Antrea Kubernetes 클러스터의 포드 간 트래픽을 보호하기 위해 NSX에서 분산 방화벽 정책(보안 정책)을 생성하고 하나 이상의 Antrea Kubernetes 클러스터에 적용할 수 있습니다.
참고: 이 설명서에서는 "Antrea Kubernetes 클러스터"라는 용어를 사용하여
Antrea CNI가 있는 Kubernetes 클러스터를 나타냅니다. "Kubernetes 클러스터"라는 용어는
Antrea CNI가 있는 TKG(
Tanzu Kubernetes Grid) 클러스터,
Antrea CNI가 있는 OpenShift 클러스터 또는
Antrea CNI가 있는 DIY(Do It Yourself) Kubernetes 클러스터를 나타내는 일반 용어입니다.
UI는 일부 UI 필드 또는 레이블에 "Antrea 컨테이너 클러스터"라는 용어를 사용합니다. 이 설명서의 "절차" 섹션에서 해당 UI 필드 또는 레이블에 "Antrea 컨테이너 클러스터"라는 용어가 유지됩니다. 모든 자유 형식 텍스트의 경우 "Antrea Kubernetes 클러스터"라는 용어가 사용됩니다.
사전 요구 사항
- Antrea Kubernetes 클러스터는 NSX에 등록됩니다.
- 시스템에 분산 방화벽 보안 정책을 구성할 수 있는 권한을 부여하는 적절한 보안 라이센스를 NSX 배포에 적용합니다.
프로시저
결과
Antrea Kubernetes 클러스터에서는 다음 결과가 발생합니다.
- Antrea 네트워크 플러그인은 Antrea Kubernetes 클러스터에 적용되는 각 분산 방화벽 정책에 해당하는 클러스터 네트워크 정책을 생성합니다.
- 규칙에 소스가 포함된 경우 해당 수신 규칙이 Antrea 클러스터 네트워크 정책에 생성됩니다.
- 규칙에 대상이 포함된 경우 해당 송신 규칙이 Antrea 클러스터 네트워크 정책에 생성됩니다.
- 규칙에 임의-임의 구성이 포함된 경우 클러스터의 Antrea 컨트롤러는 임의-임의 규칙을 임의-임의의 수신 규칙과 임의-임의의 송신 규칙으로 분할합니다.
참고:
Antrea 네트워크 플러그인은
kubectl 명령줄에서
Antrea 클러스터 네트워크 정책을 업데이트하거나 삭제하는 것을 방지하지 않습니다. 하지만 이 작업은 수행하지 않아야 합니다. 그 이유는 보안 정책이
NSX에서 관리되기 때문입니다. 따라서
Antrea Kubernetes 클러스터의
중앙 제어부 어댑터가
kubectl 명령줄에서 수행한 정책 변경 내용을 즉시 덮어씁니다. 즉,
NSX는 정책의 소스입니다.
kubectl 명령줄을 통해 이러한 클러스터 네트워크 정책에 대해 변경한 사항은
NSX Manager에 표시되지 않습니다.
다음에 수행할 작업
Antrea Kubernetes 클러스터에서 보안 정책이 성공적으로 인식되면 다음과 같은 선택적 작업을 수행할 수 있습니다.
- Antrea 클러스터 네트워크 정책이 Kubernetes 클러스터에 표시되는지 확인합니다. 각 Antrea Kubernetes 클러스터에서 다음 kubectl 명령을 실행합니다.
$ kubectl get acnp
참고: Antrea 클러스터 네트워크 정책의 priority 매개 변수에 부동 값이 표시됩니다. 이 결과는 예상된 것입니다. NSX Manager UI에는 분산 방화벽 정책의 우선순위가 표시되지 않습니다. NSX는 내부적으로 각 정책의 우선순위에 정수 값을 할당합니다. 이 정수 값은 큰 범위 중에서 할당됩니다. 하지만 Antrea 네트워크 플러그인은 Antrea 클러스터 네트워크 정책의 우선순위에 더 작은 부동 소수점 값(절대값)을 할당합니다. 따라서 NSX 우선순위 값은 내부적으로 더 작은 부동 소수점 수로 표준화됩니다. 그러나 분산 방화벽 범주에 정책을 추가하는 순서는 Antrea 클러스터 네트워크 정책에 대해 유지됩니다.NSX 인벤토리에서 Antrea 클러스터 네트워크 정책의 세부 정보를 볼 수도 있습니다. NSX Manager에서 로 이동합니다. 클러스터 이름을 확장하고 클러스터 네트워크 정책 옆에 있는 숫자를 클릭하여 YAML 규격을 포함한 정책의 세부 정보를 봅니다.
- NSX API를 사용하여 정책 통계를 봅니다.
GET https://{nsx-mgr-ip}/api/v1/infra/domains{domain-id}/security-policies/{security-policy-name}/statistics?container_cluster_path=/infra/sites/{site-id}/enforcement-points/{enforcement-point-id}/cluster-control-planes/{cluster-name}
- 다음과 같이 UI에서 런타임 규칙 통계를 봅니다.
- NSX Manager에서 으로 이동합니다.
- 정책 이름을 확장한 다음, 각 규칙의 오른쪽 맨 끝에 있는 그래프 아이콘을 클릭합니다.
- 드롭다운 메뉴에서 Kubernetes 클러스터를 선택하여 각 Kubernetes 클러스터에 대한 규칙 통계를 봅니다.
규칙의 통계는 규칙이 적용되는 각 Kubernetes 클러스터에 대해 개별적으로 계산됩니다. 모든 Kubernetes 클러스터에 대한 통계가 집계되지 않고 UI에 표시됩니다. 규칙 통계는 1분마다 계산됩니다.