이 예의 목표는 단일 Antrea Kubernetes 클러스터에서 실행되는 Enterprise Human Resource 애플리케이션에서 포드-포드 트래픽을 보호하기 위해 NSX에서 분산 방화벽 정책을 생성하는 것입니다.

Antrea Kubernetes 클러스터의 포드 워크로드에서 Enterprise Human Resource 애플리케이션의 웹, 애플리케이션 및 데이터베이스 마이크로 서비스를 실행하고 있다고 가정합니다. 다음 표에 나와 있는 것처럼 포드 기반 멤버 자격 조건을 사용하여 NSX 환경에 Antrea 그룹을 추가했습니다.

Antrea 그룹 이름 멤버 자격 조건

HR-Web

Pod Tag Equals Web Scope Equals HR

HR-App

Pod Tag Equals App Scope Equals HR

HR-DB

Pod Tag Equals DB Scope Equals HR

목표는 다음과 같이 세 가지 방화벽 규칙을 사용하여 애플리케이션 범주에 보안 정책을 생성하는 것입니다.
  • HR-Web 그룹에서 HR-App 그룹으로의 모든 트래픽을 허용합니다.
  • HR-App 그룹에서 HR-DB 그룹으로의 모든 트래픽을 허용합니다.
  • HR-Web에서 HR-DB 그룹으로의 모든 트래픽을 거부합니다.

사전 요구 사항

  • Antrea Kubernetes 클러스터는 NSX에 등록됩니다.
  • 시스템에 분산 방화벽 보안 정책을 구성할 수 있는 권한을 부여하는 적절한 보안 라이센스를 NSX 배포에 적용합니다.

프로시저

  1. 브라우저의 https://nsx-manager-ip-address에서 NSX Manager에 로그인합니다.
  2. 보안 탭을 클릭한 다음, 정책 관리에서 분산 방화벽을 클릭합니다.
    범주별 규칙 페이지가 표시됩니다.
  3. 애플리케이션 범주에 있는지 확인합니다.
  4. 정책 추가를 클릭하고 정책 이름을 입력합니다.
    예를 들어 EnterpriseHRPolicy를 입력합니다.
  5. 정책의 적용 대상에서 Enterprise Human Resource 애플리케이션의 포드 워크로드가 실행 중인 Antrea Kubernetes 클러스터를 선택합니다.
  6. 정책을 게시합니다.
  7. 정책 이름을 선택하고 규칙 추가를 클릭합니다.
    다음 표에 나와 있는 것처럼 3개의 방화벽 규칙을 구성합니다.
    규칙 이름 규칙 ID 소스 대상 서비스 적용 대상 작업
    Web-App 1022 HR-Web 해당 없음 임의 HR-App 허용
    App-DB 1023 HR-App 해당 없음 임의 HR-DB 허용
    Web-DB 1024 HR-Web 해당 없음 임의 HR-DB 거절

    표의 규칙 ID는 이 예의 샘플 값일 뿐입니다. 규칙 ID는 NSX 환경에서 다를 수 있습니다.

  8. 규칙을 게시합니다.

결과

정책이 성공적으로 구현되면 Antrea Kubernetes 클러스터에서 다음과 같은 결과가 발생합니다.
  • ACNP(Antrea 클러스터 네트워크 정책)가 생성됩니다.
  • 규칙 1022, 1023 및 1024는 이 순서대로 Kubernetes 클러스터에 적용됩니다.
  • 각 방화벽 규칙에 대해 해당 수신 규칙이 클러스터 네트워크 정책에 생성됩니다.