若要保護 Antrea 容器叢集中網繭之間的流量,您可以在 NSX-T Data Center 中建立分散式防火牆原則 (安全性原則),並套用至一或多個 Antrea 容器叢集。
必要條件
已將 Antrea 容器叢集登錄到 NSX-T Data Center。
程序
結果
Antrea 容器叢集中會出現以下結果:
- Antrea 網路外掛程式會建立叢集網路原則來與每個套用至 Antrea 容器叢集的分散式防火牆原則對應。
- 如果規則包含來源,則會在 Antrea 叢集網路原則 中建立對應的入口規則。
- 如果規則包含目的地,則會在 Antrea 叢集網路原則 中建立對應的出口規則。
- 如果規則包含「任何-任何」組態,則叢集中的 Antrea 控制器 會將「任何-任何」規則拆分為兩個規則:一個是「任何對任何」的入口規則,一個是「任何對任何」的出口規則。
備註:
Antrea 網路外掛程式不會阻止您透過
kubectl 命令列更新或刪除
Antrea 叢集網路原則。但請避免這麼做。原因是安全性原則的管理者是
NSX-T。因此,
Antrea 容器叢集中的
中央控制平面介面卡 會立即覆寫透過
kubectl 命令列所進行的原則變更。換句話說,
NSX-T 是原則的事實來源。透過
kubectl 命令列對這些叢集網路原則所進行的變更不會顯示在
NSX Manager 中。
下一步
在 Antrea 容器叢集中成功實現安全性原則後,您可以執行以下可選工作:
- 確認 Antrea 叢集網路原則已顯示在容器叢集中。在每個 Antrea 容器叢集中執行以下 kubectl 命令:
$ kubectl get acnp
備註: Antrea 叢集網路原則中的 priority 參數會顯示浮點值。這是符合預期的結果。 NSX Manager UI 不會顯示分散式防火牆原則的優先順序。 NSX-T 會在內部為每個原則的優先順序指派一個整數值。系統會從一個大範圍指派此整數值。但是, Antrea 網路外掛程式會為 Antrea 叢集網路原則的優先順序指派較小的浮點數 (絕對值)。因此, NSX-T 優先順序值在內部會標準化為較小的浮點數。但是,系統會為 Antrea 叢集網路原則保留您在分散式防火牆類別中新增原則時所採用的順序。您也可以在 NSX-T 詳細目錄中檢視 Antrea 叢集網路原則的詳細資料。在 NSX Manager 中,導覽到 。展開叢集名稱,然後按一下叢集網路原則旁邊的數字以檢視原則的詳細資料,包括 YAML 規格。
- 使用 NSX API 來檢視原則統計資料:
GET https://{nsx-mgr-ip}/api/v1/infra/domains{domain-id}/security-policies/{security-policy-name}/statistics?container_cluster_path=/infra/sites/{site-id}/enforcement-points/{enforcement-point-id}/cluster-control-planes/{cluster-name}
- 在 UI 中檢視執行階段規則統計資料:
- 在 NSX Manager 中,導覽到 。
- 展開原則名稱,然後按一下每個規則最右邊角落的圖形圖示。
- 從下拉式功能表中選取容器叢集,以檢視每個容器叢集的規則統計資料。
系統會個別針對已強制執行規則的每個容器叢集來計算規則的統計資料。系統不會彙總所有容器叢集的統計資料並將其顯示在 UI 中。規則統計資料的計算頻率為每分鐘一次。