您可以在 Antrea 群組中新增靜態 IP 位址和/或成員資格準則,然後針對您所建立以保護 Antrea Kubernetes 叢集內流量的分散式防火牆原則,以這些群組作為這些原則的來源或目的地。

必要條件

已向 NSX 至少登錄一個 Antrea Kubernetes 叢集。

程序

  1. 從瀏覽器登入 NSX Manager (網址:https://nsx-manager-ip-address)。
  2. 導覽到詳細目錄 > 群組
    備註: 在瀏覽器中啟動 NSX Manager 應用程式時, NSX Manager UI 會擷取有關登錄的 Antrea Kubernetes 叢集的資訊。如果應用程式 UI 已開啟,則不會自動擷取 Antrea Kubernetes 叢集登錄資訊。根據目前的 UI 設計,這是預期的行為。如果在開啟 NSX Manager 應用程式後先登錄了 Antrea Kubernetes 叢集,請確保在導覽至 群組頁面後重新整理瀏覽器。手動重新整理可確保在達到此程序的步驟 5 時,UI 中會顯示 Antrea 群組類型選項。

    此手動瀏覽器重新整理只需執行一次,無需在每次將新的 Antrea Kubernetes 叢集登錄至 NSX 後都執行。

  3. 按一下新增群組
  4. 輸入群組的名稱,並選擇性地輸入說明。
  5. 按一下設定,並選取 Antrea 作為群組類型。
    Antrea 群組可以包括成員資格準則和/或靜態 IP 位址。視需求而定,執行步驟 6 和/或步驟 7。
  6. 若要新增成員資格準則,請按一下新增準則
    1. 準則窗格中,選取要對其定義條件的成員類型。
      支援的成員類型包括:命名空間、服務和網繭。
    2. 根據需要指定條件的屬性,例如,名稱或標籤、標籤運算子、範圍運算子。
    3. (選擇性) 若要在成員資格準則中新增多個條件,請按一下準則窗格右上角的加號圖示,然後定義條件的屬性。
      在成員資格準則中, NSX 依預設會使用 AND 運算子來聯結所有條件。不支援 OR 運算子。
    4. (選擇性) 若要新增多個準則,請再次按一下新增準則
      若要聯結成員資格準則,可以使用 AND 和 OR 運算子。依預設, NSX 會選擇使用 OR 運算子,來聯結多個準則。在符合以下情況時,才支援在兩個準則之間使用 AND 運算子:
      • 這兩個準則會使用相同的成員類型。
      • 兩個準則均使用單一條件。

      如需在新增成員資格準則時的支援和不支援項目詳細資訊,請參閱Antrea 群組

  7. 若要在群組中新增靜態 IP 位址,請按一下 IP 位址,然後在文字方塊中輸入 IP 值。
    若要從 TXT 或 CSV 檔匯入 IP 值,請按一下 動作 > 匯入。該檔案中的值必須用逗號分隔。允許的值包括 IP 位址、IP 範圍或 CIDR 格式的 IP 位址。您也可以同時執行這兩個動作。也就是在文字方塊中輸入值並從檔案匯入值。但是,文字方塊中的 IP 值總數不得超過 IP 位址索引標籤上顯示的上限。
  8. 按一下套用,然後按一下儲存

結果

Antrea 群組會儲存在 NSX 中,而且狀態會變更為「成功」。

備註:
  • 當分散式防火牆規則中使用 Antrea 群組時,系統才會計算 Antrea 群組的有效成員。

    如果新增了具有成員資格準則的 Antrea 群組,但未在任何分散式防火牆規則中使用這些群組,則系統不會在 NSX 中計算或評估這些 Antrea 群組的有效成員。換句話說,這些 Antrea 群組的有效成員頁面會空白。

  • Antrea 群組中新增靜態 IP 位址時,無論是否在分散式防火牆規則中使用這些群組,UI 中目前都不會顯示有效成員。

範例: 新增以網繭為基礎的 Antrea 群組

假設您要新增一個 Antrea 群組,該群組包含了在 Antrea Kubernetes 叢集的所有命名空間中執行收入、銷售和度量財務應用程式的所有網繭。

設想 Antrea Kubernetes 叢集中的網繭已附加以下標籤。
標籤 範圍
RevenueApp 財務
SalesApp 財務
MetricsApp 財務

根據「網繭」成員類型,來建立具有三項條件的成員資格準則,如下所示:

準則:

網繭標籤等於 RevenueApp,範圍等於財務

網繭標籤等於 SalesApp,範圍等於財務

網繭標籤等於 MetricsApp,範圍等於財務

NSX 依預設會在每個條件後面使用 AND 運算子。當分散式防火牆規則中使用此 Antrea 群組時,系統會計算此群組的有效網繭成員。

實現分散式防火牆原則後,請移至新增群組頁面。按一下此 Antrea 群組的檢視成員,並確認有效成員頁面上已顯示有效的網繭成員。