NSX에서 분산 방화벽 정책(보안 정책)을 생성하고 등록된 Antrea 컨테이너 클러스터에 적용하여 컨테이너 클러스터 내의 포드 간 트래픽을 보호할 수 있습니다.

NSX 보안 정책을 여러 Antrea 컨테이너 클러스터에 적용할 수 있습니다. 그러나 이 정책은 단일 Antrea 컨테이너 클러스터 내의 포드 간 트래픽을 보호할 수 있습니다. 다음 트래픽은 보호되지 않습니다.
  • Antrea 컨테이너 클러스터 간 포드-포드 트래픽
  • Antrea 컨테이너 클러스터의 포드와 NSX 환경의 호스트에 있는 VM 간 트래픽

NSX 보안 정책이 하나 이상의 Antrea 컨테이너 클러스터에 적용되면 Antrea 네트워크 플러그인이 각 컨테이너 클러스터의 Antrea 컨트롤러에서 이 보안 정책을 적용합니다. 즉, 보안 정책의 적용 지점은 각 Antrea 컨테이너 클러스터의 Antrea 컨트롤러입니다.

Antrea 컨테이너 클러스터에 대해 지원되는 보안 정책 기능

  • 계층 3 및 4 보안 정책만 Antrea 컨테이너 클러스터에 적용할 수 있습니다. 방화벽 범주인 긴급, 인프라, 환경 및 애플리케이션의 규칙이 지원됩니다.
  • 규칙의 소스, 대상 및 적용 대상에는 Antrea 그룹만 포함될 수 있습니다.
  • 적용 대상은 정책 수준과 규칙 수준 모두에서 지원됩니다. 둘 다 지정된 경우 정책 수준의 적용 대상이 우선합니다.
  • 원시 포트 및 프로토콜 조합을 포함한 서비스가 지원됩니다. 그러나 다음과 같은 제약 조건이 적용됩니다.
    • TCP 및 UDP 서비스만 지원됩니다. 다른 모든 서비스는 지원되지 않습니다.
    • 원시 포트 및 프로토콜 조합에서는 TCP 및 UDP 서비스 유형이 지원됩니다.
    • 대상 포트만 지원됩니다.
  • 정책 통계 및 규칙 통계가 지원됩니다. 보안 정책이 적용되는 모든 Antrea 컨테이너 클러스터에 대해 규칙 통계가 집계되지는 않습니다. 즉, 각 Antrea 컨테이너 클러스터에 대한 규칙 통계가 표시됩니다.

Antrea 컨테이너 클러스터에 대해 지원되지 않는 보안 정책 기능

  • MAC 주소를 기준으로 하는 계층 2(이더넷) 규칙은 지원되지 않습니다.
  • 컨텍스트 프로파일을 기준으로 하는 계층 7 규칙은 지원되지 않습니다. 애플리케이션 ID, FQDN 등을 기준으로 하는 규칙을 예로 들 수 있습니다.
  • IP 주소가 있는 Antrea 그룹은 보안 정책 및 방화벽 규칙의 적용 대상에서 지원되지 않습니다.
  • 규칙의 시간 기반 스케줄링은 지원되지 않습니다.
  • Antrea 그룹은 방화벽 제외 목록에서 지원되지 않습니다. (보안 > 분산 방화벽 > 작업 > 제외 목록)
  • 방화벽 규칙의 소스 또는 대상에서 선택한 Antrea 그룹을 부정하거나 제외하는 것은 지원되지 않습니다.
  • ID 방화벽은 지원되지 않습니다.
  • NSX 페더레이션된 환경에 대해 생성된 글로벌 그룹은 Antrea 컨테이너 클러스터에 적용되는 보안 정책에서 사용할 수 없습니다.
  • 고급 정책 구성은 다음 설정을 지원하지 않습니다.
    • TCP Strict
    • 상태 저장