您可以在 Antrea 群組中新增靜態 IP 位址和/或成員資格準則,然後將這些群組作為要套用到一或多個 Antrea 容器叢集的分散式防火牆原則來源或目的地。
必要條件
已向 NSX 至少登錄一個 Antrea 容器叢集。
程序
結果
Antrea 群組會儲存在 NSX 中,而且狀態會變更為「成功」。
備註:
- 當分散式防火牆規則中使用 Antrea 群組時,系統才會計算 Antrea 群組的有效成員。
如果新增了具有成員資格準則的 Antrea 群組,但未在任何分散式防火牆規則中使用這些群組,則系統不會在 NSX 中計算或評估這些 Antrea 群組的有效成員。換句話說,這些 Antrea 群組的有效成員頁面會空白。
- 在 Antrea 群組中新增靜態 IP 位址時,無論是否在分散式防火牆規則中使用這些群組,UI 中目前都不會顯示有效成員。
範例: 新增以網繭為基礎的 Antrea 群組
假設您要新增一個 Antrea 群組,該群組包含了在 Antrea 容器叢集的所有命名空間中執行收入、銷售和度量財務應用程式的所有網繭。
設想容器叢集中的網繭已附加以下標籤。
標籤 | 範圍 |
---|---|
RevenueApp | 財務 |
SalesApp | 財務 |
MetricsApp | 財務 |
根據網繭物件來建立有三個條件的成員資格準則,如下所示:
準則:
網繭標籤等於 RevenueApp,範圍等於財務
網繭標籤等於 SalesApp,範圍等於財務
網繭標籤等於 MetricsApp,範圍等於財務
NSX 依預設會在每個條件後面使用 AND 運算子。當分散式防火牆規則中使用此 Antrea 群組時,系統會計算此群組的有效網繭成員。
實現分散式防火牆原則後,請前往新增群組頁面。按一下此 Antrea 群組的檢視成員,並確認有效成員頁面上已顯示有效的網繭成員。