若要保護 Antrea Kubernetes 叢集中網繭之間的流量,您可以在 NSX 中建立分散式防火牆原則 (安全性原則),並套用至一或多個 Antrea Kubernetes 叢集。
備註: 本說明文件使用「Antrea Kubernetes 叢集」一詞來表示具有
Antrea CNI 的 Kubernetes 叢集。「Kubernetes 叢集」一詞是一個通用詞彙,表示具有
Antrea CNI 的
Tanzu Kubernetes Grid (TKG) 叢集、具有
Antrea CNI 的 OpenShift 叢集,或具有
Antrea CNI 的自助式 (DIY) Kubernetes 叢集。
UI 會針對少數 UI 欄位或標籤使用「Antrea 容器叢集」一詞。在本說明文件的程序一節中,這些 UI 欄位或標籤保留了「Antrea 容器叢集」一詞。對於所有自由格式的文字,會使用「Antrea Kubernetes 叢集」一詞。
必要條件
- 已將 Antrea Kubernetes 叢集登錄到 NSX。
- 在 NSX 部署中套用適當的安全性授權,以授權系統設定分散式防火牆安全性原則。
程序
結果
Antrea Kubernetes 叢集中會出現以下結果:
- Antrea 網路外掛程式會建立叢集網路原則來與每個套用至 Antrea Kubernetes 叢集的分散式防火牆原則對應。
- 如果規則包含來源,則會在 Antrea 叢集網路原則 中建立對應的入口規則。
- 如果規則包含目的地,則會在 Antrea 叢集網路原則 中建立對應的出口規則。
- 如果規則包含「任何-任何」組態,則叢集中的 Antrea 控制器 會將「任何-任何」規則拆分為兩個規則:一個是「任何對任何」的入口規則,一個是「任何對任何」的出口規則。
備註:
Antrea 網路外掛程式不會阻止您透過
kubectl 命令列更新或刪除
Antrea 叢集網路原則。但請避免這麼做。原因是安全性原則的管理者是
NSX。因此,
Antrea Kubernetes 叢集中的
中央控制平面介面卡 會立即覆寫透過
kubectl 命令列所進行的原則變更。換句話說,
NSX 是原則的事實來源。透過
kubectl 命令列對這些叢集網路原則所進行的變更,不會顯示在
NSX Manager 中。
下一步
在 Antrea Kubernetes 叢集中成功實現安全性原則後,您可以執行以下可選工作:
- 確認 Antrea 叢集網路原則已顯示在 Kubernetes 叢集中。在每個 Antrea Kubernetes 叢集中執行以下 kubectl 命令:
$ kubectl get acnp
備註: Antrea 叢集網路原則中的 priority 參數會顯示浮點值。這是符合預期的結果。 NSX Manager UI 不會顯示分散式防火牆原則的優先順序。 NSX 會在內部為每個原則的優先順序指派一個整數值。系統會從一個大範圍指派此整數值。但是, Antrea 網路外掛程式會為 Antrea 叢集網路原則的優先順序指派較小的浮點數 (絕對值)。因此, NSX 優先順序值在內部會標準化為較小的浮點數。但是,系統會為 Antrea 叢集網路原則保留您在分散式防火牆類別中新增原則時所採用的順序。您也可以在 NSX 詳細目錄中,檢視 Antrea 叢集網路原則的詳細資料。在 NSX Manager 中,導覽到 。展開叢集名稱,然後按一下叢集網路原則旁邊的數字以檢視原則的詳細資料,包括 YAML 規格。
- 使用 NSX API 來檢視原則統計資料:
GET https://{nsx-mgr-ip}/api/v1/infra/domains{domain-id}/security-policies/{security-policy-name}/statistics?container_cluster_path=/infra/sites/{site-id}/enforcement-points/{enforcement-point-id}/cluster-control-planes/{cluster-name}
- 在 UI 中檢視執行階段規則統計資料:
- 在 NSX Manager 中,導覽到 。
- 展開原則名稱,然後按一下每個規則最右邊角落的圖形圖示。
- 從下拉式功能表中選取 Kubernetes 叢集,以檢視每個 Kubernetes 叢集的規則統計資料。
系統會個別針對已強制執行規則的每個 Kubernetes 叢集,計算規則的統計資料。系統不會彙總所有 Kubernetes 叢集的統計資料並將其顯示在 UI 中。規則統計資料的計算頻率為每分鐘一次。