您可以在 NSX 中建立分散式防火牆原則 (安全性原則),並將其套用到已登錄的 Antrea 容器叢集,以保護容器叢集內的網繭間流量。
一個
NSX 安全性原則可以套用到多個
Antrea 容器叢集。但是,該原則只能保護單一
Antrea 容器叢集內的網繭間流量。以下流量不受保護:
- Antrea 容器叢集間的網繭到網繭流量。
- Antrea 容器叢集內的網繭與 NSX 環境中的主機上虛擬機器之間的流量。
將 NSX 安全性原則套用到一或多個 Antrea 容器叢集後,Antrea 網路外掛程式會在每個容器叢集的 Antrea 控制器 上強制執行此安全性原則。換句話說,安全性原則的強制執行點是每個 Antrea 容器叢集的 Antrea 控制器。
Antrea 容器叢集支援的安全性原則功能
- 您只能將第 3 層和第 4 層安全性原則套用到 Antrea 容器叢集。系統支援以下防火牆類別中的規則:緊急、基礎結構、環境和應用程式。
- 規則的「來源」、「目的地」和「套用至」只能包含 Antrea 群組。
- 原則層級和規則層級均支援「套用至」。如果同時指定了這兩者,則會優先採用原則層級的「套用至」。
- 支援各項服務,包括原始連接埠和通訊協定組合。但有以下限制:
- 僅支援 TCP 和 UDP 服務。不支援其他所有服務。
- 在原始連接埠和通訊協定組合中,支援 TCP 和 UDP 服務類型。
- 僅支援目的地連接埠。
- 支援原則統計資料和規則統計資料。不會彙總已套用安全性原則的所有 Antrea 容器叢集的規則統計資料。換句話說,會顯示每個 Antrea 容器叢集的規則統計資料。
Antrea 容器叢集不支援安全性原則功能
- 不支援以 MAC 位址為基礎的第 2 層 (乙太網路) 規則。
- 不支援以內容設定檔為基礎的第 7 層規則。例如,以應用程式識別碼、FQDN 等為基礎的規則。
- 安全性原則和防火牆規則的「套用至」中不支援具有 IP 位址的 Antrea 群組。
- 不支援以時間為基礎的規則排程。
- 防火牆排除清單中不支援 Antrea 群組。( )。
- 不支援否定或排除已在防火牆規則的來源或目的地中選取的 Antrea 群組。
- 不支援身分識別防火牆。
- 無法在已套用到 NSX 容器叢集的安全性原則中使用為 Antrea 聯盟環境所建立的全域群組。
- 進階原則組態不支援以下設定:
- TCP 嚴格
- 可設定狀態