NSX で分散ファイアウォール ポリシー(セキュリティ ポリシー)を作成し、登録済みの Antrea コンテナ クラスタに適用して、コンテナ クラスタ内のポッド間のトラフィックを保護できます。

NSX セキュリティ ポリシーは、複数の Antrea コンテナ クラスタに適用できます。ただし、ポリシーは単一の Antrea コンテナ クラスタ内のポッド間のトラフィックを保護できます。次のトラフィックは保護されません。
  • Antrea コンテナ クラスタ間のポッド間トラフィック。
  • Antrea コンテナ クラスタ内のポッドと、NSX 環境内にあるホスト上の仮想マシンと間のトラフィック。

NSX セキュリティ ポリシーが 1 つ以上の Antrea コンテナ クラスタに適用されている場合、Antrea ネットワーク プラグインは、各コンテナ クラスタの Antrea Controller でこのセキュリティ ポリシーを適用します。つまり、セキュリティ ポリシーの適用ポイントは、各 Antrea コンテナ クラスタの Antrea Controller です。

Antrea コンテナ クラスタでサポートされるセキュリティ ポリシー機能

  • Antrea コンテナ クラスタに適用できるのは、レイヤー 3 および 4 のセキュリティ ポリシーのみです。ファイアウォール カテゴリが緊急、インフラストラクチャ、環境、アプリケーションのルールがサポートされます。
  • ルールの送信元、宛先、適用先には、Antrea グループのみを含めることができます。
  • 適用先は、ポリシー レベルとルール レベルの両方でサポートされます。両方を指定すると、ポリシー レベルの適用先が優先されます。
  • Raw ポートとプロトコルの組み合わせを含むサービスがサポートされます。ただし、次の制約が適用されます。
    • サポートされているサービスは TCP と UDP だけです。他のサービスはサポートされていません。
    • Raw ポートとプロトコルの組み合わせでは、TCP および UDP サービス タイプがサポートされます。
    • サポートされているのは、宛先ポートだけです。
  • ポリシーの統計情報とルールの統計情報がサポートされます。ルールの統計情報は、セキュリティ ポリシーが適用されるすべての Antrea コンテナ クラスタに対して集計されるわけではありません。ルールの統計情報は、Antrea コンテナ クラスタごとに表示されます。

Antrea コンテナ クラスタでサポートされないセキュリティ ポリシー機能

  • MAC アドレスに基づくレイヤー 2(イーサネット)ルールはサポートされていません。
  • コンテキスト プロファイルに基づくレイヤー 7 ルールはサポートされていません。たとえば、アプリケーション ID、FQDN などに基づくルールなどです。
  • IP アドレスを持つ Antrea グループは、セキュリティ ポリシーとファイアウォール ルールの適用先でサポートされていません。
  • ルールの時間ベースのスケジュールはサポートされていません。
  • ファイアウォール除外リストで、Antrea グループはサポートされていません。([ セキュリティ] > [分散ファイアウォール] > [アクション] > [除外リスト]
  • ファイアウォール ルールの送信元または宛先で選択した Antrea グループの無効化または除外はサポートされていません。
  • Identity Firewall はサポートされていません。
  • NSX フェデレーション環境用に作成されたグローバル グループは、Antrea コンテナ クラスタに適用されるセキュリティ ポリシーで使用できません。
  • 高度なポリシー構成で、次の設定はサポートされません。
    • TCP Strict
    • ステートフル