處理 NSX 管理員建立的 DFW 區段
對於管理程式至原則的移轉,NSX 管理員可能需要根據分散式防火牆 (DFW) 區段對 Vanilla Kubernetes 或 TKGi 叢集和/或 TAS 基礎的影響,來採取動作。
如果 NSX 管理員未建立任何 DFW 區段,您可以略過以下的資訊。
DFW 區段不會影響任何叢集/基礎
NSX 管理員可以執行下列其中一項作業:
- 使用原則 API 建立以管理程式模式建立的相同 DFW。
- 移轉所有 Kubernetes 叢集後,使用 NSX UI 移轉所有內容。
- 在 TAS 中,在移轉基礎之前/之後,將 DFW 區段/規則當成共用資源進行移轉。請注意,如果 DFW 規則的來源和目的地為 ANY,則必須將此類 DFW 區段移轉至「預設」NSX 原則網域。
DFW 區段僅影響一個叢集/基礎
可以有多個區段,而在一個區段中可以有多個規則。
頂部和底部區段標記 | NSX 管理員動作 |
|---|---|
NCP 使用頂部和底部區段標記 NSX 管理員建立的區段位於頂部和底部區段標記外部。 | Kubernetes 使用原則 API 建立以管理程式模式在叢集的頂部標記之上建立的相同 DFW。必須在執行叢集移轉之前完成此作業。在叢集移轉完成後,為底部標記以下的區段/規則執行相同的作業。 TAS 在執行基礎移轉之前,請先移轉在管理程式模式中建立的相同 DFW,且該 DFW 存在於叢集頂端標記上方,做為共用資源。基礎移轉完成後,請對底部標記下方的區段/規則執行相同的作業。 確保在移轉所有基礎後,將低優先順序區段 (在管理程式模式下位於底部標記之下) 移轉至原則。 |
頂部和底部區段標記 | NSX 管理員動作 |
|---|---|
NCP 使用頂部和底部區段標記 NSX 管理員建立的區段位於頂部和底部區段標記內部。 | Kubernetes 如果管理員建立的區段可移至上方區段標記上方,請在建立叢集移轉之前,使用原則 API 來建立在管理程式模式中建立的相同 DFW。 如果管理員建立的區段可移至底部區段標記下方,請在叢集移轉完成之後,使用原則 API 來建立在管理程式模式中建立的相同 DFW。 TAS 如果可以將管理員建立的區段移至頂端區段標記上方,請在基礎移轉之前,將相同的 DFW 作為共用資源進行移轉。 如果可以將管理員建立的區段移至底端區段標記下方,請在基礎移轉之後,將相同的 DFW 作為共用資源進行移轉。 Kubernetes 和 TAS 如果無法執行上述作業,即表示不支援此案例。 |
頂部和底部區段標記 | NSX 管理員動作 |
|---|---|
NCP 不使用頂部和底部區段標記 在這種情況下,NCP 會以管理程式模式,在頂部或底部建立 DFW 區段。 | Kubernetes 如果管理員建立的區段可移至 NCP 建立的頂端區段上方,請在叢集移轉之前,使用原則 API 來建立在管理程式模式中建立的相同 DFW。 如果管理員建立的區段可移至 NCP 建立的底端區段下方,請在叢集移轉完成之後,使用原則 API 來建立在管理程式模式中建立的相同 DFW。 TAS 如果可以將管理員建立的區段移至 NCP 建立的上一個區段上方,請在基礎移轉之前,將相同的 DFW 作為共用資源進行移轉。 如果可以將管理員建立的區段移至 NCP 建立的底部區段下方,請在基礎移轉之後,將相同的 DFW 作為共用資源進行移轉。 |
DFW 區段會影響多個叢集/基礎
頂部和底部區段標記 | NSX 管理員動作 |
|---|---|
NCP 使用頂部和底部區段標記 所有叢集/基礎具有相同的頂部和底部區段標記。 NSX 管理員建立的區段位於頂部和底部區段標記外部。 | Kubernetes 在移轉叢集之前,使用原則 API 建立以管理程式模式在頂部標記以上建立的相同 DFW。移轉所有叢集後,請針對底部標記下方的區段/規則執行相同的作業。 TAS 在移轉第一個基礎期間,將以管理程式模式在頂端標記上方建立的相同 DFW 作為共用資源進行移轉。在移轉所有基礎後,請針對底部標記以下的區段/規則執行相同的作業。 |
頂部和底部區段標記 | NSX 管理員動作 |
|---|---|
NCP 使用頂部和底部區段標記 所有叢集/基礎具有相同的頂部和底部區段標記。 NSX 管理員建立的區段位於頂部和底部區段標記內部。 | Kubernetes 如果可以將管理員建立的區段移至頂端區段標記上方,請在移轉受這些區段影響的叢集之前,使用原則 API 來建立在管理程式模式中建立的相同 DFW。 如果可以將管理員建立的區段移至底端區段標記下方,請在移轉受這些區段影響的叢集之後,使用原則 API 來建立在管理程式模式中建立的相同 DFW。 TAS 如果可以將管理員建立的區段移至上方區段標記上方,請先將相同的 DFW 作為共用資源進行移轉,然後再移轉任何受這些區段影響的基礎。可以使用任何基礎的 OpsManager 進行移轉。 如果可以將管理員建立的區段移至底端區段標記下方,請在移轉所有受這些區段影響的基礎之後,將相同的 DFW 作為共用資源進行移轉。可以使用任何基礎的 OpsManager 進行移轉。 Kubernetes 和 TAS 如果無法執行上述作業,即表示不支援此案例。 |
頂部和底部區段標記 | NSX 管理員動作 |
|---|---|
