您可以在 NSX-T Data Center 中建立分散式防火牆原則 (安全性原則),並將其套用到已登錄的 Antrea 容器叢集,以保護容器叢集內的網繭間流量。

一個 NSX-T 安全性原則可以套用到多個 Antrea 容器叢集。但是,該原則只能保護單一 Antrea 容器叢集內的網繭間流量。以下流量不受保護:
  • Antrea 容器叢集間的網繭到網繭流量。
  • Antrea 容器叢集內的網繭與 NSX-T 環境中的主機上虛擬機器之間的流量。

NSX-T 安全性原則套用到一或多個 Antrea 容器叢集後,Antrea 網路外掛程式會在每個容器叢集的 Antrea 控制器 上強制執行此安全性原則。換句話說,安全性原則的強制執行點是每個 Antrea 容器叢集的 Antrea 控制器

Antrea 容器叢集支援的安全性原則功能

  • 您只能將第 3 層和第 4 層安全性原則套用到 Antrea 容器叢集。系統支援以下防火牆類別中的規則:緊急、基礎結構、環境和應用程式。
  • 規則的「來源」、「目的地」和「套用至」只能包含 Antrea 群組。
  • 原則層級和規則層級均支援「套用至」。如果同時指定了這兩者,則會優先採用原則層級的「套用至」。
  • 支援各項服務,包括原始連接埠和通訊協定組合。但有以下限制:
    • 僅支援 TCP 和 UDP 服務。不支援其他所有服務。
    • 在原始連接埠和通訊協定組合中,支援 TCP 和 UDP 服務類型。
    • 僅支援目的地連接埠。
  • 支援原則統計資料和規則統計資料。不會彙總已套用安全性原則的所有 Antrea 容器叢集的規則統計資料。換句話說,會顯示每個 Antrea 容器叢集的規則統計資料。

Antrea 容器叢集不支援安全性原則功能

  • 不支援以 MAC 位址為基礎的第 2 層 (乙太網路) 規則。
  • 不支援以內容設定檔為基礎的第 7 層規則。例如,以應用程式識別碼、FQDN 等為基礎的規則。
  • 安全性原則和防火牆規則的「套用至」中不支援具有 IP 位址的 Antrea 群組。
  • 不支援以時間為基礎的規則排程。
  • 防火牆排除清單中不支援 Antrea 群組。(安全性 > 分散式防火牆 > 動作 > 排除清單)。
  • 不支援否定或排除已在防火牆規則的來源或目的地中選取的 Antrea 群組。
  • 不支援身分識別防火牆。
  • 無法在已套用到 NSX-T 容器叢集的安全性原則中使用為 Antrea 聯盟環境所建立的全域群組。
  • 進階原則組態不支援以下設定:
    • TCP 嚴格
    • 可設定狀態