Antrea對(duì)虛機(jī)和裸機(jī)集群的安全控制簡(jiǎn)介_第1頁
Antrea對(duì)虛機(jī)和裸機(jī)集群的安全控制簡(jiǎn)介_第2頁
Antrea對(duì)虛機(jī)和裸機(jī)集群的安全控制簡(jiǎn)介_第3頁
Antrea對(duì)虛機(jī)和裸機(jī)集群的安全控制簡(jiǎn)介_第4頁
Antrea對(duì)虛機(jī)和裸機(jī)集群的安全控制簡(jiǎn)介_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

Antrea

對(duì)虛機(jī)和裸機(jī)集群的安全控制簡(jiǎn)介技術(shù)創(chuàng)新,變革未來Antrea

是一個(gè)

Kubernetes

云原生網(wǎng)絡(luò)解決方案,使用

Open

vSwitch

作為數(shù)據(jù)轉(zhuǎn)發(fā)平面,為

Kubernetes

集群提供網(wǎng)絡(luò)和安全服務(wù)。Antrea提供比K8s原生網(wǎng)絡(luò)安全策略更加靈活、豐富的配置規(guī)則和控制行為。?統(tǒng)一管理K8s

集群和

虛機(jī)/裸機(jī)集群屏蔽不同操作系統(tǒng)的防火墻配置指令的差異一條命令實(shí)現(xiàn)多個(gè)虛機(jī)/裸機(jī)的安全策略同時(shí)配置?Antrea

啟用

ExternalNode

功能創(chuàng)建

ExternalNode

資源在虛機(jī)/裸機(jī)上運(yùn)行

Antrea

Agent配置

Antrea

網(wǎng)絡(luò)安全策略并應(yīng)用到虛機(jī)/裸機(jī)?Antrea自v1.8開始提供針對(duì)

ExternalNode

的網(wǎng)絡(luò)連通性和安全控制能力ExternalNode

是Antrea用來描述K8s

Node之外的虛機(jī)/裸機(jī)的CRDAntrea

Controller運(yùn)行在K8s集群內(nèi),對(duì)虛機(jī)/裸機(jī)的安全策略進(jìn)行分析、計(jì)算并生成內(nèi)部資源,推送到虛機(jī)/裸機(jī)在受管的虛機(jī)/裸機(jī)上運(yùn)行

OVS

以及Antrea

代理(Agent)進(jìn)程?apiVersion:v1kind:

ConfigMapmetadata:name:antrea-config-dcfb6k2hkmnamespace:

kube-systemdata:antrea-controller.conf:

|featureGates:ExternalNode:

true配置Antrea

Controller使用

NodePort

或者LoadBalancer

類型的服務(wù)apiVersion:

v1kind:Servicemetadata:name:antreanamespace:

kube-systemtype:

NodePortlabels:app:

antreaspec:ports:-port:443protocol:TCPtargetPort:

apiselector:app:

antreacomponent:

antrea-controller修改Antrea

Controller

的配置文件啟用

ExternalNode功能工作流程?Antrea

啟用

ExternalNode

功能創(chuàng)建

ExternalNode

資源在虛機(jī)/裸機(jī)上運(yùn)行

Antrea

Agent配置

Antrea

網(wǎng)絡(luò)安全策略并應(yīng)用到虛機(jī)/裸機(jī)?在

VPC

里部署虛機(jī)/裸機(jī)K8s

Namespace>kubectlcreatens

ns1每個(gè)虛機(jī)/裸機(jī)創(chuàng)建一個(gè)

ExternalNode

資源,并且明確由Antrea

管理的網(wǎng)卡信息cat<<EOF|kubectlapply-f–apiVersion:

crd.antrea.io/v1alpha1kind:

ExternalNodemetadata:name:vm1namespace:

ns1labels:role:dbspec:interfaces:-ips:

["0"]name:

“”?Antrea

Controller自動(dòng)為虛機(jī)/裸機(jī)創(chuàng)建可以被Antrea網(wǎng)絡(luò)安全策略應(yīng)用的ExternalEntity資源apiVersion:

crd.antrea.io/v1alpha2kind:

