NSX 環境に Antrea グループを作成し、これらのグループを分散ファイアウォール ポリシー(セキュリティ ポリシー)で使用して、Antrea Kubernetes クラスタ内のポッド間のトラフィックを保護できます。
注: マルチテナント
NSX 環境の場合、現在、
Antrea グループはプロジェクトでサポートされていません。したがって、
Antrea Kubernetes クラスタ内のポッド間のトラフィックを保護するために、プロジェクトにセキュリティ ポリシーを作成することはできません。
NSX 環境の
[デフォルト] ビュー(デフォルト領域)でセキュリティ ポリシーを作成する必要があります。
NSX セキュリティ ポリシーは、複数の Antrea Kubernetes クラスタに適用できます。ただし、分散ファイアウォール (DFW) ポリシーは単一の Antrea Kubernetes クラスタ内のポッド間のトラフィックを保護できます。現在、Antrea Kubernetes クラスタ間のポッド間トラフィックは保護されません。
NSX セキュリティ ポリシーが 1 つ以上の Antrea Kubernetes クラスタに適用されている場合、Antrea ネットワーク プラグインは、各 Kubernetes クラスタの Antrea Controller でこのセキュリティ ポリシーを適用します。つまり、セキュリティ ポリシーの適用ポイントは、各 Antrea Kubernetes クラスタの Antrea Controller です。
Antrea Kubernetes クラスタ内のポッドと NSX 環境内のホストの仮想マシン間のトラフィックを保護することが目的の場合は、Antrea Kubernetes クラスタと NSX ネットワーク内の仮想マシン間のトラフィックを保護するためのファイアウォール ポリシーを参照してください。
Antrea Kubernetes クラスタでサポートされるセキュリティ ポリシー機能
- Antrea Kubernetes クラスタに適用できるのは、レイヤー 3 および 4 のセキュリティ ポリシーのみです。ファイアウォール カテゴリが緊急、インフラストラクチャ、環境、アプリケーションのルールがサポートされます。
- ルールの送信元、宛先、適用先には、Antrea グループのみを含めることができます。
- 適用先は、ポリシー レベルとルール レベルの両方でサポートされます。両方を指定すると、ポリシー レベルの適用先が優先されます。
- Raw ポートとプロトコルの組み合わせを含むサービスがサポートされます。ただし、次の制約が適用されます。
- サポートされているサービスは TCP と UDP だけです。他のサービスはサポートされていません。
- Raw ポートとプロトコルの組み合わせでは、TCP および UDP サービス タイプがサポートされます。
- サポートされているのは、宛先ポートだけです。
- ポリシーの統計情報とルールの統計情報がサポートされます。ルールの統計情報は、セキュリティ ポリシーが適用されるすべての Antrea Kubernetes クラスタに対して集計されるわけではありません。ルールの統計情報は、Antrea Kubernetes クラスタごとに表示されます。
Antrea Kubernetes クラスタでサポートされないセキュリティ ポリシー機能
- MAC アドレスに基づくレイヤー 2(イーサネット)ルールはサポートされていません。
- コンテキスト プロファイルに基づくレイヤー 7 ルールはサポートされていません。たとえば、アプリケーション ID、FQDN などに基づくルールなどです。
- IP アドレスを持つ Antrea グループは、セキュリティ ポリシーとファイアウォール ルールの適用先でサポートされていません。
- ルールの時間ベースのスケジュールはサポートされていません。
- ファイアウォール除外リストで、Antrea グループはサポートされていません。( )
- ファイアウォール ルールの送信元または宛先で選択した Antrea グループの無効化または除外はサポートされていません。
- Identity Firewall はサポートされていません。
- NSX フェデレーション環境用に作成されたグローバル グループは、Antrea Kubernetes クラスタに適用されるセキュリティ ポリシーで使用できません。
- 高度なポリシー構成で、次の設定はサポートされません。
- TCP Strict
- ステートフル