安全与合规

对于具有独立管理集群的Tanzu Kubernetes Grid (TKG),本主题列出了用于保护基础架构并符合网络安全策略的资源。

对于具有主管的 TKG,请参见 vSphere 8 文档中的 vSphere with Tanzu 安全性

端口和协议

VMware Ports and Protocols 工具中列出了 Tanzu Kubernetes Grid 使用的网络端口和协议。

对于每个内部通信路径,VMware Ports and Protocols 列出:

  • 产品
  • 版本
  • 目标
  • 端口
  • 协议
  • 用途
  • 服务描述
  • 分类(出站、入站或双向)

您可以使用此信息配置防火墙规则。

Tanzu Kubernetes Grid 防火墙规则

名称 目标 服务(:端口) 用途
workload-to-mgmt 工作负载集群网络 管理集群网络 TCP:6443* 允许工作负载集群在管理集群中注册
mgmt-to-workload 管理集群网络 工作负载集群网络 TCP:6443*,5556 允许管理网络配置工作负载集群
allow-mgmt-subnet 管理集群网络 管理集群网络 全部 允许所有内部集群通信
允许工作负载子网 工作负载集群网络 工作负载集群网络 全部 允许所有内部集群通信
jumpbox-to-k8s Jumpbox IP 管理集群网络、工作负载集群网络 TCP:6443* 允许 Jumpbox 创建管理集群和管理集群。
dhcp 任意 NSX:任意 / 无 NSX:DHCP IP DHCP 允许主机获取 DHCP 地址。
mc-pods-internal 管理集群 pod 网络 SERVICE_CIDRCLUSTER_CIDR 内的 .1 地址 TCP:* 允许管理集群上的 Pod 的内部流量传输到 Kubernetes API 服务器和工作负载集群上的 Pod
to-harbor 管理集群网络、工作负载集群网络、jumpbox IP Harbor IP HTTPS 允许组件检索容器映像
到 vCenter 管理集群网络、工作负载集群网络、jumpbox IP vCenter IP HTTPS 允许组件访问 vSphere 以创建虚拟机和存储卷
dns-ntp-outbound 管理集群网络、工作负载集群网络、jumpbox IP DNS、NTP 服务器 DNS、NTP 核心服务
ssh-to-jumpbox 任意 Jumpbox IP SSH 从外部访问 Jumpbox
对于外部身份提供程序
allow-pinniped 工作负载集群网络 管理集群网络 TCP:31234 允许工作负载集群上的 Pinniped Concierge 访问管理集群上的 Pinniped 主管,该管理集群可能在“NodePort”或“LoadBalancer”服务后面运行
bootstrap-allow-pinniped 引导计算机** 管理集群网络 TCP:31234 允许引导计算机访问管理集群上的 Pinniped 主管,管理集群可能在“NodePort”或“LoadBalancer”服务后面运行
对于 NSX ALB***
avi-nodeport Avi SE 任何工作负载集群 TCP:30000-32767 对于 L4 和 L7 虚拟服务的“NodePort”模式(默认)集群,允许 NSX ALB SE(服务引擎)流量传输到 Pod
avi-nodeportlocal Avi SE 任何工作负载集群 TCP:61000-62000 对于 L4 和 L7 虚拟服务的“NodePortLocal”模式集群,允许 NSX ALB SE 流量传输到 Pod
ako-to-avi 管理集群网络、工作负载集群网络 Avi 控制器** TCP:443 允许 Avi Kubernetes Operator (AKO) 和 AKO Operator (AKOO) 访问 Avi 控制器
avi-to-nsxt Avi 控制器 VMware NSX (以前称为 NSX-T) TCP:443 如果 Avi 使用 NSX-T Cloud Connector,则允许 Avi 控制器访问 VMware NSX
默认全部拒绝规则
deny-all 任意 任意 全部 默认决绝
  • *您可以使用 CLUSTER_API_SERVER_PORT 覆盖端口 6443 设置,也可以在具有 NSX Advanced Load Balancer、VSPHERE_CONTROL_PLANE_ENDPOINT_PORT 集群配置变量的环境中覆盖端口 6443 设置。

** 引导计算机是运行 Tanzu CLI 命令的位置。它可以是 Jumpbox(通过 SSH 建立连接的远程计算机)、本地计算机或 CI/CD 主机。

*** 有关 NSX Advanced Load Balancer(以前称为 Avi Vantage)所需的其他防火墙规则,请参见 Avi Networks 文档中的 Avi Vantage 用于管理通信的协议端口

合规性和强化

您可以将支持 FIPS 的 Tanzu Kubernetes Grid 2.1.0 和 2.1.1 版本部署到 vSphere、AWS 或 Azure 环境中。FIPS 的物料清单 (BoM) 仅列出使用 符合 FIPS 的加密模块编译的组件。有关详细信息,请参见《独立管理集群要求》中的支持 FIPS 的版本

您可以强化 Tanzu Kubernetes Grid (TKG),以实现运维授权 (ATO)。TKG 版本根据美国国防信息系统局安全技术实施指南 (DISA STIG)、网络安全和基础架构安全局 (CISA) 和国家安全局(National Security Agency,NSA)框架以及美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)准则不断验证。最新的 TKG 合规性文档是《Tanzu Kubernetes Grid 2.1 合规性和强化》

check-circle-line exclamation-circle-line close-line
Scroll to top icon