在此範例中,您的目標是在 NSX 中建立分散式防火牆原則,以保護 Enterprise Human Resource 應用程式 (此應用程式在單一 Antrea Kubernetes 叢集中執行) 中的網繭到網繭流量。

假設 Antrea Kubernetes 叢集中的網繭工作負載正在執行 Enterprise Human Resource 應用程式的 Web、App 和 Database 微服務。您已在 NSX 環境中使用以網繭為基礎的成員資格準則新增 Antrea 群組,如下表所示。

Antrea 群組名稱 成員資格準則

HR-Web

網繭標籤等於 Web,範圍等於 HR

HR-App

網繭標籤等於 App,範圍等於 HR

HR-DB

網繭標籤等於 DB,範圍等於 HR

您的目標是在應用程式類別中建立有三個防火牆規則的安全性原則,如下所述:
  • 允許從 HR-Web 群組到 HR-App 群組的所有流量。
  • 允許從 HR-App 群組到 HR-DB 群組的所有流量。
  • 拒絕從 HR-Web 群組到 HR-DB 群組的所有流量。

必要條件

  • 已將 Antrea Kubernetes 叢集登錄到 NSX
  • NSX 部署中套用適當的安全性授權,以授權系統設定分散式防火牆安全性原則。

程序

  1. 從瀏覽器登入 NSX Manager (網址:https://nsx-manager-ip-address)。
  2. 按一下安全性索引標籤,然後在原則管理下按一下分散式防火牆
    隨即會顯示 類別特定規則頁面。
  3. 確定您在應用程式類別中。
  4. 按一下新增原則,然後輸入原則名稱。
    例如,輸入 EnterpriseHRPolicy
  5. 在原則的套用至中,選取 Enterprise Human Resource 應用程式的網繭工作負載執行所在的 Antrea Kubernetes 叢集。
  6. 發佈原則。
  7. 選取原則名稱,然後按一下新增規則
    設定三個防火牆規則,如下表所示。
    規則名稱 規則識別碼 來源 目的地 服務 套用至 動作
    Web-to-App 1022 HR-Web 不適用 任何 HR-App 允許
    App-to-DB 1023 HR-App 不適用 任何 HR-DB 允許
    Web-to-DB 1024 HR-Web 不適用 任何 HR-DB 拒絕

    此表中的規則識別碼只是本範例的範例值。您的 NSX 環境中的規則識別碼可能會有所不同。

  8. 發佈規則。

結果

成功實現該原則後, Antrea Kubernetes 叢集中會出現以下結果:
  • 建立了 Antrea 叢集網路原則 (ACNP)。
  • 以相應順序在 Kubernetes 叢集中強制執行規則 1022、1023 和 1024。
  • 對於每個防火牆規則,會在叢集網路原則中建立對應的入口規則。