È possibile creare gruppi Antrea nell'ambiente di NSX e utilizzare questi gruppi nei criteri del firewall distribuito (criteri di sicurezza) per proteggere il traffico tra pod all'interno di un cluster Kubernetes Antrea.
Un criterio di sicurezza di NSX può essere applicato a più cluster Kubernetes Antrea. Il criterio di firewall distribuito (DFW) può tuttavia proteggere il traffico tra pod in un unico cluster Kubernetes Antrea. Il traffico da pod a pod tra i cluster Kubernetes Antrea attualmente non è protetto.
Quando un criterio di sicurezza NSX viene applicato a uno o più cluster Kubernetes Antrea, il plug-in di rete Antrea applica questo criterio di sicurezza all'istanza di ogni cluster Kubernetes Controller Antrea. In altre parole, il punto di applicazione del criterio di sicurezza è l'istanza di Controller Antrea di ogni cluster Kubernetes Antrea.
Se l'obiettivo è proteggere il traffico tra i pod in un cluster Kubernetes Antrea e le macchine virtuali negli host dell'ambiente NSX, vedere Criteri del firewall per la protezione del traffico tra cluster Kubernetes Antrea e macchine virtuali in una rete NSX.
Funzionalità dei criteri di sicurezza supportate per i cluster Kubernetes Antrea
- Solo i criteri di sicurezza di livello 3 e 4 possono essere applicati ai cluster Kubernetes Antrea. Sono supportate le regole nelle seguenti categorie di firewall: Emergenza, Infrastruttura, Ambiente e Applicazione.
- Le opzioni Origini, Destinazioni e "Si applica a" di una regola possono contenere solo gruppi Antrea.
- L'opzione "Si applica a" è supportata sia a livello di criterio sia a livello di regola. Se viene specificata in entrambi, l'opzione "Si applica a" a livello di criterio ha la precedenza.
- Sono supportati i servizi, tra cui la combinazione di porta e protocollo RAW. Si applicano tuttavia i vincoli seguenti:
- Sono supportati solo i servizi TCP e UDP. Tutti gli altri servizi non sono supportati.
- Nelle combinazioni di porte e protocolli RAW sono supportati i tipi di servizi TCP e UDP.
- Sono supportate solo le porte di destinazione.
- Sono supportate le statistiche dei criteri e delle regole. Le statistiche delle regole non sono aggregate per tutti i cluster Kubernetes Antrea a cui è applicato il criterio di sicurezza. In altre parole, le statistiche delle regole vengono visualizzate per ogni cluster Kubernetes Antrea.
Funzionalità dei criteri di sicurezza non supportate per i cluster Kubernetes Antrea
- Le regole di livello 2 (Ethernet) basate su indirizzi MAC non sono supportate.
- Le regole di livello 7 basate sui profili di contesto non sono supportate. Ad esempio, le regole basate sull'ID applicazione, sul nome di dominio completo e così via.
- I gruppi Antrea con indirizzi IP non sono supportati nell'opzione "Si applica a" del criterio di sicurezza e delle regole del firewall.
- La pianificazione delle regole basata sul tempo non è supportata.
- I gruppi Antrea non sono supportati in un elenco di esclusione del firewall. ( ).
- La negazione o l'esclusione dei gruppi Antrea selezionati nelle origini o nelle destinazioni di una regola del firewall non è supportata.
- Il firewall di identità non è supportato.
- I gruppi globali creati per un ambiente federato di NSX non possono essere utilizzati nei criteri di sicurezza applicati a cluster Kubernetes Antrea.
- La configurazione avanzata del criterio non supporta le seguenti impostazioni:
- TCP restrittivo
- Stateful