接续前篇《虚拟云网络专辑 | Antrea 应用于 VMware 方案功能简介（五）》对于现行 Kubernetes Network Policies 的限制讨论，从本篇开始我想要用实际的画面与大家展示 Antrea 搭配 NSX Manager 如何来进行等同于企业等级防火墙的 Kubernetes Pods 间安全阻隔功能。相关的 Antrea 搭配 NSX 的架构与安装机制会于后续推文再讨论，但这里我想先针对 Antrea + NSX 的方案内是如何改善前面讨论到的 Network Policies 相关缺点进行讨论，包括了：

当我们建立了一个底层采用 Antrea 的 Kubernetes Cluster，并完成与 NSX Manager 整合安装步骤。此时管理者直接在 NSX 的 UI 界面内就可以看到控管的 Kubernetes Cluster 相关信息了。下图是展示环境的画面，在 Inventory–Containers 内，可以看到这个 NSX Manager 有管理三个 Kubernetes Cluster，分别是来自 Tanzu Kubernetes Grid，vSphere with Tanzu 以及原生 Kubernetes。图中针对 tkgm-122-tkc03 这个由 Tanzu Kubernetes Grid 建立的 K8S 丛集，点开看包含 Antrea 本身使用版本，及丛集相关的 Inventory 包含里面有几个 Nodes/Pods/Services/Namespaces 等，都能够明确列出来：

下面两张图列出当我们点击画面里的 Namespaces 还有 Pods 时列出的信息。在图内特别红框的是后续用来展示的 pod（dvwa-deployment-7767887f6f-gvmpv）以及所在的 Namespace（dvwa-ns）。大家可以看到包含 pod 内每个 Labels 也都有列出：

上图内大家可以看到的是当 Antrea 与 NSX 整合完成，NSX Manager 可以取得 Kubernetes Cluster 内的完整构件信息。这代表我们能够通过 NSX 的 UI 界面，依据实际的应用部署，基于 Namespace/Service/Pod Label 等来定义要配置防火墙规则的群组，就如同我们在虚机采用微分段动态安全群组的方法一样。在 Inventory/Group 内，管理者可以配置一个基于 Antrea 的群组，下面两个图内，我们建立了一个叫做 dvwa-ns 的 Antrea 群组，在此群组内，包含了展示 pod（dvwa-deployment-7767887f6f-gvmpv），而这个群组的定义条件是采用只要任何一个在 dvwa-ns 这个namespace 内的 Pod， 都要加入这个组：

在我们要在 NSX 内定义一个 Antrea 的群组时，下列两点需要注意：

在下图内大家可以看到，如果我们在群组内建立 Pod 选取的条件，总共有三个方式：