Exportieren und Anwenden von Kubernetes-Netzwerkrichtlinien
Sie können die empfohlenen Regeln für Netzwerkrichtlinien im Zusammenhang mit Kubernetes-Objekten in das YAML-Format exportieren.
VMware Aria Operations for Networks
unterstützt nur das Exportieren in das YAML-Format für die Gruppe nach Namespace und das Gruppieren nach Diensttopologien.
- Um die empfohlenen Regeln in das YAML-Format zu exportieren, wählen Sie im Sicherheitsplanungsmodell den Kubernetes-Cluster aus, für den Sie die Sicherheit planen möchten, und führen einen der folgenden Schritte aus.
- Erweitern Sie weitere Optionen im Widget „Mikrosegmente“ und wählen SieRegeln als YAML exportierenaus.
- Wählen Sie einen Knoten in der Radansicht des Mikrosegments aus, klicken Sie auf die Anzahl der empfohlenen Firewallregeln, erweitern Sie weitere Optionen und klicken Sie aufRegeln als YAML exportieren.
VMware Aria Operations for Networkslädt eine ZIP-Datei mit dem Namen „Kubernetes-Netzwerkrichtlinien“ und einen zugehörigen Zeitstempel herunter. Wenn Sie die Datei entpacken, sehen Sie die folgenden fünf CSV-Dateien und auch mehrere Ordner, je nach der Anzahl der Cluster. Jeder Ordner enthält mehrere YAML-Dateien für den Cluster.DateinameBeschreibungnetwork-policy-others-ipaddress.csvEnthält die IP-Adressen der physischen Server und der virtuellen Maschine, mit denen die Dienste oder Namespaces kommunizieren.recommended-namespace-labels-to-add.csvEnthält die Bezeichnungen, die an die dem Namespace zugeordneten Pods angehängt werden sollen.Beispiel:- Cluster– pdk8s
- Namespace– sock-shop
- Bezeichnung– sock-shop-pdk8s
recommended-service-labels-to-add.csvEnthält die Bezeichnungen, die an die dem Dienst zugeordneten Pods angehängt werden sollen.Beispiel:- Cluster– pdk8s
- Namespace– sock-shop
- Dienst– front-end
- Bezeichnung– Service:front-sock-shop-pdk8s
- Cluster– pdk8s
- Namespace– sock-shop
- Dienst– user
- Bezeichnung– Service:user-sock-shop
recommended-network-policy.csvEnthält alle vonVMware Aria Operations for Networksempfohlenen Regeln.exported-network-policy-rule-names.csvListet alle auf der Basis der empfohlenen Regeln exportierten Netzwerkrichtlinien auf. - Führen Sie die folgenden Schritte aus, um die Dienstbezeichnungen anzuwenden:
- Führen Sie den folgenden Kubernetes-CLI-Befehl aus.kubectl edit deployment-nservice-namenamespace-namekubectl edit deployment-nredis-primaryguestbookDie Bereitstellungsdatei des Diensts wird geöffnet.
- Hängen Sie in der Liste der Dienstbezeichnungen die in der CSV-Datei vorgeschlagene Bezeichnung an die Bezeichnungen an, die im Abschnitt mit den Spezifikationen der Dienstbereitstellung aufgeführt sind.
- Führen Sie die folgenden Schritte aus, um die Namespace-Bezeichnungen anzuwenden:
- Führen Sie den folgenden Kubernetes-CLI-Befehl aus.kubectl edit namespacenamespace-namekubectl edit namespaceguestbookDie Bereitstellungsdatei des Namespace wird geöffnet.
- Hängen Sie in den Metadaten die in der CSV-Datei vorgeschlagene Bezeichnung an die Bezeichnungen an, die im Abschnittspecder Namespace-Bereitstellung aufgeführt sind.
- Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Bezeichnungen auf die Pods angewendet werden.kubectl get pods -n--show-labelsnamespace-namekubectl get pods--show-labelsguestbookSehen Sie sich die Bezeichnungen in der Ergebnisansicht an.Bei der Anwendung auf Namespace werden die Bezeichnungen nicht auf Pods reflektiert.
- Kopieren Sie zum Erstellen der Netzwerkrichtlinien die YAML-Dateien aus dem jeweiligen Cluster-Ordner in einen anderen Ordner und führen Sie einen der folgenden Befehle aus:
- kubectl apply -f <folder-name>/– Alle Firewallregeln werden zusammen angewendet.
- kubectl apply -f <folder-name>/<firewall-rule>.yaml– Firewallregeln werden nacheinander angewendet.