NSX で分散ファイアウォール ポリシー(セキュリティ ポリシー)を作成し、登録済みの Antrea コンテナ クラスタに適用して、コンテナ クラスタ内のポッド間のトラフィックを保護できます。
NSX セキュリティ ポリシーは、複数の
Antrea コンテナ クラスタに適用できます。ただし、ポリシーは単一の
Antrea コンテナ クラスタ内のポッド間のトラフィックを保護できます。次のトラフィックは保護されません。
- Antrea コンテナ クラスタ間のポッド間トラフィック。
- Antrea コンテナ クラスタ内のポッドと、NSX 環境内にあるホスト上の仮想マシンと間のトラフィック。
NSX セキュリティ ポリシーが 1 つ以上の Antrea コンテナ クラスタに適用されている場合、Antrea ネットワーク プラグインは、各コンテナ クラスタの Antrea Controller でこのセキュリティ ポリシーを適用します。つまり、セキュリティ ポリシーの適用ポイントは、各 Antrea コンテナ クラスタの Antrea Controller です。
Antrea コンテナ クラスタでサポートされるセキュリティ ポリシー機能
- Antrea コンテナ クラスタに適用できるのは、レイヤー 3 および 4 のセキュリティ ポリシーのみです。ファイアウォール カテゴリが緊急、インフラストラクチャ、環境、アプリケーションのルールがサポートされます。
- ルールの送信元、宛先、適用先には、Antrea グループのみを含めることができます。
- 適用先は、ポリシー レベルとルール レベルの両方でサポートされます。両方を指定すると、ポリシー レベルの適用先が優先されます。
- Raw ポートとプロトコルの組み合わせを含むサービスがサポートされます。ただし、次の制約が適用されます。
- サポートされているサービスは TCP と UDP だけです。他のサービスはサポートされていません。
- Raw ポートとプロトコルの組み合わせでは、TCP および UDP サービス タイプがサポートされます。
- サポートされているのは、宛先ポートだけです。
- ポリシーの統計情報とルールの統計情報がサポートされます。ルールの統計情報は、セキュリティ ポリシーが適用されるすべての Antrea コンテナ クラスタに対して集計されるわけではありません。ルールの統計情報は、Antrea コンテナ クラスタごとに表示されます。
Antrea コンテナ クラスタでサポートされないセキュリティ ポリシー機能
- MAC アドレスに基づくレイヤー 2(イーサネット)ルールはサポートされていません。
- コンテキスト プロファイルに基づくレイヤー 7 ルールはサポートされていません。たとえば、アプリケーション ID、FQDN などに基づくルールなどです。
- IP アドレスを持つ Antrea グループは、セキュリティ ポリシーとファイアウォール ルールの適用先でサポートされていません。
- ルールの時間ベースのスケジュールはサポートされていません。
- ファイアウォール除外リストで、Antrea グループはサポートされていません。( )
- ファイアウォール ルールの送信元または宛先で選択した Antrea グループの無効化または除外はサポートされていません。
- Identity Firewall はサポートされていません。
- NSX フェデレーション環境用に作成されたグローバル グループは、Antrea コンテナ クラスタに適用されるセキュリティ ポリシーで使用できません。
- 高度なポリシー構成で、次の設定はサポートされません。
- TCP Strict
- ステートフル