Sie können Richtlinien für verteilte Firewalls (Sicherheitsrichtlinien) in NSX erstellen und sie auf registrierte Antrea-Container-Cluster anwenden, um den Datenverkehr zwischen Pods innerhalb eines Container-Clusters zu sichern.

Eine NSX-Sicherheitsrichtlinie kann auf mehrere Antrea-Container-Cluster angewendet werden. Die Richtlinie kann jedoch den Datenverkehr zwischen Pods innerhalb eines einzelnen Antrea-Container-Clusters sichern. Der folgende Datenverkehr ist nicht geschützt:
  • Pod-zu-Pod-Datenverkehr zwischen Antrea-Container-Clustern.
  • Datenverkehr zwischen Pods in einem Antrea-Container-Cluster und VMs auf Hosts in der NSX-Umgebung.

Wenn eine NSX-Sicherheitsrichtlinie auf einen oder mehrere Antrea-Container-Cluster angewendet wird, erzwingt das Antrea-Netzwerk-Plug-In diese Sicherheitsrichtlinie am Antrea-Controller jedes Container-Clusters. Mit anderen Worten: Der Enforcement Point der Sicherheitsrichtlinie ist der Antrea-Controller jedes Antrea-Container-Clusters.

Für Antrea-Container-Cluster unterstützte Sicherheitsrichtlinienfunktionen

  • Nur Sicherheitsrichtlinien der Schicht 3 und 4 können auf Antrea-Container-Cluster angewendet werden. Regeln in den folgenden Firewallkategorien werden unterstützt: Notfall, Infrastruktur, Umgebung und Anwendung.
  • Quellen, Ziele und „Angewendet auf“ einer Regel können nur Antrea-Gruppen enthalten.
  • „Angewendet auf“ wird sowohl auf Richtlinienebene als auch auf Regelebene unterstützt. Wenn „Angewendet auf“ auf beiden Ebenen festgelegt, hat die Angabe auf Richtlinienebene Vorrang.
  • Dienste, einschließlich Raw-Port- und Protokollkombinationen, werden unterstützt. Es gelten jedoch die folgenden Einschränkungen:
    • Nur TCP- und UDP-Dienste werden unterstützt. Alle anderen Dienste werden nicht unterstützt.
    • Bei Raw-Port- und Protokollkombinationen werden TCP- und UDP-Diensttypen unterstützt.
    • Es werden nur Zielports unterstützt.
  • Richtlinienstatistiken und Regelstatistiken werden unterstützt. Regelstatistiken werden nicht für alle Antrea-Container-Cluster aggregiert, auf die die Sicherheitsrichtlinie angewendet wird. Mit anderen Worten: Regelstatistiken werden für jeden Antrea-Container-Cluster angezeigt.

Für Antrea-Container-Cluster nicht unterstützte Sicherheitsrichtlinienfunktionen

  • Auf MAC-Adressen basierende Regeln der Schicht 2 (Ethernet) werden nicht unterstützt.
  • Regeln der Schicht 7, die auf Kontextprofilen basieren, werden nicht unterstützt. Beispielsweise Regeln basierend auf der Anwendungs-ID, FQDN usw.
  • Antrea-Gruppen mit IP-Adressen werden in der Sicherheitsrichtlinie und den Firewallregeln unter „Angewendet auf“ nicht unterstützt.
  • Die zeitbasierte Planung von Regeln wird nicht unterstützt.
  • Antrea-Gruppen werden in einer Firewall-Ausschlussliste nicht unterstützt. (Sicherheit > Verteilte Firewall > Aktionen > Ausschlussliste).
  • Das Negieren oder Ausschließen der Antrea-Gruppen, die Sie in den Quellen oder Zielen einer Firewallregel ausgewählt haben, wird nicht unterstützt.
  • Identitätsbasierte Firewalls werden nicht unterstützt.
  • Globale Gruppen, die für eine NSX-Verbundumgebung erstellt wurden, können nicht in Sicherheitsrichtlinien verwendet werden, die auf Antrea-Container-Cluster angewendet werden.
  • Die folgenden Einstellungen werden von der erweiterten Richtlinienkonfiguration nicht unterstützt:
    • Strenges TCP
    • Statusbehaftet