È possibile creare criteri del firewall distribuito (criteri di sicurezza) in NSX e applicarli ai cluster di container Antrea registrati per proteggere il traffico tra i pod in un cluster di container.

Un criterio di sicurezza di NSX può essere applicato a più cluster di container Antrea. Il criterio può tuttavia proteggere il traffico tra pod in un unico cluster di container Antrea. Il seguente traffico non è protetto:
  • Traffico da pod a pod tra cluster di container Antrea.
  • Traffico tra pod in un cluster di container Antrea e le macchine virtuali negli host dell'ambiente di NSX.

Quando un criterio di sicurezza NSX viene applicato a uno o più cluster di container Antrea, il plug-in di rete Antrea applica questo criterio di sicurezza all'istanza di Controller Antrea di ogni cluster di container. In altre parole, il punto di applicazione del criterio di sicurezza è l'istanza di Controller Antrea di ogni cluster di container Antrea.

Funzionalità dei criteri di sicurezza supportate per i cluster di container Antrea

  • Solo i criteri di sicurezza di livello 3 e 4 possono essere applicati ai cluster di container Antrea. Sono supportate le regole nelle seguenti categorie di firewall: Emergenza, Infrastruttura, Ambiente e Applicazione.
  • Le opzioni Origini, Destinazioni e "Si applica a" di una regola possono contenere solo gruppi Antrea.
  • L'opzione "Si applica a" è supportata sia a livello di criterio sia a livello di regola. Se viene specificata in entrambi, l'opzione "Si applica a" a livello di criterio ha la precedenza.
  • Sono supportati i servizi, tra cui la combinazione di porta e protocollo RAW. Si applicano tuttavia i vincoli seguenti:
    • Sono supportati solo i servizi TCP e UDP. Tutti gli altri servizi non sono supportati.
    • Nelle combinazioni di porte e protocolli RAW sono supportati i tipi di servizi TCP e UDP.
    • Sono supportate solo le porte di destinazione.
  • Sono supportate le statistiche dei criteri e delle regole. Le statistiche delle regole non sono aggregate per tutti i cluster di container Antrea a cui è applicato il criterio di sicurezza. In altre parole, le statistiche delle regole vengono visualizzate per ogni cluster di container Antrea.

Funzionalità dei criteri di sicurezza non supportate per i cluster di container Antrea

  • Le regole di livello 2 (Ethernet) basate su indirizzi MAC non sono supportate.
  • Le regole di livello 7 basate sui profili di contesto non sono supportate. Ad esempio, le regole basate sull'ID applicazione, sul nome di dominio completo e così via.
  • I gruppi Antrea con indirizzi IP non sono supportati nell'opzione "Si applica a" del criterio di sicurezza e delle regole del firewall.
  • La pianificazione delle regole basata sul tempo non è supportata.
  • I gruppi Antrea non sono supportati in un elenco di esclusione del firewall. (Sicurezza > Firewall distribuito > Azioni > Elenco di esclusione).
  • La negazione o l'esclusione dei gruppi Antrea selezionati nelle origini o nelle destinazioni di una regola del firewall non è supportata.
  • Firewall di identità non supportato.
  • I gruppi globali creati per un ambiente federato di NSX non possono essere utilizzati nei criteri di sicurezza applicati a cluster di container Antrea.
  • La configurazione avanzata del criterio non supporta le seguenti impostazioni:
    • TCP restrittivo
    • Stateful