您可以在 NSX-T Data Center 中创建分布式防火墙策略(安全策略),并将其应用于已注册的 Antrea 容器集群,以保护容器集群内的 Pod 之间的流量。

一个 NSX-T 安全策略可应用于多个 Antrea 容器集群。但是,该策略只能保护单个 Antrea 容器集群内的 Pod 之间的流量。以下流量不受保护:
  • Antrea 容器集群之间的“Pod 到 Pod”流量。
  • Antrea 容器集群内的 Pod 与 NSX-T 环境中主机上的虚拟机之间的流量。

NSX-T 安全策略应用于一个或多个 Antrea 容器集群后,Antrea 网络插件会在每个容器集群的 Antrea 控制器 上实施此安全策略。换句话说,安全策略的实施点是每个 Antrea 容器集群的 Antrea 控制器

Antrea 容器集群支持的安全策略功能

  • 只能将第 3 层和第 4 层安全策略应用于 Antrea 容器集群。支持以下防火墙类别中的规则:“紧急”、“基础架构”、“环境”和“应用程序”。
  • 规则的“源”、“目标”和“应用对象”只能包含 Antrea 组。
  • 支持策略级别和规则级别的“应用对象”。如果同时指定了这两者,则策略级别的“应用对象”优先。
  • 支持服务,包括原始端口和协议组合。但是,以下限制适用:
    • 仅支持 TCP 和 UDP 服务。不支持所有其他服务。
    • 在原始端口和协议组合中,支持 TCP 和 UDP 服务类型。
    • 仅支持目标端口。
  • 支持策略统计信息和规则统计信息。不会汇总已应用安全策略的所有 Antrea 容器集群的规则统计信息。换句话说,将只显示每个 Antrea 容器集群的规则统计信息。

Antrea 容器集群不支持的安全策略功能

  • 不支持基于 MAC 地址的第 2 层(以太网)规则。
  • 不支持基于上下文配置文件的第 7 层规则。例如,基于应用程序 ID、FQDN 等的规则。
  • 安全策略和防火墙规则的“应用对象”中不支持具有 IP 地址的 Antrea 组。
  • 不支持基于时间的规则调度。
  • 防火墙排除列表中不支持 Antrea 组。(安全 > 分布式防火墙 > 操作 > 排除列表)。
  • 不支持排除已在防火墙规则的源或目标中选择的 Antrea 组。
  • 不支持身份防火墙。
  • 不能在已应用于 Antrea 容器集群的安全策略中使用为 NSX-T 联合环境创建的全局组。
  • 高级策略配置不支持以下设置:
    • TCP 严格模式
    • 有状态