在此範例中,您的目標是在 NSX-T Data Center 中建立分散式防火牆原則,以保護 Enterprise Human Resource 應用程式 (此應用程式在單一 Antrea 容器叢集中執行) 中的網繭到網繭流量。

假設 Antrea 容器叢集中的網繭工作負載正在執行 Enterprise Human Resource 應用程式的 Web、App 和 Database 微服務。您已在 NSX-T 環境中使用以網繭為基礎的成員資格準則新增 Antrea 群組,如下表所示。

Antrea 群組名稱 成員資格準則

HR-Web

網繭標籤等於 Web,範圍等於 HR

HR-App

網繭標籤等於 App,範圍等於 HR

HR-DB

網繭標籤等於 DB,範圍等於 HR

您的目標是在應用程式類別中建立有三個防火牆規則的安全性原則,如下所述:
  • 允許從 HR-Web 群組到 HR-App 群組的所有流量。
  • 允許從 HR-App 群組到 HR-DB 群組的所有流量。
  • 拒絕從 HR-Web 群組到 HR-DB 群組的所有流量。

必要條件

已向 NSX-T Data Center 登錄 Antrea 容器叢集。

程序

  1. 從瀏覽器登入 NSX Manager (網址:https://nsx-manager-ip-address)。
  2. 按一下安全性索引標籤,然後在原則管理下按一下分散式防火牆
    隨即會顯示 類別特定規則頁面。
  3. 確定您在應用程式類別中。
  4. 按一下新增原則,然後輸入原則名稱。
    例如,輸入 EnterpriseHRPolicy
  5. 在原則的套用至中,選取 Enterprise Human Resource 應用程式的網繭工作負載執行所在的 Antrea 容器叢集。
  6. 發佈原則。
  7. 選取原則名稱,然後按一下新增規則
    設定三個防火牆規則,如下表所示。
    規則名稱 規則識別碼 來源 目的地 服務 套用至 動作
    Web-to-App 1022 HR-Web 不適用 任何 HR-App 允許
    App-to-DB 1023 HR-App 不適用 任何 HR-DB 允許
    Web-to-DB 1024 HR-Web 不適用 任何 HR-DB 拒絕

    此表中的規則識別碼只是本範例的範例值。您的 NSX-T 環境中的規則識別碼可能會有所不同。

  8. 發佈規則。

結果

成功實現該原則後, Antrea 容器叢集中會出現以下結果:
  • 已建立叢集網路原則。
  • 以相應順序在容器叢集中強制執行規則 1022、1023 和 1024。
  • 對於每個防火牆規則,會在叢集網路原則中建立對應的入口規則。