本文介绍了如何在VMware NSX中配置基于Antrea的Kubernetes集群防火墙规则,包括禁止特定IP连接、记录日志等功能,并展示了规则生效与日志收集的过程。
前篇《虚拟云网络系列 | Antrea 应用于 VMware 方案功能简介(六)》中,我们以实际画面展示了采用 NSX 搭配基于 Antrea 的 Kubernetes Cluster 内,在 NSX UI 管理界面内可以查看到 K8S 丛集的相关信息,并且可以基于 Namespace / Service / Pod Label 等,将要管理的 Pod 纳入 Antrea 群组。本篇内,同样地我想要以实际的画面与大家展示,在 NSX 内如何配置对应的 K8S 防火墙规则,并且查询相关日志。
在前篇展示内我们建立了一个叫做 dvwa-ns 的群组,把所有在 dvwa-ns namespace 内的 Pods 都加到这个群组内。接下来我们要做的展示如下:
- 在上述群组内的 Pod,可以连往任何地方,但不能连到 9.9.9.9 这个 IP 地址;
- 防火墙规则符合时,可以提供日志记录。
下图是我要实现上面的这个防火墙政策,在 NSX – Security – Policy Management – Distributed Firewall 内输入的规则:
几个重点讨论如下:
- 定义规则前,我们需要建立一个 Policy Section,也就是上图内的 TKGM-Cluster。在 Section 内,必须要特别配置 Applied To 指明这个段落内的包含的所有规则是要运作在哪个 Kubernetes Cluster 上。下面的放大图内可以看到,这个 Section 内的规则是配置到 tkgm-122-tkc03 这
最低0.47元/天 解锁文章
扫一扫
192
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
