Sie können Antrea-Gruppen in Ihrer NSX-Umgebung erstellen und diese Gruppen in den Richtlinien für verteilte Firewalls (Sicherheitsrichtlinien) verwenden, um den Datenverkehr zwischen Pods innerhalb eines Antrea-Kubernetes-Clusters zu schützen.
Eine NSX-Sicherheitsrichtlinie kann auf mehrere Antrea-Kubernetes-Cluster angewendet werden. Die Richtlinie für die verteilte Firewall kann jedoch den Datenverkehr zwischen Pods innerhalb eines einzelnen Antrea-Kubernetes-Clusters schützen. Pod-zu-Pod-Datenverkehr zwischen Antrea-Kubernetes-Clustern wird derzeit nicht geschützt.
Wenn eine NSX-Sicherheitsrichtlinie auf einen oder mehrere Antrea-Kubernetes-Cluster angewendet wird, erzwingt das Antrea-Netzwerk-Plug-In diese Sicherheitsrichtlinie am Antrea-Controller jedes Kubernetes-Clusters. Mit anderen Worten: Der Enforcement Point der Sicherheitsrichtlinie ist der Antrea-Controller jedes Antrea-Kubernetes-Clusters.
Sofern Sie den Datenverkehr zwischen Pods in einem Antrea-Kubernetes-Cluster und VMs auf Hosts in der NSX-Umgebung schützen möchten, finden Sie weitere Informationen unter Firewallrichtlinien für den Schutz des Datenverkehrs zwischen Antrea-Kubernetes-Clustern und VMs in einem NSX-Netzwerk.
Für Antrea-Kubernetes-Cluster unterstützte Sicherheitsrichtlinienfunktionen
- Nur Sicherheitsrichtlinien der Schicht 3 und 4 können auf Antrea-Kubernetes-Cluster angewendet werden. Regeln in den folgenden Firewallkategorien werden unterstützt: Notfall, Infrastruktur, Umgebung und Anwendung.
- Quellen, Ziele und „Angewendet auf“ einer Regel können nur Antrea-Gruppen enthalten.
- „Angewendet auf“ wird sowohl auf Richtlinienebene als auch auf Regelebene unterstützt. Wenn „Angewendet auf“ auf beiden Ebenen festgelegt, hat die Angabe auf Richtlinienebene Vorrang.
- Dienste, einschließlich Raw-Port- und Protokollkombinationen, werden unterstützt. Es gelten jedoch die folgenden Einschränkungen:
- Nur TCP- und UDP-Dienste werden unterstützt. Alle anderen Dienste werden nicht unterstützt.
- Bei Raw-Port- und Protokollkombinationen werden TCP- und UDP-Diensttypen unterstützt.
- Es werden nur Zielports unterstützt.
- Richtlinienstatistiken und Regelstatistiken werden unterstützt. Regelstatistiken werden nicht für alle Antrea-Kubernetes-Cluster aggregiert, auf die die Sicherheitsrichtlinie angewendet wird. Mit anderen Worten: Regelstatistiken werden für jeden Antrea-Kubernetes-Cluster angezeigt.
Für Antrea-Kubernetes-Cluster nicht unterstützte Sicherheitsrichtlinienfunktionen
- Auf MAC-Adressen basierende Regeln der Schicht 2 (Ethernet) werden nicht unterstützt.
- Regeln der Schicht 7, die auf Kontextprofilen basieren, werden nicht unterstützt. Beispielsweise Regeln basierend auf der Anwendungs-ID, FQDN usw.
- Antrea-Gruppen mit IP-Adressen werden in der Sicherheitsrichtlinie und den Firewallregeln unter „Angewendet auf“ nicht unterstützt.
- Die zeitbasierte Planung von Regeln wird nicht unterstützt.
- Antrea-Gruppen werden in einer Firewall-Ausschlussliste nicht unterstützt. ( ).
- Das Negieren oder Ausschließen der Antrea-Gruppen, die Sie in den Quellen oder Zielen einer Firewallregel ausgewählt haben, wird nicht unterstützt.
- Identitätsbasierte Firewalls werden nicht unterstützt.
- Globale Gruppen, die für eine NSX-Verbundumgebung erstellt wurden, können nicht in Sicherheitsrichtlinien verwendet werden, die auf Antrea-Kubernetes-Cluster angewendet werden.
- Die folgenden Einstellungen werden von der erweiterten Richtlinienkonfiguration nicht unterstützt:
- Strenges TCP
- Statusbehaftet