Vous pouvez créer des stratégies de pare-feu distribué (stratégies de sécurité) dans NSX et les appliquer à des clusters de conteneurs Antrea enregistrés pour sécuriser le trafic entre les espaces au sein d'un cluster de conteneurs.

Une stratégie de sécurité NSX doit être appliquée à plusieurs clusters de conteneurs Antrea. Toutefois, la stratégie peut sécuriser le trafic entre les espaces au sein d'un cluster de conteneurs Antrea. Le trafic suivant n'est pas protégé :
  • Trafic d'espace à espace entre clusters de conteneurs Antrea.
  • Trafic entre les espaces d'un cluster de conteneurs Antrea et les machines virtuelles sur les hôtes dans l'environnement NSX.

Lorsqu'une stratégie de sécurité NSX doit être appliquée à un ou plusieurs clusters de conteneurs Antrea, le plug-in réseau Antrea applique cette stratégie de sécurité à l'instance Contrôleur Antrea de chaque cluster de conteneurs. En d'autres termes, le point d'application de la stratégie de sécurité est l'instance de Contrôleur Antrea de chaque cluster de conteneurs Antrea.

Fonctionnalités de stratégie de sécurité prises en charge pour les clusters de conteneurs Antrea

  • Seules les stratégies de sécurité de couche 3 et 4 peuvent être appliquées aux clusters de conteneurs Antrea. Les règles des catégories de pare-feu suivantes sont prises en charge : Urgence, Infrastructure, Environnement et Application.
  • Les champs Sources, Destinations et Appliqué à d'une règle ne peuvent contenir que des groupes Antrea.
  • Appliqué à est pris en charge au niveau de la stratégie et au niveau de la règle. Si les deux sont spécifiés, Appliqué à au niveau de la stratégie est prioritaire.
  • Les services, y compris la combinaison de ports et de protocoles bruts, sont pris en charge. Cependant, les contraintes suivantes s'appliquent :
    • Seuls les services TCP et UDP sont pris en charge. Tous les autres services ne sont pas pris en charge.
    • Dans les combinaisons de ports et de protocoles bruts, les types de services TCP et UDP sont pris en charge.
    • Seuls les ports de destination sont pris en charge.
  • Les statistiques de stratégie et les statistiques de règle sont prises en charge. Les statistiques de règle ne sont pas agrégées pour tous les clusters de conteneurs Antrea auxquels la stratégie de sécurité est appliquée. En d'autres termes, des statistiques de règle s'affichent pour chaque cluster de conteneurs Antrea.

Fonctionnalités de stratégie de sécurité non prises en charge pour les clusters de conteneurs Antrea

  • Les règles de couche 2 (Ethernet) basées sur des adresses MAC ne sont pas prises en charge.
  • Les règles de couche 7 basées sur des profils de contexte ne sont pas prises en charge. Par exemple, les règles basées sur l'ID d'application, le nom de domaine complet, et ainsi de suite.
  • Les groupes Antrea avec des adresses IP ne sont pas pris en charge dans Appliqué à de la stratégie de sécurité et des règles de pare-feu.
  • La planification basée sur l'heure des règles n'est pas prise en charge.
  • Les groupes Antrea ne sont pas pris en charge dans une liste d'exclusion de pare-feu. (Sécurité > Pare-feu distribué > Actions > Liste d'exclusion).
  • Il n'est pas possible d'annuler ou d'exclure les groupes Antrea que vous avez sélectionnés dans les sources ou les destinations d'une règle de pare-feu.
  • Le pare-feu d'identité n'est pas pris en charge.
  • Vous ne pouvez pas utiliser les groupes globaux créés pour un environnement NSX fédéré dans des stratégies de sécurité appliquées à des clusters de conteneurs Antrea.
  • La configuration de stratégie avancée ne prend pas en charge les paramètres suivants :
    • TCP strict
    • Avec état