本节提供了有关管理 TKG Service 集群安全的信息。 后续主题 TKG Service 集群的安全性具有 主管 的 TKG Service 利用 vSphere 安全功能,并且允许置备默认安全的工作负载集群。 为 TKR 1.25 及更高版本配置 PSATanzu Kubernetes 版本 v1.25 及更高版本支持 Pod 安全准入 (PSA) 控制器。借助 PSA,可以使用命名空间标签统一实施 Pod 安全。 为 TKR 1.24 及更低版本配置 PSP主管 上的 TKG 使用 Pod 安全策略准入控制器来支持 Pod 安全,默认情况下,已为使用 TKR v1.24 及更低版本的 Tanzu Kubernetes 集群启用该控制器。 将默认 Pod 安全策略应用于 TKG Service 集群使用 TKR 1.24 及更低版本的 TKG Service 集群包括可绑定到的默认 Pod 安全策略,以进行特权和受限工作负载部署。 管理 TKG Service 集群的 TLS 证书vSphere IaaS control plane 使用传输层安全 (Transport Layer Security, TLS) 加密来保护组件之间的通信。主管 上的 TKG 包括多个支持此加密基础架构的 TLS 证书。主管 证书轮换需手动执行。TKG 证书轮换自动执行,但如有必要,可以手动执行。 轮换 NSX 证书主管 使用 TLS 在 主管 与 NSX 之间进行通信。如果已部署具有 NSX 网络堆栈的 主管,则可能需要轮换各种 NSX 证书。
