用來保護 Antrea Kubernetes 叢集內流量的分散式防火牆原則

您可以在 NSX 環境中建立 Antrea 群組，並在分散式防火牆原則 (安全性原則) 中，使用這些群組來保護 Antrea Kubernetes 叢集內的網繭間流量。

備註：在多承租人 NSX 環境中，目前在專案下不支援 Antrea 群組。因此，您無法在專案下建立安全性原則，來保護 Antrea Kubernetes 叢集內的網繭間流量。您必須在 NSX 環境的預設視圖 (預設空間) 中建立安全性原則。

一個 NSX 安全性原則可以套用至多個 Antrea Kubernetes 叢集。但是，分散式防火牆 (DFW) 原則只能保護單一 Antrea Kubernetes 叢集內的網繭間流量。Antrea Kubernetes 叢集之間的網繭到網繭流量目前不受保護。

將 NSX 安全性原則套用到一或多個 Antrea Kubernetes 叢集後，Antrea 網路外掛程式會在每個 Kubernetes 叢集的 Antrea 控制器上強制執行此安全性原則。換句話說，安全性原則的強制執行點是每個 Antrea Kubernetes 叢集的 Antrea 控制器。

如果您的目標是保護 Antrea Kubernetes 叢集中的網繭與 NSX 環境中主機上的虛擬機器之間的流量，請參閱用來保護 Antrea Kubernetes 叢集與 NSX 網路中虛擬機器之間流量的防火牆原則。

Antrea Kubernetes 叢集支援的安全性原則功能

您只能將第 3 層和第 4 層安全性原則套用到 Antrea Kubernetes 叢集。系統支援以下防火牆類別中的規則：緊急、基礎結構、環境和應用程式。
規則的「來源」、「目的地」和「套用至」只能包含 Antrea 群組。
原則層級和規則層級均支援「套用至」。如果同時指定了這兩者，則會優先採用原則層級的「套用至」。
支援各項服務，包括原始連接埠和通訊協定組合。但有以下限制：
- 僅支援 TCP 和 UDP 服務。不支援其他所有服務。
- 在原始連接埠和通訊協定組合中，支援 TCP 和 UDP 服務類型。
- 僅支援目的地連接埠。
支援原則統計資料和規則統計資料。不會彙總已套用安全性原則的所有 Antrea Kubernetes 叢集的規則統計資料。換句話說，會顯示每個 Antrea Kubernetes 叢集的規則統計資料。