您可以在 NSX 环境中创建 Antrea 组,并在分布式防火墙策略(安全策略)中使用这些组来保护 Antrea Kubernetes 集群内的 Pod 之间的流量。

注: 在多租户 NSX 环境中, Antrea 组当前在项目下不受支持。因此,您无法在项目下创建安全策略来保护 Antrea Kubernetes 集群内的 Pod 之间的流量。您必须在 NSX 环境的 默认视图(默认空间)中创建安全策略。

一个 NSX 安全策略可应用于多个 Antrea Kubernetes 集群。但是,分布式防火墙 (DFW) 策略只能保护单个 Antrea Kubernetes 集群内的 Pod 之间的流量。Antrea Kubernetes 集群之间的 Pod 到 Pod 流量当前不受保护。

NSX 安全策略应用于一个或多个 Antrea Kubernetes 集群后,Antrea 网络插件会在每个 Kubernetes 集群的 Antrea 控制器上实施此安全策略。换句话说,安全策略的实施点是每个 Antrea Kubernetes 集群的 Antrea 控制器

如果您的目标是保护 Antrea Kubernetes 集群中的 Pod 与 NSX 环境中主机上的虚拟机之间的流量,请参见用于保护 Antrea Kubernetes 集群与 NSX 网络中的虚拟机之间流量的防火墙策略

Antrea Kubernetes 集群支持的安全策略功能

  • 只能将 L3 和 L4 安全策略应用于 Antrea Kubernetes 集群。支持以下防火墙类别中的规则:“紧急”、“基础架构”、“环境”和“应用程序”。
  • 规则的“源”、“目标”和“应用对象”只能包含 Antrea 组。
  • 支持策略级别和规则级别的“应用对象”。如果同时指定了这两者,则策略级别的“应用对象”优先。
  • 支持服务,包括原始端口和协议组合。但是,以下限制适用:
    • 仅支持 TCP 和 UDP 服务。不支持所有其他服务。
    • 在原始端口和协议组合中,支持 TCP 和 UDP 服务类型。
    • 仅支持目标端口。
  • 支持策略统计信息和规则统计信息。不会汇总已应用安全策略的所有 Antrea Kubernetes 集群的规则统计信息。换句话说,将只显示每个 Antrea Kubernetes 集群的规则统计信息。

Antrea Kubernetes 集群不支持的安全策略功能

  • 不支持基于 MAC 地址的第 2 层(以太网)规则。
  • 不支持基于上下文配置文件的第 7 层规则。例如,基于应用程序 ID、FQDN 等的规则。
  • 安全策略和防火墙规则的“应用对象”中不支持具有 IP 地址的 Antrea 组。
  • 不支持基于时间的规则调度。
  • 防火墙排除列表中不支持 Antrea 组。(安全 > 分布式防火墙 > 操作 > 排除列表)。
  • 不支持排除已在防火墙规则的源或目标中选择的 Antrea 组。
  • 不支持身份防火墙。
  • 不能在已应用于 Antrea Kubernetes 集群的安全策略中使用为 NSX 联合环境创建的全局组。
  • 高级策略配置不支持以下设置:
    • TCP 严格模式
    • 有状态