Antrea對虛機(jī)和裸機(jī)集群的安全控制簡介

Antrea

對虛機(jī)和裸機(jī)集群的安全控制簡介技術(shù)創(chuàng)新，變革未來Antrea

是一個

Kubernetes

云原生網(wǎng)絡(luò)解決方案，使用

Open

vSwitch

作為數(shù)據(jù)轉(zhuǎn)發(fā)平面，為

Kubernetes

集群提供網(wǎng)絡(luò)和安全服務(wù)。Antrea提供比K8s原生網(wǎng)絡(luò)安全策略更加靈活、豐富的配置規(guī)則和控制行為。?統(tǒng)一管理K8s

集群和

虛機(jī)/裸機(jī)集群屏蔽不同操作系統(tǒng)的防火墻配置指令的差異一條命令實現(xiàn)多個虛機(jī)/裸機(jī)的安全策略同時配置?Antrea

啟用

ExternalNode

功能創(chuàng)建

ExternalNode

資源在虛機(jī)/裸機(jī)上運行

Antrea

Agent配置

Antrea

網(wǎng)絡(luò)安全策略并應(yīng)用到虛機(jī)/裸機(jī)?Antrea自v1.8開始提供針對

ExternalNode

的網(wǎng)絡(luò)連通性和安全控制能力ExternalNode

是Antrea用來描述K8s

Node之外的虛機(jī)/裸機(jī)的CRDAntrea

Controller運行在K8s集群內(nèi)，對虛機(jī)/裸機(jī)的安全策略進(jìn)行分析、計算并生成內(nèi)部資源，推送到虛機(jī)/裸機(jī)在受管的虛機(jī)/裸機(jī)上運行

OVS

以及Antrea

代理（Agent）進(jìn)程?apiVersion:v1kind:

ConfigMapmetadata:name:antrea-config-dcfb6k2hkmnamespace:

kube-systemdata:antrea-controller.conf:

|featureGates:ExternalNode:

true配置Antrea

Controller使用

NodePort

或者LoadBalancer

類型的服務(wù)apiVersion:

v1kind:Servicemetadata:name:antreanamespace:

kube-systemtype:

NodePortlabels:app:

antreaspec:ports:-port:443protocol:TCPtargetPort:

apiselector:app:

antreacomponent:

antrea-controller修改Antrea

Controller

的配置文件啟用

ExternalNode功能工作流程?Antrea

啟用

ExternalNode

功能創(chuàng)建

ExternalNode

資源在虛機(jī)/裸機(jī)上運行

Antrea

Agent配置

Antrea

網(wǎng)絡(luò)安全策略并應(yīng)用到虛機(jī)/裸機(jī)?在

VPC

里部署虛機(jī)/裸機(jī)K8s

Namespace>kubectlcreatens

ns1每個虛機(jī)/裸機(jī)創(chuàng)建一個

ExternalNode

資源，并且明確由Antrea

管理的網(wǎng)卡信息cat<<EOF|kubectlapply-f–apiVersion:

crd.antrea.io/v1alpha1kind:

ExternalNodemetadata:name:vm1namespace:

ns1labels:role:dbspec:interfaces:-ips:

["0"]name:

“”?Antrea

Controller自動為虛機(jī)/裸機(jī)創(chuàng)建可以被Antrea網(wǎng)絡(luò)安全策略應(yīng)用的ExternalEntity資源apiVersion:

crd.antrea.io/v1alpha2kind:

ExternalEntitymetadata:labels:role:dbname:vm1namespace:

ns1ownerReferences:-apiVersion:

crd.antrea.io/v1alpha1kind:

ExternalNodename:

vm1uid:

2067fdae-280f-4631-baac-ae7e4f422d02spec:endpoints:-ip:

0externalNode:

vm1Antrea

啟用

ExternalNode

功能創(chuàng)建

ExternalNode

資源在虛機(jī)/裸機(jī)上運行

Antrea

Agent配置

Antrea

網(wǎng)絡(luò)安全策略并應(yīng)用到虛機(jī)/裸機(jī)?配置Antrea

Agent使用的Service

Account，并應(yīng)用RBAC配置準(zhǔn)備Antrea

Agent二進(jìn)制文件從Antrea開源社區(qū)下載release版本基于開源代碼編譯準(zhǔn)備Antrea

Agent

的配置文件拷貝K8s

APIServer

和

AntreaController的kubeconfig文件配置ExternalNode的名稱運行

Antrea

Agent命令行以進(jìn)程方式運行配置系統(tǒng)服務(wù)?Antrea

啟用

ExternalNode

功能創(chuàng)建

ExternalNode

資源在虛機(jī)/裸機(jī)上運行

Antrea

Agent配置

Antrea

網(wǎng)絡(luò)安全策略并應(yīng)用到虛機(jī)/裸機(jī)?應(yīng)用

Antrea

網(wǎng)絡(luò)安全策略到代表虛機(jī)/裸機(jī)的

ExternalEntity資源虛機(jī)/裸機(jī)可使用的

Antrea

網(wǎng)絡(luò)安全策略支持以下來源或目標(biāo)對象的類型Egress/IngressExternalEntityIPBlockEgressFQDN

地址虛機(jī)/裸機(jī)可使用的

Antrea

網(wǎng)絡(luò)安全策略支持以下

action

類型AllowDropRejectkind:

NetworkPolicymetadata:name:anp1namespace:ns1spec:priority:

9000.0appliedTo:externalEntitySelector:matchLabels:role:

dbingress:action:

Rejectports:protocol:

TCPport:

22from:externalEntitySelector:matchLabels:role:

frontipBlock:cidr:

/32egress:action:

Dropports:-protocol:

TCPto:externalEntitySelector:matchLabels:role:

backendfqdn:

""Antrea

Agent

連接到

K8s

APIServer

監(jiān)聽所屬ExternalNode

資源?Antrea

Agent

連接到

Antrea

Controller

監(jiān)聽安全策略內(nèi)部資源Antrea

Controller

利用與虛機(jī)/裸機(jī)之間建立的連接發(fā)布Antrea

安全策略的內(nèi)部資源每個虛機(jī)/裸機(jī)上的

Antrea

Agent

只能接收到應(yīng)用到當(dāng)前External

Node

的安全策略資源Antrea

Agent

連接VM上的

OVS

進(jìn)程，通過流表控制虛機(jī)/裸機(jī)網(wǎng)絡(luò)流量的轉(zhuǎn)發(fā)規(guī)則創(chuàng)建一對網(wǎng)卡uplink：目標(biāo)受管網(wǎng)卡虛擬的內(nèi)部網(wǎng)卡：用于配置受管網(wǎng)卡的

MAC、IP

和路由等規(guī)則靜態(tài)IPDHCP配置

OpenFlow

流表規(guī)則實現(xiàn)

Antrea

安全策略虛機(jī)/裸機(jī)操作系統(tǒng)類型LinuxUbuntu

18.04/20.04Rhel

8.4WindowsServer

2019?云計算平臺AWSAzureAntrea

網(wǎng)絡(luò)安全策略在管理虛機(jī)/裸機(jī)時的應(yīng)用對象是什么？?ExternalEntityExternalNode虛機(jī)/裸機(jī)的hostname與ExternalNode的名稱不一致時如何通知