Antrea 환경에서 NSX 그룹을 생성하고 분산 방화벽 정책(보안 정책)에서 이러한 그룹을 사용하여 Antrea Kubernetes 클러스터 내의 포드 간 트래픽을 보호할 수 있습니다.

참고: 다중 테넌트 NSX 환경에서 Antrea 그룹은 현재 프로젝트에서 지원되지 않습니다. 따라서 프로젝트에서 보안 정책을 생성하여 Antrea Kubernetes 클러스터 내의 포드 간 트래픽을 보호할 수 없습니다. NSX 환경의 기본 보기(기본 공간)에서 보안 정책을 생성해야 합니다.

NSX 보안 정책을 여러 Antrea Kubernetes 클러스터에 적용할 수 있습니다. 그러나 DFW(분산 방화벽) 정책은 단일 Antrea Kubernetes 클러스터 내의 포드 간 트래픽을 보호할 수 있습니다. Antrea Kubernetes 클러스터 간의 포드 간 트래픽은 현재 보호되지 않습니다.

NSX 보안 정책이 하나 이상의 Antrea Kubernetes 클러스터에 적용되면 Antrea 네트워크 플러그인이 각 Kubernetes 클러스터의 Antrea 컨트롤러에서 이 보안 정책을 적용합니다. 즉, 보안 정책의 적용 지점은 각 Antrea Kubernetes 클러스터의 Antrea 컨트롤러입니다.

Antrea Kubernetes 클러스터의 포드와 NSX 환경의 호스트에 있는 VM 간의 트래픽을 보호하는 것이 목표인 경우 Antrea 네트워크의 NSX Kubernetes 클러스터와 VM 간의 트래픽을 보호하기 위한 방화벽 정책 항목을 참조하십시오.

Antrea Kubernetes 클러스터에 대해 지원되는 보안 정책 기능

  • 계층 3 및 4 보안 정책만 Antrea Kubernetes 클러스터에 적용할 수 있습니다. 방화벽 범주인 긴급, 인프라, 환경 및 애플리케이션의 규칙이 지원됩니다.
  • 규칙의 소스, 대상 및 적용 대상에는 Antrea 그룹만 포함될 수 있습니다.
  • 적용 대상은 정책 수준과 규칙 수준 모두에서 지원됩니다. 둘 다 지정된 경우 정책 수준의 적용 대상이 우선합니다.
  • 원시 포트 및 프로토콜 조합을 포함한 서비스가 지원됩니다. 그러나 다음과 같은 제약 조건이 적용됩니다.
    • TCP 및 UDP 서비스만 지원됩니다. 다른 모든 서비스는 지원되지 않습니다.
    • 원시 포트 및 프로토콜 조합에서는 TCP 및 UDP 서비스 유형이 지원됩니다.
    • 대상 포트만 지원됩니다.
  • 정책 통계 및 규칙 통계가 지원됩니다. 보안 정책이 적용되는 모든 Antrea Kubernetes 클러스터에 대해 규칙 통계가 집계되지는 않습니다. 즉, 각 Antrea Kubernetes 클러스터에 대한 규칙 통계가 표시됩니다.

Antrea Kubernetes 클러스터에 대해 지원되지 않는 보안 정책 기능

  • MAC 주소를 기준으로 하는 계층 2(이더넷) 규칙은 지원되지 않습니다.
  • 컨텍스트 프로파일을 기준으로 하는 계층 7 규칙은 지원되지 않습니다. 애플리케이션 ID, FQDN 등을 기준으로 하는 규칙을 예로 들 수 있습니다.
  • IP 주소가 있는 Antrea 그룹은 보안 정책 및 방화벽 규칙의 적용 대상에서 지원되지 않습니다.
  • 규칙의 시간 기반 스케줄링은 지원되지 않습니다.
  • Antrea 그룹은 방화벽 제외 목록에서 지원되지 않습니다. (보안 > 분산 방화벽 > 작업 > 제외 목록)
  • 방화벽 규칙의 소스 또는 대상에서 선택한 Antrea 그룹을 부정하거나 제외하는 것은 지원되지 않습니다.
  • ID 방화벽은 지원되지 않습니다.
  • NSX 페더레이션된 환경에 대해 생성된 글로벌 그룹은 Antrea Kubernetes 클러스터에 적용되는 보안 정책에서 사용할 수 없습니다.
  • 고급 정책 구성은 다음 설정을 지원하지 않습니다.
    • TCP Strict
    • 상태 저장