將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2018/6/5

取法虛機管理高效益 VMware NSX-T火力展示

大型K8S環境管理 容器間實作微分段

饒康立
接續前面的文章,對於在利用Kubernetes(K8S)的大型生產環境內,NSX-T如何提供網路接取及維運除錯的功能的展示,這裡將要與大家討論在Kubernetes環境內如何利用NSX-T做到Container間的微分段。
前篇文章透過圖1的示意圖,顯示在NSX-T整合K8S時Pod/Node/NSX-T/底層之Hypervisor間的關聯,以及各個Pod如何透過邏輯網路的方式在不用NAT的狀況下相互連通。


▲ 圖1 NSX-T整合K8S。


大家應該有發現,每個Pod除了將邏輯網路介面直接連往底層Hypervisor內的邏輯交換器外,Pod與邏輯交換器的接口前,也都受到分散式防火牆(Distributed Firewall)的防護。也就是說,在這個架構下,一樣能夠實作微分段,每一個Pod都是一個獨立可進行防護的單元。

以前的文章在進行NSX for vSphere內的微分段介紹時,曾與大家談論過,微分段機制的兩個重點:

1. 無論是同一網段或不同網段,能夠以最小虛機為單位,以集中管理的方式,做到虛機與虛機間的防護。

2. 能夠建立安全群組,以列出條件的方式,將安全群組與要管理的目標進行對應,做到部門、業務、專案間的虛機阻隔,進一步達到安全自動化。

上面的敘述,將虛機置換為K8S內的Pod,一樣可以成立。能夠做到微服務與微服務間,甚至微服務內、Pod與Pod間的最細緻安全防護。而且同樣地,可以利用群組的機制進行防火牆政策的設定。

但問題來了,以前在NSX for vSphere管理介面內建立安全群組時,可以用一個虛機的VM名稱、主機名稱、作業系統,或是在vCenter內是屬於哪個叢集、哪個Port Group、哪個Resource Pool來做分類,但Pod不是虛機啊?

其實,在生產環境內,最常用來做微分段分類條件的是安全標籤,在K8S的整合內,同樣有這個機制。當應用Team要部署微服務時,可以直接利用Label的方式進行Pod的註記。

這篇文章讓你覺得滿意不滿意
送出
相關文章
IT新手建置看這裡 vSphere 6.7從無到有
加密vSphere虛機 防堵私有雲資料遭竊
公私雲虛機容器複雜網路 NSX-T輕鬆除錯管理
通用邏輯網路連結虛機 跨資料中心實現最佳路徑
自訂軟體部署包 ESXi虛機自動化大量安裝
留言
顯示暱稱:
留言內容:
送出