This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

Sicherheit und Konformität

Für Tanzu Kubernetes Grid (TKG) mit einem eigenständigen Verwaltungscluster werden in diesem Thema Ressourcen zur Sicherung der Infrastruktur und Einhaltung von Netzwerksicherheitsrichtlinien aufgelistet.

Informationen zu TKG mit einem Supervisor finden Sie unter vSphere with Tanzu Security in der Dokumentation zu vSphere 8.

Ports und Protokolle

Von Tanzu Kubernetes Grid verwendete Netzwerkports und -protokolle werden im VMware Ports and Protocols-Tool aufgelistet.

Für jeden internen Kommunikationspfad auf listet VMware Ports and Protocols Folgendes auf:

  • Produkt
  • Version
  • Quelle
  • Ziel
  • Ports
  • Protokolle
  • Zweck
  • Dienstbeschreibung
  • Klassifizierung (ausgehend, eingehend oder bidirektional)

Sie können diese Informationen verwenden, um Firewallregeln zu konfigurieren.

Tanzu Kubernetes Grid-Firewallregeln

Name Quelle Ziel Dienst(:Port) Zweck
workload-to-mgmt Arbeitslastcluster-Netzwerk Verwaltungscluster-Netzwerk TCP:6443* Zulassen, dass der Arbeitslastcluster beim Verwaltungscluster registriert wird
mgmt-to-workload Verwaltungscluster-Netzwerk Arbeitslastcluster-Netzwerk TCP:6443*, 5556 Zulassen, dass das Verwaltungsnetzwerk den Arbeitslastcluster konfiguriert
allow-mgmt-subnet Verwaltungscluster-Netzwerk Verwaltungscluster-Netzwerk allen Gesamte interne Clusterkommunikation zulassen
allow-wl-subnet Arbeitslastcluster-Netzwerk Arbeitslastcluster-Netzwerk allen Gesamte interne Clusterkommunikation zulassen
jumpbox-to-k8s jumpbox IP Verwaltungscluster-Netzwerk, Arbeitslastcluster-Netzwerk TCP:6443* Zulassen, dass Jumpbox Verwaltungscluster erstellt und Cluster verwaltet.
dhcp alle NSX: beliebig / kein NSX: DHCP-IP DHCP Ermöglicht Hosts das Abrufen von DHCP-Adressen.
mc-pods-internal Pod-Netzwerk des Verwaltungsclusters .1-Adresse innerhalb von SERVICE_CIDR und CLUSTER_CIDR TCP:* Ermöglicht internen Datenverkehr von Pods im Verwaltungscluster zum Kubernetes-API-Server und zu Pods in Arbeitslastclustern
to-harbor Verwaltungscluster-Netzwerk, Arbeitslastcluster-Netzwerk, Jumpbox-IP Harbor-IP HTTPS Ermöglicht Komponenten das Abrufen von Container-Images
to-vcenter Verwaltungscluster-Netzwerk, Arbeitslastcluster-Netzwerk, Jumpbox-IP vCenter-IP HTTPS Ermöglicht Komponenten den Zugriff auf vSphere zum Erstellen von VMs und Speichervolumes
dns-ntp-outbound Verwaltungscluster-Netzwerk, Arbeitslastcluster-Netzwerk, Jumpbox-IP DNS, NTP-Server DNS, NTP Kerndienste
ssh-to-jumpbox alle jumpbox IP SSH Zugriff von außerhalb auf die Jumpbox
Für externe Identitätsanbieter
allow-pinniped Arbeitslastcluster-Netzwerk Verwaltungscluster-Netzwerk TCP:31234 Erlauben Sie dem Pinniped-Concierge im Arbeitslastcluster Zugriff auf den Pinniped-Supervisor auf dem Verwaltungscluster, der möglicherweise hinter einem NodePort- oder Lastausgleichsdienst ausgeführt wird
bootstrap-allow-pinniped Bootstrap-Maschine** Verwaltungscluster-Netzwerk TCP:31234 Erlauben Sie der Bootstrap-Maschine Zugriff auf den Pinniped-Supervisor auf dem Verwaltungscluster, der möglicherweise hinter einem NodePort- oder Lastausgleichsdienst ausgeführt wird
Für NSX ALB***
avi-nodeport Avi SE beliebiger Arbeitslastcluster TCP:30000-32767 NSX ALB SE-Datenverkehr (Dienst-Engine) zu Pods für Cluster im NodePort-Modus (Standard) für virtuelle L4- und L7-Dienste zulassen
avi-nodeportlocal Avi SE beliebiger Arbeitslastcluster TCP:61000-62000 NSX ALB SE-Datenverkehr zu Pods für Cluster im NodePortLocal-Modus für virtuelle L4- und L7-Dienste zulassen
ako-to-avi Verwaltungscluster-Netzwerk, Arbeitslastcluster-Netzwerk AVI-Controller** TCP:443 Zulassen, dass Avi Kubernetes Operator (AKO) und AKO Operator (AKOO) auf Avi Controller zugreifen
avi-to-nsxt Avi-Controller VMware NSX (ehemals NSX-T) TCP:443 Avi-Controllern Zugriff auf VMware NSX gewähren, wenn Avi den NSX-T-Cloud-Connector verwendet
Standardmäßige „deny-all“-Regel
deny-all alle alle allen Standardmäßig verweigern
  • Sie können die Einstellung für Port 6443 mit der CLUSTER_API_SERVER_PORT oder für Umgebungen mit NSX Advanced Load Balancer mit der VSPHERE_CONTROL_PLANE_ENDPOINT_PORT-Cluster-Konfigurationsvariable überschreiben.

** Auf der Bootstrap-Maschine werden die Tanzu CLI-Befehle ausgeführt. Es kann sich um eine Jumpbox (eine Remote-Maschine, zu der Sie eine Verbindung über SSH herstellen), Ihre lokale Maschine oder einen CI/CD-Host handeln.

*** Weitere Firewallregeln, die für NSX Advanced Load Balancer (früher als Avi Vantage bezeichnet) erforderlich sind, finden Sie unter Protocol Ports Used by Avi Vantage for Management Communication in der Dokumentation zu Avi Networks.

Konformität und Absicherung

Sie können FIPS-fähige Versionen von Tanzu Kubernetes Grid 2.1.0 und 2.1.1 in Ihrer vSphere-, AWS- oder Azure-Umgebung bereitstellen. Die Stückliste (BoM) für FIPS listet nur Komponenten auf, die mit FIPS-konformen Kryptografiemodulen kompiliert sind und diese verwenden. Weitere Informationen finden Sie unter FIPS-fähige Version in Anforderungen für eigenständige Verwaltungscluster.

Sie können Tanzu Kubernetes Grid (TKG) absichern, um eine ATO (Authority to Operate) zu erhalten. Die TKG-Versionen werden kontinuierlich anhand der Defense Information Systems Agency Security Technical Implementation Guides (DISA STIG), des Cybersecurity and Infrastructure Security Agency (CISA)- und des National Security Agency (NSA)-Frameworks sowie der Richtlinien des National Institute of Standards and Technology (NIST) validiert. Bei Konformität und Absicherung für Tanzu Kubernetes Grid 2.1 handelt es sich um das aktuelle TKG-Konformitätsdokument.

check-circle-line exclamation-circle-line close-line
Scroll to top icon