您可以在 NSX-T Data Center 中创建分布式防火墙策略(安全策略),并将其应用于已注册的 Antrea 容器集群,以保护容器集群内的 Pod 之间的流量。
一个
NSX-T 安全策略可应用于多个
Antrea 容器集群。但是,该策略只能保护单个
Antrea 容器集群内的 Pod 之间的流量。以下流量不受保护:
- Antrea 容器集群之间的“Pod 到 Pod”流量。
- Antrea 容器集群内的 Pod 与 NSX-T 环境中主机上的虚拟机之间的流量。
将 NSX-T 安全策略应用于一个或多个 Antrea 容器集群后,Antrea 网络插件会在每个容器集群的 Antrea 控制器 上实施此安全策略。换句话说,安全策略的实施点是每个 Antrea 容器集群的 Antrea 控制器。
Antrea 容器集群支持的安全策略功能
- 只能将第 3 层和第 4 层安全策略应用于 Antrea 容器集群。支持以下防火墙类别中的规则:“紧急”、“基础架构”、“环境”和“应用程序”。
- 规则的“源”、“目标”和“应用对象”只能包含 Antrea 组。
- 支持策略级别和规则级别的“应用对象”。如果同时指定了这两者,则策略级别的“应用对象”优先。
- 支持服务,包括原始端口和协议组合。但是,以下限制适用:
- 仅支持 TCP 和 UDP 服务。不支持所有其他服务。
- 在原始端口和协议组合中,支持 TCP 和 UDP 服务类型。
- 仅支持目标端口。
- 支持策略统计信息和规则统计信息。不会汇总已应用安全策略的所有 Antrea 容器集群的规则统计信息。换句话说,将只显示每个 Antrea 容器集群的规则统计信息。
Antrea 容器集群不支持的安全策略功能
- 不支持基于 MAC 地址的第 2 层(以太网)规则。
- 不支持基于上下文配置文件的第 7 层规则。例如,基于应用程序 ID、FQDN 等的规则。
- 安全策略和防火墙规则的“应用对象”中不支持具有 IP 地址的 Antrea 组。
- 不支持基于时间的规则调度。
- 防火墙排除列表中不支持 Antrea 组。( )。
- 不支持排除已在防火墙规则的源或目标中选择的 Antrea 组。
- 不支持身份防火墙。
- 不能在已应用于 Antrea 容器集群的安全策略中使用为 NSX-T 联合环境创建的全局组。
- 高级策略配置不支持以下设置:
- TCP 严格模式
- 有状态