산자를 선택하여 두 조건을 결합합니다. AND 연산자는 다음과 같은 경우에만 두 조건 사이에서 지원됩니다.
      • 두 조건 모두 동일한 컨테이너 클러스터 개체를 사용합니다.
      • 두 조건 모두 단일 조건을 사용합니다.

      멤버 자격 조건을 추가할 때 지원되는 항목과 지원되지 않는 항목에 대한 자세한 내용은 그룹 Antrea개을 참조하십시오.

  7. 그룹에서 고정 IP 주소를 추가하려면 IP 주소를 클릭하고 텍스트 상자에 IP 값을 입력합니다.
    TXT 또는 CSV 파일에서 IP 값을 가져오려면 작업 > 가져오기를 클릭합니다. 파일의 값은 쉼표로 구분해야 합니다. 허용되는 값은 IP 주소, IP 범위 또는 CIDR 형식의 IP 주소입니다. 두 작업을 조합할 수도 있습니다. 즉, 텍스트 상자에 값을 입력하고 파일에서 값을 가져옵니다. 그러나 텍스트 상자의 총 IP 값 수는 IP 주소 탭에 표시되는 최대 제한을 초과하면 안 됩니다.
  8. 적용저장을 차례로 클릭합니다.

결과

Antrea 그룹이 NSX에 저장되고 상태가 [성공]으로 변경됩니다.

참고:
  • 유효 멤버는 Antrea 그룹이 분산 방화벽 규칙에 사용되는 경우에만 Antrea 그룹에 대해 계산됩니다.

    멤버 자격 조건을 지정된 Antrea 그룹을 추가하지만 분산 방화벽 규칙에서 이러한 그룹을 사용하지 않는 경우 이러한 Antrea 그룹의 유효 멤버는 NSX에서 계산되거나 평가되지 않습니다. 즉, 이러한 Antrea 그룹의 유효 멤버 페이지는 비어 있습니다.

  • Antrea 그룹에 고정 IP 주소를 추가하면 분산 방화벽 규칙에서 사용되는지 여부에 관계없이 유효 멤버가 현재 UI에 표시되지 않습니다.

예: 포드를 기준으로 Antrea 그룹 추가

Antrea 컨테이너 클러스터의 모든 네임스페이스에서 수익, 판매 및 메트릭 재무 애플리케이션을 실행하는 모든 포드가 포함된 Antrea 그룹을 추가하려 한다고 가정합니다.

다음 태그가 컨테이너 클러스터의 포드에 연결되어 있다고 가정합니다.
태그 범위
RevenueApp Finance
SalesApp Finance
MetricsApp Finance

다음과 같이 포드 개체를 기준으로 하는 세 가지 조건을 사용하여 멤버 자격 기준을 생성합니다.

기준:

Pod Tag Equals RevenueApp Scope Equals Finance

Pod Tag Equals SalesApp Scope Equals Finance

Pod Tag Equals MetricsApp Scope Equals Finance

기본적으로 NSX는 각 조건 뒤에 AND 연산자를 사용합니다. 이 Antrea 그룹이 분산 방화벽 규칙에서 사용되면 이 그룹의 유효 포드 멤버가 계산됩니다.

분산 방화벽 정책이 구현되면 그룹 추가 페이지로 이동합니다. 이 Antrea 그룹에 대해 멤버 보기를 클릭하고 유효한 포드 멤버가 유효 멤버 페이지에 표시되는지 확인합니다.