NCP 使用頂部和底部區段標記。 叢集/基礎具有不同的頂部和底部區段標記。 NSX 管理員建立的區段位於頂部和底部區段標記外部。 | Kubernetes 在移轉叢集之前,使用原則 API 建立以管理程式模式在頂部標記以上建立的相同 DFW。在移轉完所有叢集後,為底部標記以下的區段/規則執行相同的作業。 TAS 在基礎移轉期間,將以管理程式模式在頂端標記上方建立的相同 DFW 作為共用資源進行移轉。在移轉所有基礎後,請針對底部標記以下的區段/規則執行相同的作業。 |
頂部和底部區段標記 | NSX 管理員動作 |
|---|---|
NCP 使用頂端和底部區段標記。 叢集/基礎具有不同的頂部和底部區段標記。 NSX 管理員建立的區段位於頂部和底部區段標記內部。 | Kubernetes 如果可能,將該區段移至受該區段影響的所有叢集的頂部區段標記以上。然後,在移轉受該區段影響的叢集之前,使用原則 API 建立以管理程式模式建立的相同 DFW。 如果可能,將該區段移至受該區段影響的所有叢集的底部區段標記以下。然後,在移轉受該區段影響的叢集後,使用原則 API 建立以管理程式模式建立的相同 DFW。 TAS 如果可能,請將管理員建立的區段移至這些區段影響的所有叢集的頂端區段標記上方。然後,先將相同的 DFW 作為共用資源進行移轉,然後再移轉受區段影響的任何基礎。可以使用任何基礎的 OpsManager 進行移轉。 如果可能,請將管理員建立的區段移至這些區段影響的所有叢集底部區段標記下方。然後在移轉受這些區段影響的所有基礎後,將相同的 DFW 作為共用資源進行移轉。可以使用任何基礎的 OpsManager 進行移轉。 Kubernetes 和 TAS 如果可能,將區段細分為更小的區段,以便:
如果無法執行上述作業,即表示不支援此案例。 |
頂部和底部區段標記 | NSX 管理員動作 |
|---|---|
NCP 不使用頂部和底部區段標記。在這種情況下,NCP 會以管理程式模式,在頂部或底部建立 DFW 區段。 | 該案例類似於上一資料列中所述的案例,不同之處在於頂部區段標記被 NCP 建立的頂部區段取代,底部區段標記被 NCP 建立的底部區段取代。 |
備註
- 在以原則模式建立 DFW 時,NSX 管理員必須先建立 DFW 所需的 NSX 資源。此類資源的範例包括 NS 群組、IPSet 等。同樣地,他們必須在 TAS 的 Opsmanager 中指定所有相依的 NSX 資源。
- 如果 DFW 使用由 NCP/TKGi/TAS 建立的 NSX 資源,且需要在移轉 NCP/TKGi/TAS 建立的 NSX 資源之前,移轉此 DFW,您必須在原則中手動建立類似的 NSX 資源。
- 如果無法完成此作業,則不支援此案例。移轉叢集/基礎後,所有 NCP、TKGI 和 TAS 資源將可用於建立安全性原則和規則。
- 如果可以完成此作業,管理員應在移轉叢集/基礎後,編輯安全性原則,並在 DFW 中使用 NCP/NCP/TKGI/TAS NSX 資源。
- NCP 會在環境和應用程式類別中建立安全性原則。用於這些類別的 sequence_number 是:
- 環境:1
- 應用程式:10、50、90、99
您必須在原則 API 中建立或移轉所有安全性原則/DFW,使其 sequence_number 超出 NCP 使用的範圍。例如,在頂部區段標記上方的應用程式類別下建立/移轉原則時,可能會有介於 0 到 9 (含) 之間的 sequence_number。sequence_number 不是安全性原則特有的 (請參閱修補安全性原則)。例如,MP 中的所有高優先順序規則都可以對應至序號 9。或者,您也可以在不同類別下移轉或建立區段。按優先順序遞減順序的選項為「緊急」、「基礎結構」、「環境」和「應用程式」。
關於 DFW 區段
在移轉之前,在原則模式下建立 DFW 規則時,不得使用顯示名稱 top_firewall_section_marker。
在管理程式模式中,NCP 將在 top_firewall_section_marker 和 bottom_firewall_section_marker 內建立 DFW 區段。叢集/基礎可以使用不同的 top_firewall_section_marker 和/或 bottom_firewall_section_marker。您可能具有下列區段:
top-firewall-section-k8scl-two k8scl-two cluster DFW section top-firewall-section-k8scl-one k8scl-one cluster DFW section bottom-marker-section-k8scl-one bottom-marker-section-k8scl-two
在原則模式中,NCP 不支援頂部和底部防火牆區段標記,因為強制執行順序 (即區段優先順序) 是由其序號所控管。這表示使用者不應建立介於範圍 10 和 99 (包含兩者) 之間的 DFW 區段。如果 DFW 區段的序號小於 10,則此區段的優先順序高於 NCP 所建立的所有叢集/基礎區段。例如:
top-firewall-section-k8scl-two [sequence 8] top-firewall-section-k8scl-one [sequence 9] k8scl-two cluster DFW section allow [sequence 10] k8scl-one cluster DFW section allow [sequence 10] bottom-marker-section-k8scl-one [sequence 100] bottom-marker-section-k8scl-two [sequence 101]