이 예의 목표는 단일 Antrea Kubernetes 클러스터에서 실행되는 Enterprise Human Resource 애플리케이션에서 포드-포드 트래픽을 보호하기 위해 NSX에서 분산 방화벽 정책을 생성하는 것입니다.
Antrea Kubernetes 클러스터의 포드 워크로드에서 Enterprise Human Resource 애플리케이션의 웹, 애플리케이션 및 데이터베이스 마이크로 서비스를 실행하고 있다고 가정합니다. 다음 표에 나와 있는 것처럼 포드 기반 멤버 자격 조건을 사용하여 NSX 환경에 Antrea 그룹을 추가했습니다.
Antrea 그룹 이름 | 멤버 자격 조건 |
---|---|
HR-Web |
Pod Tag Equals Web Scope Equals HR |
HR-App |
Pod Tag Equals App Scope Equals HR |
HR-DB |
Pod Tag Equals DB Scope Equals HR |
목표는 다음과 같이 세 가지 방화벽 규칙을 사용하여 애플리케이션 범주에 보안 정책을 생성하는 것입니다.
- HR-Web 그룹에서 HR-App 그룹으로의 모든 트래픽을 허용합니다.
- HR-App 그룹에서 HR-DB 그룹으로의 모든 트래픽을 허용합니다.
- HR-Web에서 HR-DB 그룹으로의 모든 트래픽을 거부합니다.
사전 요구 사항
- Antrea Kubernetes 클러스터는 NSX에 등록됩니다.
- 시스템에 분산 방화벽 보안 정책을 구성할 수 있는 권한을 부여하는 적절한 보안 라이센스를 NSX 배포에 적용합니다.
프로시저
결과
정책이 성공적으로 구현되면
Antrea Kubernetes 클러스터에서 다음과 같은 결과가 발생합니다.
- ACNP(Antrea 클러스터 네트워크 정책)가 생성됩니다.
- 규칙 1022, 1023 및 1024는 이 순서대로 Kubernetes 클러스터에 적용됩니다.
- 각 방화벽 규칙에 대해 해당 수신 규칙이 클러스터 네트워크 정책에 생성됩니다.