本文介绍了如何利用Antrea和NSX Manager在VMware环境中实现企业级的Kubernetes Pod安全隔离。通过NSX UI,管理员可以直接管理Kubernetes集群的网络策略,解决YAML维护困难、缺乏安全日志、无法配置deny规则等问题。通过创建Antrea群组,基于Namespace、Service和Pod标签定义安全策略,实现类似于虚拟机微分段的容器安全控制。
接续前篇《虚拟云网络专辑 | Antrea 应用于 VMware 方案功能简介(五)》对于现行 Kubernetes Network Policies 的限制讨论,从本篇开始我想要用实际的画面与大家展示 Antrea 搭配 NSX Manager 如何来进行等同于企业等级防火墙的 Kubernetes Pods 间安全阻隔功能。相关的 Antrea 搭配 NSX 的架构与安装机制会于后续推文再讨论,但这里我想先针对 Antrea + NSX 的方案内是如何改善前面讨论到的 Network Policies 相关缺点进行讨论,包括了:
- 采用 YAML 文件的方式撰写与维护安全政策过于困难;
- 没有安全日记 ( log );
- Network Policies 无法配置 deny 规则,只能设置预设 deny。也就是说,我们不能明确地阻止网络流连线,只能用白名单规则明确地允许哪些网络流可以通过;
- Network Policies 没有顺序。管理者可以针对 Pod 设定多笔规则,但不能限制哪个规则先进行对比。
当我们建立了一个底层采用 Antrea 的 Kubernetes Cluster,并完成与 NSX Manager 整合安装步骤。此时管理者直接在 NSX 的 UI 界面内就可以看到控管的 Kubernetes Cluster 相关信息了。下图是展示环境的画面,在 Inventory–Containers 内,可以看到这个 NSX Manager 有管理三个 Kubernetes Cluster,分别是来自 Tanzu Kubernetes Grid,vSphere with Tanzu 以及原生 Kubernetes。图中针对 tkgm-122-tkc03 这个由 Tanzu Kubernetes Grid 建立的 K8S 丛集,点开看包含 Antrea 本身使用版
最低0.47元/天 解锁文章
扫一扫
196
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
