Sie können Richtlinien für verteilte Firewalls (Sicherheitsrichtlinien) in NSX-T Data Center erstellen und sie auf registrierte Antrea-Container-Cluster anwenden, um den Datenverkehr zwischen Pods innerhalb eines Container-Clusters zu sichern.
Eine
NSX-T-Sicherheitsrichtlinie kann auf mehrere
Antrea-Container-Cluster angewendet werden. Die Richtlinie kann jedoch den Datenverkehr zwischen Pods innerhalb eines einzelnen
Antrea-Container-Clusters sichern. Der folgende Datenverkehr ist nicht geschützt:
- Pod-zu-Pod-Datenverkehr zwischen Antrea-Container-Clustern.
- Datenverkehr zwischen Pods in einem Antrea-Container-Cluster und VMs auf Hosts in der NSX-T-Umgebung.
Wenn eine NSX-T-Sicherheitsrichtlinie auf einen oder mehrere Antrea-Container-Cluster angewendet wird, erzwingt das Antrea-Netzwerk-Plug-In diese Sicherheitsrichtlinie am Antrea-Controller jedes Container-Clusters. Mit anderen Worten: Der Enforcement Point der Sicherheitsrichtlinie ist der Antrea-Controller jedes Antrea-Container-Clusters.
Für Antrea-Container-Cluster unterstützte Sicherheitsrichtlinienfunktionen
- Nur Sicherheitsrichtlinien der Schicht 3 und 4 können auf Antrea-Container-Cluster angewendet werden. Regeln in den folgenden Firewallkategorien werden unterstützt: Notfall, Infrastruktur, Umgebung und Anwendung.
- Quellen, Ziele und „Angewendet auf“ einer Regel können nur Antrea-Gruppen enthalten.
- „Angewendet auf“ wird sowohl auf Richtlinienebene als auch auf Regelebene unterstützt. Wenn „Angewendet auf“ auf beiden Ebenen festgelegt, hat die Angabe auf Richtlinienebene Vorrang.
- Dienste, einschließlich Raw-Port- und Protokollkombinationen, werden unterstützt. Es gelten jedoch die folgenden Einschränkungen:
- Nur TCP- und UDP-Dienste werden unterstützt. Alle anderen Dienste werden nicht unterstützt.
- Bei Raw-Port- und Protokollkombinationen werden TCP- und UDP-Diensttypen unterstützt.
- Es werden nur Zielports unterstützt.
- Richtlinienstatistiken und Regelstatistiken werden unterstützt. Regelstatistiken werden nicht für alle Antrea-Container-Cluster aggregiert, auf die die Sicherheitsrichtlinie angewendet wird. Mit anderen Worten: Regelstatistiken werden für jeden Antrea-Container-Cluster angezeigt.
Für Antrea-Container-Cluster nicht unterstützte Sicherheitsrichtlinienfunktionen
- Auf MAC-Adressen basierende Regeln der Schicht 2 (Ethernet) werden nicht unterstützt.
- Regeln der Schicht 7, die auf Kontextprofilen basieren, werden nicht unterstützt. Beispielsweise Regeln basierend auf der Anwendungs-ID, FQDN usw.
- Antrea-Gruppen mit IP-Adressen werden in der Sicherheitsrichtlinie und den Firewallregeln unter „Angewendet auf“ nicht unterstützt.
- Die zeitbasierte Planung von Regeln wird nicht unterstützt.
- Antrea-Gruppen werden in einer Firewall-Ausschlussliste nicht unterstützt. ( ).
- Das Negieren oder Ausschließen der Antrea-Gruppen, die Sie in den Quellen oder Zielen einer Firewallregel ausgewählt haben, wird nicht unterstützt.
- Identitätsbasierte Firewalls werden nicht unterstützt.
- Globale Gruppen, die für eine NSX-T-Verbundumgebung erstellt wurden, können nicht in Sicherheitsrichtlinien verwendet werden, die auf Antrea-Container-Cluster angewendet werden.
- Die folgenden Einstellungen werden von der erweiterten Richtlinienkonfiguration nicht unterstützt:
- Strenges TCP
- Statusbehaftet