Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

cSRX Container-Firewall-Pod mit externem Netzwerk

Grundlegendes zum cSRX-Container-Firewall-Pod mit externem Netzwerk

Sie können die cSRX Container Firewall mit zwei zusätzlichen Schnittstellen mit einem externen Netzwerk verbinden. Beide Schnittstellen sind an srxpfe angehängt und werden von FLOW verarbeitet.

Die cSRX Container Firewall kann die native Linux-CNI nutzen, um eine Verbindung zu einem externen Netzwerk herzustellen.

Die cSRX Container Firewall verwendet das Multus-Plug-in, um mehrere Schnittstellen zu unterstützen, die mit dem externen Netzwerk verbunden sind. Anwendungen, die den Netzwerkverkehr überwachen, sind direkt mit dem physischen Netzwerk verbunden. Sie können den macvlan Netzwerktreiber verwenden, um der virtuellen Netzwerkschnittstelle jedes Containers eine MAC-Adresse zuzuweisen, sodass es den Anschein erweckt, dass es sich um eine physische Netzwerkschnittstelle handelt, die direkt mit dem physischen Netzwerk verbunden ist. In diesem Fall müssen Sie eine physische Schnittstelle auf Ihrem Docker-Host festlegen, die für die macvlanverwendet werden soll, sowie das Subnetz und das Gateway von macvlan. Sie können Ihre Macvlan-Netzwerke sogar mit verschiedenen physischen Netzwerkschnittstellen isolieren.

Verbinden der cSRX Container Firewall mit externem Netzwerk

macvlan funktioniert wie ein Switch, der bereits mit der Hostschnittstelle verbunden ist. Eine Hostschnittstelle wird versklavt, wobei die virtuellen Schnittstellen das physische Gerät gemeinsam nutzen, aber unterschiedliche MAC-Adressen haben. Da jede Macvlan-Schnittstelle über eine eigene MAC-Adresse verfügt, ist die Verwendung mit bereits vorhandenen DHCP-Servern im Netzwerk einfach.

So verbinden Sie die cSRX Container Firewall mit einem externen Netzwerk mit macvlan:

Abbildung 1: Verbinden der cSRX Container Firewall mit externem Netzwerk über das Macvlan-Plugin Connecting cSRX Container Firewall to External Network with Macvlan Plugin
Abbildung 2: cSRX-Container-Firewall in externem Netzwerk cSRX Container Firewall in External Network
  1. Erstellen Sie die Datei network-conf-1.yaml, und fügen Sie den Textinhalt hinzu.
  2. Erstellen Sie die Datei network-conf-1-1.yaml, und fügen Sie den Textinhalt hinzu.
  3. Erstellen Sie die Datei network-conf-2-1.yaml und fügen Sie den Textinhalt hinzu.
  4. Erstellen Sie die Datei network-conf-2.yaml, und fügen Sie den Textinhalt hinzu.
  5. Erstellen Sie die Datei cSRX Container Firewall.yaml, und fügen Sie den Textinhalt hinzu.

Konfigurieren des Nodeport-Dienstes für cSRX-Container-Firewall-Pods

Sie können die cSRX-Container-Firewall mit dem Servicetyp "Nodeport" bereitstellen. Der gesamte Datenverkehr wird von Kubernetes im externen Netzwerk an den Worker-Knoten weitergeleitet.

So erstellen Sie einen NodePort-Dienst:

  1. Erstellen Sie die yaml-Datei des cSRX Container Firewall Pod, und stellen Sie sie als Dienst auf NodePort bereit.
  2. So greifen Sie auf die cSRX Container Firewall zu:

    root@kubernetes-master:~#ssh -p 30122 root@192.168.42.81