È possibile creare criteri del firewall distribuito (criteri di sicurezza) in NSX-T Data Center e applicarli ai cluster di container Antrea registrati per proteggere il traffico tra i pod in un cluster di container.
Un criterio di sicurezza di
NSX-T può essere applicato a più cluster di container
Antrea. Il criterio può tuttavia proteggere il traffico tra pod in un unico cluster di container
Antrea. Il seguente traffico non è protetto:
- Traffico da pod a pod tra cluster di container Antrea.
- Traffico tra pod in un cluster di container Antrea e le macchine virtuali negli host dell'ambiente di NSX-T.
Quando un criterio di sicurezza NSX-T viene applicato a uno o più cluster di container Antrea, il plug-in di rete Antrea applica questo criterio di sicurezza all'istanza di Controller Antrea di ogni cluster di container. In altre parole, il punto di applicazione del criterio di sicurezza è l'istanza di Controller Antrea di ogni cluster di container Antrea.
Funzionalità dei criteri di sicurezza supportate per i cluster di container Antrea
- Solo i criteri di sicurezza di livello 3 e 4 possono essere applicati ai cluster di container Antrea. Sono supportate le regole nelle seguenti categorie di firewall: Emergenza, Infrastruttura, Ambiente e Applicazione.
- Le opzioni Origini, Destinazioni e "Si applica a" di una regola possono contenere solo gruppi Antrea.
- L'opzione "Si applica a" è supportata sia a livello di criterio sia a livello di regola. Se viene specificata in entrambi, l'opzione "Si applica a" a livello di criterio ha la precedenza.
- Sono supportati i servizi, tra cui la combinazione di porta e protocollo RAW. Si applicano tuttavia i vincoli seguenti:
- Sono supportati solo i servizi TCP e UDP. Tutti gli altri servizi non sono supportati.
- Nelle combinazioni di porte e protocolli RAW sono supportati i tipi di servizi TCP e UDP.
- Sono supportate solo le porte di destinazione.
- Sono supportate le statistiche dei criteri e delle regole. Le statistiche delle regole non sono aggregate per tutti i cluster di container Antrea a cui è applicato il criterio di sicurezza. In altre parole, le statistiche delle regole vengono visualizzate per ogni cluster di container Antrea.
Funzionalità dei criteri di sicurezza non supportate per i cluster di container Antrea
- Le regole di livello 2 (Ethernet) basate su indirizzi MAC non sono supportate.
- Le regole di livello 7 basate sui profili di contesto non sono supportate. Ad esempio, le regole basate sull'ID applicazione, sul nome di dominio completo e così via.
- I gruppi Antrea con indirizzi IP non sono supportati nell'opzione "Si applica a" del criterio di sicurezza e delle regole del firewall.
- La pianificazione delle regole basata sul tempo non è supportata.
- I gruppi Antrea non sono supportati in un elenco di esclusione del firewall. ( ).
- La negazione o l'esclusione dei gruppi Antrea selezionati nelle origini o nelle destinazioni di una regola del firewall non è supportata.
- Firewall di identità non supportato.
- I gruppi globali creati per un ambiente federato di NSX-T non possono essere utilizzati nei criteri di sicurezza applicati a cluster di container Antrea.
- La configurazione avanzata del criterio non supporta le seguenti impostazioni:
- TCP restrittivo
- Stateful