安全与合规
对于具有独立管理集群的Tanzu Kubernetes Grid (TKG),本主题列出了用于保护基础架构并符合网络安全策略的资源。
对于具有主管的 TKG,请参见 vSphere 8 文档中的 vSphere with Tanzu 安全性。
端口和协议
VMware Ports and Protocols 工具中列出了 Tanzu Kubernetes Grid 使用的网络端口和协议。
对于每个内部通信路径,VMware Ports and Protocols 列出:
- 产品
- 版本
- 源
- 目标
- 端口
- 协议
- 用途
- 服务描述
- 分类(出站、入站或双向)
您可以使用此信息配置防火墙规则。
Tanzu Kubernetes Grid 防火墙规则
| 名称 | 源 | 目标 | 服务(:端口) | 用途 |
|---|---|---|---|---|
| workload-to-mgmt | 工作负载集群网络 | 管理集群网络 | TCP:6443* | 允许工作负载集群在管理集群中注册 |
| mgmt-to-workload | 管理集群网络 | 工作负载集群网络 | TCP:6443*,5556 | 允许管理网络配置工作负载集群 |
| allow-mgmt-subnet | 管理集群网络 | 管理集群网络 | 全部 | 允许所有内部集群通信 |
| 允许工作负载子网 | 工作负载集群网络 | 工作负载集群网络 | 全部 | 允许所有内部集群通信 |
| jumpbox-to-k8s | Jumpbox IP | 管理集群网络、工作负载集群网络 | TCP:6443* | 允许 Jumpbox 创建管理集群和管理集群。 |
| dhcp | 任意 | NSX:任意 / 无 NSX:DHCP IP | DHCP | 允许主机获取 DHCP 地址。 |
| mc-pods-internal | 管理集群 pod 网络 | SERVICE_CIDR 和 CLUSTER_CIDR 内的 .1 地址 |
TCP:* | 允许管理集群上的 Pod 的内部流量传输到 Kubernetes API 服务器和工作负载集群上的 Pod |
| to-harbor | 管理集群网络、工作负载集群网络、jumpbox IP | Harbor IP | HTTPS | 允许组件检索容器映像 |
| 到 vCenter | 管理集群网络、工作负载集群网络、jumpbox IP | vCenter IP | HTTPS | 允许组件访问 vSphere 以创建虚拟机和存储卷 |
| dns-ntp-outbound | 管理集群网络、工作负载集群网络、jumpbox IP | DNS、NTP 服务器 | DNS、NTP | 核心服务 |
| ssh-to-jumpbox | 任意 | Jumpbox IP | SSH | 从外部访问 Jumpbox |
| 对于外部身份提供程序 | ||||
| allow-pinniped | 工作负载集群网络 | 管理集群网络 | TCP:31234 | 允许工作负载集群上的 Pinniped Concierge 访问管理集群上的 Pinniped 主管,该管理集群可能在“NodePort”或“LoadBalancer”服务后面运行 |
| bootstrap-allow-pinniped | 引导计算机** | 管理集群网络 | TCP:31234 | 允许引导计算机访问管理集群上的 Pinniped 主管,管理集群可能在“NodePort”或“LoadBalancer”服务后面运行 |
| 对于 NSX ALB*** | ||||
| avi-nodeport | Avi SE | 任何工作负载集群 | TCP:30000-32767 | 对于 L4 和 L7 虚拟服务的“NodePort”模式(默认)集群,允许 NSX ALB SE(服务引擎)流量传输到 Pod |
| avi-nodeportlocal | Avi SE | 任何工作负载集群 | TCP:61000-62000 | 对于 L4 和 L7 虚拟服务的“NodePortLocal”模式集群,允许 NSX ALB SE 流量传输到 Pod |
| ako-to-avi | 管理集群网络、工作负载集群网络 | Avi 控制器** | TCP:443 | 允许 Avi Kubernetes Operator (AKO) 和 AKO Operator (AKOO) 访问 Avi 控制器 |
| avi-to-nsxt | Avi 控制器 | VMware NSX (以前称为 NSX-T) | TCP:443 | 如果 Avi 使用 NSX-T Cloud Connector,则允许 Avi 控制器访问 VMware NSX |
| 默认全部拒绝规则 | ||||
| deny-all | 任意 | 任意 | 全部 | 默认决绝 |
- *您可以使用
CLUSTER_API_SERVER_PORT覆盖端口 6443 设置,也可以在具有 NSX Advanced Load Balancer、VSPHERE_CONTROL_PLANE_ENDPOINT_PORT集群配置变量的环境中覆盖端口 6443 设置。
** 引导计算机是运行 Tanzu CLI 命令的位置。它可以是 Jumpbox(通过 SSH 建立连接的远程计算机)、本地计算机或 CI/CD 主机。
*** 有关 NSX Advanced Load Balancer(以前称为 Avi Vantage)所需的其他防火墙规则,请参见 Avi Networks 文档中的 Avi Vantage 用于管理通信的协议端口。
合规性和强化
您可以将支持 FIPS 的 Tanzu Kubernetes Grid 2.1.0 和 2.1.1 版本部署到 vSphere、AWS 或 Azure 环境中。FIPS 的物料清单 (BoM) 仅列出使用 符合 FIPS 的加密模块编译的组件。有关详细信息,请参见《独立管理集群要求》中的支持 FIPS 的版本。
您可以强化 Tanzu Kubernetes Grid (TKG),以实现运维授权 (ATO)。TKG 版本根据美国国防信息系统局安全技术实施指南 (DISA STIG)、网络安全和基础架构安全局 (CISA) 和国家安全局(National Security Agency,NSA)框架以及美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)准则不断验证。最新的 TKG 合规性文档是《Tanzu Kubernetes Grid 2.1 合规性和强化》。
