Puede crear grupos de Antrea en el entorno de NSX y utilizarlos en las directivas de firewall distribuido (directivas de seguridad) para proteger el tráfico entre los pods dentro de un clúster de Antrea Kubernetes.

Nota: En un entorno de NSX de varios tenants, actualmente no se admiten grupos de Antrea en proyectos. Por lo tanto, no se pueden crear directivas de seguridad en proyectos para proteger el tráfico entre pods dentro de un clúster de Antrea Kubernetes. Debe crear las directivas de seguridad en la vista Predeterminado (espacio predeterminado) del entorno de NSX.

Se puede aplicar una directiva de seguridad de NSX a varios clústeres de Antrea Kubernetes. Sin embargo, la directiva de firewall distribuido (DFW) puede proteger el tráfico entre los pods dentro de un solo clúster de Antrea Kubernetes. El tráfico de pod a pod entre clústeres de Antrea Kubernetes no está protegido actualmente.

Cuando se aplica una directiva de seguridad de NSX a uno o más clústeres de Antrea Kubernetes, el complemento de red de Antrea aplica esta directiva de seguridad en el Controlador de Antrea de cada clúster de Kubernetes. En otras palabras, el punto de implementación de la directiva de seguridad es el Controlador de Antrea de cada clúster de Antrea Kubernetes.

Si su objetivo es proteger el tráfico entre los pods de un clúster de Antrea Kubernetes y las máquinas virtuales en los hosts del entorno NSX, consulte Directivas de firewall para proteger el tráfico entre los clústeres de Antrea Kubernetes y las máquinas virtuales en una red de NSX.

Funciones de directiva de seguridad compatibles con clústeres de Antrea Kubernetes

  • Solo se pueden aplicar directivas de seguridad de capa 3 y 4 a clústeres de Antrea Kubernetes. Se admiten las reglas de las siguientes categorías de firewall: Emergencia, Infraestructura, Entorno y Aplicación.
  • Las categorías Orígenes, Destinos y Se aplica a de una regla solo pueden contener grupos de Antrea.
  • Se admite la categoría Aplicado a tanto a nivel de directiva como a nivel de regla. Si se especifican ambos, la categoría Se aplica a tendrá preferencia a nivel de directiva.
  • Se admiten los servicios, incluida la combinación de protocolo y puerto sin formato. Sin embargo, se aplican las siguientes restricciones:
    • Solo se admiten los protocolos TCP y UDP. No se admiten los demás servicios.
    • En las combinaciones de puertos y protocolos sin formato, se admiten los tipos de servicio TCP y UDP.
    • Solo se admiten puertos de destino.
  • Se admiten estadísticas de directivas y estadísticas de reglas. Las estadísticas de reglas no se agregan para todos los clústeres de Antrea Kubernetes a los que se aplica la directiva de seguridad. En otras palabras, se muestran estadísticas de reglas para cada clúster de Antrea Kubernetes.

Funciones de directiva de seguridad no admitidas para clústeres de Antrea Kubernetes

  • No se admiten reglas de capa 2 (Ethernet) basadas en direcciones MAC.
  • No se admiten reglas de capa 7 basadas en perfiles de contexto. Por ejemplo, reglas basadas en el identificador de aplicación, FQDN, etc.
  • Los grupos de Antrea con direcciones IP no se admiten en la categoría Se aplica a de la directiva de seguridad y las reglas de firewall.
  • No se admite la programación basada en tiempo de las reglas.
  • Los grupos de Antrea no se admiten en una lista de exclusión de firewall. (Seguridad > Firewall distribuido > Acciones > Lista de exclusión).
  • No se admite la negación ni la exclusión de los grupos de Antrea que seleccionó en los orígenes o los destinos de una regla de firewall.
  • No se admite el firewall de identidad.
  • Los grupos globales creados para un entorno federado de NSX no se pueden utilizar en las directivas de seguridad que se aplican a los clústeres de Antrea Kubernetes.
  • La configuración avanzada de directivas no admite los siguientes ajustes:
    • TCP estricto
    • Con estado