Vous pouvez créer des groupes Antrea dans votre environnement NSX et utiliser ces groupes dans les stratégies de pare-feu distribué (stratégies de sécurité) pour sécuriser le trafic entre les espaces au sein d'un cluster Antrea Kubernetes.
Une stratégie de sécurité NSX doit être appliquée à plusieurs clusters Antrea Kubernetes. Toutefois, la stratégie de pare-feu distribué (DFW) peut sécuriser le trafic entre les espaces au sein d'un cluster Antrea Kubernetes. Le trafic espace à espace entre des clusters Antrea Kubernetes n'est actuellement pas protégé.
Lorsqu'une stratégie de sécurité NSX doit être appliquée à un ou plusieurs clusters Antrea Kubernetes, le plug-in réseau Antrea applique cette stratégie de sécurité à l'instance Contrôleur Antrea de chaque cluster Kubernetes. En d'autres termes, le point d'application de la stratégie de sécurité est l'instance Contrôleur Antrea de chaque cluster Antrea Kubernetes.
Si votre objectif est de protéger le trafic entre les espaces d'un cluster Kubernetes Antrea et les machines virtuelles sur les hôtes dans l'environnement NSX, reportez-vous à la section Stratégies de pare-feu pour sécuriser le trafic entre les clusters Kubernetes Antrea et les machines virtuelles dans un réseau NSX.
Fonctionnalités de stratégie de sécurité prises en charge pour les clusters Antrea Kubernetes
- Seules les stratégies de sécurité de couche 3 et 4 peuvent être appliquées aux clusters Kubernetes Antrea. Les règles des catégories de pare-feu suivantes sont prises en charge : Urgence, Infrastructure, Environnement et Application.
- Les champs Sources, Destinations et Appliqué à d'une règle ne peuvent contenir que des groupes Antrea.
- Appliqué à est pris en charge au niveau de la stratégie et au niveau de la règle. Si les deux sont spécifiés, Appliqué à au niveau de la stratégie est prioritaire.
- Les services, y compris la combinaison de ports et de protocoles bruts, sont pris en charge. Cependant, les contraintes suivantes s'appliquent :
- Seuls les services TCP et UDP sont pris en charge. Tous les autres services ne sont pas pris en charge.
- Dans les combinaisons de ports et de protocoles bruts, les types de services TCP et UDP sont pris en charge.
- Seuls les ports de destination sont pris en charge.
- Les statistiques de stratégie et les statistiques de règle sont prises en charge. Les statistiques de règle ne sont pas agrégées pour tous les clusters Kubernetes Antrea auxquels la stratégie de sécurité est appliquée. En d'autres termes, des statistiques de règle s'affichent pour chaque cluster Kubernetes Antrea.
Fonctionnalités de stratégie de sécurité non prises en charge pour les clusters Kubernetes Antrea
- Les règles de couche 2 (Ethernet) basées sur des adresses MAC ne sont pas prises en charge.
- Les règles de couche 7 basées sur des profils de contexte ne sont pas prises en charge. Par exemple, les règles basées sur l'ID d'application, le nom de domaine complet, et ainsi de suite.
- Les groupes Antrea avec des adresses IP ne sont pas pris en charge dans Appliqué à de la stratégie de sécurité et des règles de pare-feu.
- La planification basée sur l'heure des règles n'est pas prise en charge.
- Les groupes Antrea ne sont pas pris en charge dans une liste d'exclusion de pare-feu. ( ).
- Il n'est pas possible d'annuler ou d'exclure les groupes Antrea que vous avez sélectionnés dans les sources ou les destinations d'une règle de pare-feu.
- Le pare-feu d’identité n’est pas pris en charge.
- Vous ne pouvez pas utiliser les groupes globaux créés pour un environnement NSX fédéré dans des stratégies de sécurité appliquées à des clusters Kubernetes Antrea.
- La configuration de stratégie avancée ne prend pas en charge les paramètres suivants :
- TCP strict
- Avec état