在此範例中,您的目標是在 NSX 中建立分散式防火牆原則,以保護 Enterprise Human Resource 應用程式 (此應用程式在單一 Antrea Kubernetes 叢集中執行) 中的網繭到網繭流量。
假設 Antrea Kubernetes 叢集中的網繭工作負載正在執行 Enterprise Human Resource 應用程式的 Web、App 和 Database 微服務。您已在 NSX 環境中使用以網繭為基礎的成員資格準則新增 Antrea 群組,如下表所示。
Antrea 群組名稱 | 成員資格準則 |
---|---|
HR-Web |
網繭標籤等於 Web,範圍等於 HR |
HR-App |
網繭標籤等於 App,範圍等於 HR |
HR-DB |
網繭標籤等於 DB,範圍等於 HR |
您的目標是在應用程式類別中建立有三個防火牆規則的安全性原則,如下所述:
- 允許從 HR-Web 群組到 HR-App 群組的所有流量。
- 允許從 HR-App 群組到 HR-DB 群組的所有流量。
- 拒絕從 HR-Web 群組到 HR-DB 群組的所有流量。
必要條件
- 已將 Antrea Kubernetes 叢集登錄到 NSX。
- 在 NSX 部署中套用適當的安全性授權,以授權系統設定分散式防火牆安全性原則。
程序
結果
成功實現該原則後,
Antrea Kubernetes 叢集中會出現以下結果:
- 建立了 Antrea 叢集網路原則 (ACNP)。
- 以相應順序在 Kubernetes 叢集中強制執行規則 1022、1023 和 1024。
- 對於每個防火牆規則,會在叢集網路原則中建立對應的入口規則。