ExternalEntitymetadata:labels:role:dbname:vm1namespace:

ns1ownerReferences:-apiVersion:

crd.antrea.io/v1alpha1kind:

ExternalNodename:

vm1uid:

2067fdae-280f-4631-baac-ae7e4f422d02spec:endpoints:-ip:

0externalNode:

vm1Antrea

啟用

ExternalNode

功能創(chuàng)建

ExternalNode

資源在虛機(jī)/裸機(jī)上運(yùn)行

Antrea

Agent配置

Antrea

網(wǎng)絡(luò)安全策略并應(yīng)用到虛機(jī)/裸機(jī)?配置Antrea

Agent使用的Service

Account,并應(yīng)用RBAC配置準(zhǔn)備Antrea

Agent二進(jìn)制文件從Antrea開源社區(qū)下載release版本基于開源代碼編譯準(zhǔn)備Antrea

Agent

的配置文件拷貝K8s

APIServer

AntreaController的kubeconfig文件配置ExternalNode的名稱運(yùn)行

Antrea

Agent命令行以進(jìn)程方式運(yùn)行配置系統(tǒng)服務(wù)?Antrea

啟用

ExternalNode

功能創(chuàng)建

ExternalNode

資源在虛機(jī)/裸機(jī)上運(yùn)行

Antrea

Agent配置

Antrea

網(wǎng)絡(luò)安全策略并應(yīng)用到虛機(jī)/裸機(jī)?應(yīng)用

Antrea

網(wǎng)絡(luò)安全策略到代表虛機(jī)/裸機(jī)的

ExternalEntity資源虛機(jī)/裸機(jī)可使用的

Antrea

網(wǎng)絡(luò)安全策略支持以下來源或目標(biāo)對(duì)象的類型Egress/IngressExternalEntityIPBlockEgressFQDN

地址虛機(jī)/裸機(jī)可使用的

Antrea

網(wǎng)絡(luò)安全策略支持以下

action

類型AllowDropRejectkind:

NetworkPolicymetadata:name:anp1namespace:ns1spec:priority:

9000.0appliedTo:externalEntitySelector:matchLabels:role:

dbingress:action:

Rejectports:protocol:

TCPport:

22from:externalEntitySelector:matchLabels:role:

frontipBlock:cidr:

/32egress:action:

Dropports:-protocol:

TCPto:externalEntitySelector:matchLabels:role:

backendfqdn:

""Antrea

Agent

連接到

K8s

APIServer

監(jiān)聽所屬ExternalNode

資源?Antrea

Agent

連接到

Antrea

Controller

監(jiān)聽安全策略內(nèi)部資源Antrea

Controller

利用與虛機(jī)/裸機(jī)之間建立的連接發(fā)布Antrea

安全策略的內(nèi)部資源每個(gè)虛機(jī)/裸機(jī)上的

Antrea

Agent

只能接收到應(yīng)用到當(dāng)前External

Node

的安全策略資源Antrea

Agent

連接VM上的

OVS

進(jìn)程,通過流表控制虛機(jī)/裸機(jī)網(wǎng)絡(luò)流量的轉(zhuǎn)發(fā)規(guī)則創(chuàng)建一對(duì)網(wǎng)卡uplink:目標(biāo)受管網(wǎng)卡虛擬的內(nèi)部網(wǎng)卡:用于配置受管網(wǎng)卡的

MAC、IP

和路由等規(guī)則靜態(tài)IPDHCP配置

OpenFlow

流表規(guī)則實(shí)現(xiàn)

Antrea

安全策略虛機(jī)/裸機(jī)操作系統(tǒng)類型LinuxUbuntu

18.04/20.04Rhel

8.4WindowsServer

2019?云計(jì)算平臺(tái)AWSAzureAntrea

網(wǎng)絡(luò)安全策略在管理虛機(jī)/裸機(jī)時(shí)的應(yīng)用對(duì)象是什么??ExternalEntityExternalNode虛機(jī)/裸機(jī)的hostname與ExternalNode的名稱不一致時(shí)如何通知

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論