您可以在 NSX 環境中建立 Antrea 群組,並在分散式防火牆原則 (安全性原則) 中,使用這些群組來保護 Antrea Kubernetes 叢集內的網繭間流量。
備註: 在多承租人
NSX 環境中,目前在專案下不支援
Antrea 群組。因此,您無法在專案下建立安全性原則,來保護
Antrea Kubernetes 叢集內的網繭間流量。您必須在
NSX 環境的
預設視圖 (預設空間) 中建立安全性原則。
一個 NSX 安全性原則可以套用至多個 Antrea Kubernetes 叢集。但是,分散式防火牆 (DFW) 原則只能保護單一 Antrea Kubernetes 叢集內的網繭間流量。Antrea Kubernetes 叢集之間的網繭到網繭流量目前不受保護。
將 NSX 安全性原則套用到一或多個 Antrea Kubernetes 叢集後,Antrea 網路外掛程式會在每個 Kubernetes 叢集的 Antrea 控制器 上強制執行此安全性原則。換句話說,安全性原則的強制執行點是每個 Antrea Kubernetes 叢集的 Antrea 控制器。
如果您的目標是保護 Antrea Kubernetes 叢集中的網繭與 NSX 環境中主機上的虛擬機器之間的流量,請參閱用來保護 Antrea Kubernetes 叢集與 NSX 網路中虛擬機器之間流量的防火牆原則。
Antrea Kubernetes 叢集支援的安全性原則功能
- 您只能將第 3 層和第 4 層安全性原則套用到 Antrea Kubernetes 叢集。系統支援以下防火牆類別中的規則:緊急、基礎結構、環境和應用程式。
- 規則的「來源」、「目的地」和「套用至」只能包含 Antrea 群組。
- 原則層級和規則層級均支援「套用至」。如果同時指定了這兩者,則會優先採用原則層級的「套用至」。
- 支援各項服務,包括原始連接埠和通訊協定組合。但有以下限制:
- 僅支援 TCP 和 UDP 服務。不支援其他所有服務。
- 在原始連接埠和通訊協定組合中,支援 TCP 和 UDP 服務類型。
- 僅支援目的地連接埠。
- 支援原則統計資料和規則統計資料。不會彙總已套用安全性原則的所有 Antrea Kubernetes 叢集的規則統計資料。換句話說,會顯示每個 Antrea Kubernetes 叢集的規則統計資料。
Antrea Kubernetes 叢集不支援安全性原則功能
- 不支援以 MAC 位址為基礎的第 2 層 (乙太網路) 規則。
- 不支援以內容設定檔為基礎的第 7 層規則。例如,以應用程式識別碼、FQDN 等為基礎的規則。
- 安全性原則和防火牆規則的「套用至」中不支援具有 IP 位址的 Antrea 群組。
- 不支援以時間為基礎的規則排程。
- 防火牆排除清單中不支援 Antrea 群組。( )。
- 不支援否定或排除已在防火牆規則的來源或目的地中選取的 Antrea 群組。
- 不支援身分識別防火牆。
- 無法在已套用到 NSX Kubernetes 叢集的安全性原則中使用為 Antrea 聯盟環境所建立的全域群組。
- 進階原則組態不支援以下設定:
- TCP 嚴格
- 可設定狀態