具有 主管 的 TKG Service 利用 vSphere 安全功能,并且允许置备默认安全的工作负载集群。
vSphere IaaS control plane 是 vSphere 的附加模块,能够利用 vCenter Server 和 ESXi 中内置的安全功能。有关详细信息,请参见 vSphere 安全性文档。
主管 会加密存储在数据库 (etcd) 中的所有密钥。密钥通过本地加密密钥文件进行加密,该文件由 vCenter Server 在引导时提供。解密密钥存储在 主管 控制平面节点上的内存 (tempfs) 中,并以加密形式存储在磁盘上的 vCenter Server 数据库中。该密钥以明文形式提供给每个系统的 root 用户。
相同的加密模型适用于在每个 TKG 集群控制平面上安装的数据库 (etcd) 中的数据。所有 etcd 连接都使用在安装时生成并在升级期间轮换的证书进行身份验证。当前无法手动轮换或更新证书。每个工作负载集群的数据库中保存的密钥以明文形式存储。
TKG 集群没有基础架构凭据。存储在 TKG 集群中的凭据仅够访问 TKG 集群有租户的 vSphere 命名空间。因此,集群运维人员或用户没有特权提升途径。
用于访问 TKG 集群的身份验证令牌已限定范围,因此无法使用该令牌访问 主管 或其他 TKG 集群。这可防止集群运维人员或试图破坏集群的人员在登录到 TKG 集群时使用其 root 级别访问权限捕获 vSphere 管理员的令牌。
默认情况下,TKG 集群是安全的。从 Tanzu Kubernetes 版本 v1.25 开始,TKG 集群默认启用 Pod 安全准入控制器 (PSA)。对于 Tanzu Kubernetes 版本 v1.24 及更低版本,可对任何 TKG 集群使用限制性 Pod 安全策略 (PSP)。如果开发人员需要运行特权 Pod 或根容器,集群管理员必须至少创建一个 RoleBinding,以便授予用户对默认特权 PSP 的访问权限。