È possibile creare gruppi Antrea nell'ambiente di NSX e utilizzare questi gruppi nei criteri del firewall distribuito (criteri di sicurezza) per proteggere il traffico tra pod all'interno di un cluster Kubernetes Antrea.

Nota: In un ambiente NSX multi-tenant, i gruppi Antrea attualmente non sono supportati nei progetti. Pertanto, non è possibile creare criteri di sicurezza nei progetti per proteggere il traffico tra pod all'interno di un cluster Kubernetes Antrea. È necessario creare i criteri di sicurezza nella vista Predefinita (spazio predefinito) dell'ambiente NSX .

Un criterio di sicurezza di NSX può essere applicato a più cluster Kubernetes Antrea. Il criterio di firewall distribuito (DFW) può tuttavia proteggere il traffico tra pod in un unico cluster Kubernetes Antrea. Il traffico da pod a pod tra i cluster Kubernetes Antrea attualmente non è protetto.

Quando un criterio di sicurezza NSX viene applicato a uno o più cluster Kubernetes Antrea, il plug-in di rete Antrea applica questo criterio di sicurezza all'istanza di ogni cluster Kubernetes Controller Antrea. In altre parole, il punto di applicazione del criterio di sicurezza è l'istanza di Controller Antrea di ogni cluster Kubernetes Antrea.

Se l'obiettivo è proteggere il traffico tra i pod in un cluster Kubernetes Antrea e le macchine virtuali negli host dell'ambiente NSX, vedere Criteri del firewall per la protezione del traffico tra cluster Kubernetes Antrea e macchine virtuali in una rete NSX.

Funzionalità dei criteri di sicurezza supportate per i cluster Kubernetes Antrea

  • Solo i criteri di sicurezza di livello 3 e 4 possono essere applicati ai cluster Kubernetes Antrea. Sono supportate le regole nelle seguenti categorie di firewall: Emergenza, Infrastruttura, Ambiente e Applicazione.
  • Le opzioni Origini, Destinazioni e "Si applica a" di una regola possono contenere solo gruppi Antrea.
  • L'opzione "Si applica a" è supportata sia a livello di criterio sia a livello di regola. Se viene specificata in entrambi, l'opzione "Si applica a" a livello di criterio ha la precedenza.
  • Sono supportati i servizi, tra cui la combinazione di porta e protocollo RAW. Si applicano tuttavia i vincoli seguenti:
    • Sono supportati solo i servizi TCP e UDP. Tutti gli altri servizi non sono supportati.
    • Nelle combinazioni di porte e protocolli RAW sono supportati i tipi di servizi TCP e UDP.
    • Sono supportate solo le porte di destinazione.
  • Sono supportate le statistiche dei criteri e delle regole. Le statistiche delle regole non sono aggregate per tutti i cluster Kubernetes Antrea a cui è applicato il criterio di sicurezza. In altre parole, le statistiche delle regole vengono visualizzate per ogni cluster Kubernetes Antrea.

Funzionalità dei criteri di sicurezza non supportate per i cluster Kubernetes Antrea

  • Le regole di livello 2 (Ethernet) basate su indirizzi MAC non sono supportate.
  • Le regole di livello 7 basate sui profili di contesto non sono supportate. Ad esempio, le regole basate sull'ID applicazione, sul nome di dominio completo e così via.
  • I gruppi Antrea con indirizzi IP non sono supportati nell'opzione "Si applica a" del criterio di sicurezza e delle regole del firewall.
  • La pianificazione delle regole basata sul tempo non è supportata.
  • I gruppi Antrea non sono supportati in un elenco di esclusione del firewall. (Sicurezza > Firewall distribuito > Azioni > Elenco di esclusione).
  • La negazione o l'esclusione dei gruppi Antrea selezionati nelle origini o nelle destinazioni di una regola del firewall non è supportata.
  • Il firewall di identità non è supportato.
  • I gruppi globali creati per un ambiente federato di NSX non possono essere utilizzati nei criteri di sicurezza applicati a cluster Kubernetes Antrea.
  • La configurazione avanzata del criterio non supporta le seguenti impostazioni:
    • TCP restrittivo
    • Stateful