Sie können Antrea-Gruppen in Ihrer NSX-Umgebung erstellen und diese Gruppen in den Richtlinien für verteilte Firewalls (Sicherheitsrichtlinien) verwenden, um den Datenverkehr zwischen Pods innerhalb eines Antrea-Kubernetes-Clusters zu schützen.

Hinweis: In einer NSX-Umgebung mit mehreren Mandanten werden Antrea-Gruppen unter Projekten derzeit nicht unterstützt. Aus diesem Grund können Sie unter Projekten keine Sicherheitsrichtlinien erstellen, um den Datenverkehr zwischen Pods innerhalb eines Antrea-Kubernetes-Clusters zu schützen. Sie müssen die Sicherheitsrichtlinien in der Ansicht Standard (Standardspeicher) der NSX-Umgebung erstellen.

Eine NSX-Sicherheitsrichtlinie kann auf mehrere Antrea-Kubernetes-Cluster angewendet werden. Die Richtlinie für die verteilte Firewall kann jedoch den Datenverkehr zwischen Pods innerhalb eines einzelnen Antrea-Kubernetes-Clusters schützen. Pod-zu-Pod-Datenverkehr zwischen Antrea-Kubernetes-Clustern wird derzeit nicht geschützt.

Wenn eine NSX-Sicherheitsrichtlinie auf einen oder mehrere Antrea-Kubernetes-Cluster angewendet wird, erzwingt das Antrea-Netzwerk-Plug-In diese Sicherheitsrichtlinie am Antrea-Controller jedes Kubernetes-Clusters. Mit anderen Worten: Der Enforcement Point der Sicherheitsrichtlinie ist der Antrea-Controller jedes Antrea-Kubernetes-Clusters.

Sofern Sie den Datenverkehr zwischen Pods in einem Antrea-Kubernetes-Cluster und VMs auf Hosts in der NSX-Umgebung schützen möchten, finden Sie weitere Informationen unter Firewallrichtlinien für den Schutz des Datenverkehrs zwischen Antrea-Kubernetes-Clustern und VMs in einem NSX-Netzwerk.

Für Antrea-Kubernetes-Cluster unterstützte Sicherheitsrichtlinienfunktionen

  • Nur Sicherheitsrichtlinien der Schicht 3 und 4 können auf Antrea-Kubernetes-Cluster angewendet werden. Regeln in den folgenden Firewallkategorien werden unterstützt: Notfall, Infrastruktur, Umgebung und Anwendung.
  • Quellen, Ziele und „Angewendet auf“ einer Regel können nur Antrea-Gruppen enthalten.
  • „Angewendet auf“ wird sowohl auf Richtlinienebene als auch auf Regelebene unterstützt. Wenn „Angewendet auf“ auf beiden Ebenen festgelegt, hat die Angabe auf Richtlinienebene Vorrang.
  • Dienste, einschließlich Raw-Port- und Protokollkombinationen, werden unterstützt. Es gelten jedoch die folgenden Einschränkungen:
    • Nur TCP- und UDP-Dienste werden unterstützt. Alle anderen Dienste werden nicht unterstützt.
    • Bei Raw-Port- und Protokollkombinationen werden TCP- und UDP-Diensttypen unterstützt.
    • Es werden nur Zielports unterstützt.
  • Richtlinienstatistiken und Regelstatistiken werden unterstützt. Regelstatistiken werden nicht für alle Antrea-Kubernetes-Cluster aggregiert, auf die die Sicherheitsrichtlinie angewendet wird. Mit anderen Worten: Regelstatistiken werden für jeden Antrea-Kubernetes-Cluster angezeigt.

Für Antrea-Kubernetes-Cluster nicht unterstützte Sicherheitsrichtlinienfunktionen

  • Auf MAC-Adressen basierende Regeln der Schicht 2 (Ethernet) werden nicht unterstützt.
  • Regeln der Schicht 7, die auf Kontextprofilen basieren, werden nicht unterstützt. Beispielsweise Regeln basierend auf der Anwendungs-ID, FQDN usw.
  • Antrea-Gruppen mit IP-Adressen werden in der Sicherheitsrichtlinie und den Firewallregeln unter „Angewendet auf“ nicht unterstützt.
  • Die zeitbasierte Planung von Regeln wird nicht unterstützt.
  • Antrea-Gruppen werden in einer Firewall-Ausschlussliste nicht unterstützt. (Sicherheit > Verteilte Firewall > Aktionen > Ausschlussliste).
  • Das Negieren oder Ausschließen der Antrea-Gruppen, die Sie in den Quellen oder Zielen einer Firewallregel ausgewählt haben, wird nicht unterstützt.
  • Identitätsbasierte Firewalls werden nicht unterstützt.
  • Globale Gruppen, die für eine NSX-Verbundumgebung erstellt wurden, können nicht in Sicherheitsrichtlinien verwendet werden, die auf Antrea-Kubernetes-Cluster angewendet werden.
  • Die folgenden Einstellungen werden von der erweiterten Richtlinienkonfiguration nicht unterstützt:
    • Strenges TCP
    • Statusbehaftet