Sicherheit und Konformität
Für Tanzu Kubernetes Grid (TKG) mit einem eigenständigen Verwaltungscluster werden in diesem Thema Ressourcen zur Sicherung der Infrastruktur und Einhaltung von Netzwerksicherheitsrichtlinien aufgelistet.
Informationen zu TKG mit einem Supervisor finden Sie unter vSphere with Tanzu Security in der Dokumentation zu vSphere 8.
Ports und Protokolle
Von Tanzu Kubernetes Grid verwendete Netzwerkports und -protokolle werden im VMware Ports and Protocols-Tool aufgelistet.
Für jeden internen Kommunikationspfad auf listet VMware Ports and Protocols Folgendes auf:
- Produkt
- Version
- Quelle
- Ziel
- Ports
- Protokolle
- Zweck
- Dienstbeschreibung
- Klassifizierung (ausgehend, eingehend oder bidirektional)
Sie können diese Informationen verwenden, um Firewallregeln zu konfigurieren.
Tanzu Kubernetes Grid-Firewallregeln
| Name | Quelle | Ziel | Dienst(:Port) | Zweck |
|---|---|---|---|---|
| workload-to-mgmt | Arbeitslastcluster-Netzwerk | Verwaltungscluster-Netzwerk | TCP:6443* | Zulassen, dass der Arbeitslastcluster beim Verwaltungscluster registriert wird |
| mgmt-to-workload | Verwaltungscluster-Netzwerk | Arbeitslastcluster-Netzwerk | TCP:6443*, 5556 | Zulassen, dass das Verwaltungsnetzwerk den Arbeitslastcluster konfiguriert |
| allow-mgmt-subnet | Verwaltungscluster-Netzwerk | Verwaltungscluster-Netzwerk | allen | Gesamte interne Clusterkommunikation zulassen |
| allow-wl-subnet | Arbeitslastcluster-Netzwerk | Arbeitslastcluster-Netzwerk | allen | Gesamte interne Clusterkommunikation zulassen |
| jumpbox-to-k8s | jumpbox IP | Verwaltungscluster-Netzwerk, Arbeitslastcluster-Netzwerk | TCP:6443* | Zulassen, dass Jumpbox Verwaltungscluster erstellt und Cluster verwaltet. |
| dhcp | alle | NSX: beliebig / kein NSX: DHCP-IP | DHCP | Ermöglicht Hosts das Abrufen von DHCP-Adressen. |
| mc-pods-internal | Pod-Netzwerk des Verwaltungsclusters | .1-Adresse innerhalb von SERVICE_CIDR und CLUSTER_CIDR |
TCP:* | Ermöglicht internen Datenverkehr von Pods im Verwaltungscluster zum Kubernetes-API-Server und zu Pods in Arbeitslastclustern |
| to-harbor | Verwaltungscluster-Netzwerk, Arbeitslastcluster-Netzwerk, Jumpbox-IP | Harbor-IP | HTTPS | Ermöglicht Komponenten das Abrufen von Container-Images |
| to-vcenter | Verwaltungscluster-Netzwerk, Arbeitslastcluster-Netzwerk, Jumpbox-IP | vCenter-IP | HTTPS | Ermöglicht Komponenten den Zugriff auf vSphere zum Erstellen von VMs und Speichervolumes |
| dns-ntp-outbound | Verwaltungscluster-Netzwerk, Arbeitslastcluster-Netzwerk, Jumpbox-IP | DNS, NTP-Server | DNS, NTP | Kerndienste |
| ssh-to-jumpbox | alle | jumpbox IP | SSH | Zugriff von außerhalb auf die Jumpbox |
| Für externe Identitätsanbieter | ||||
| allow-pinniped | Arbeitslastcluster-Netzwerk | Verwaltungscluster-Netzwerk | TCP:31234 | Erlauben Sie dem Pinniped-Concierge im Arbeitslastcluster Zugriff auf den Pinniped-Supervisor auf dem Verwaltungscluster, der möglicherweise hinter einem NodePort- oder Lastausgleichsdienst ausgeführt wird |
| bootstrap-allow-pinniped | Bootstrap-Maschine** | Verwaltungscluster-Netzwerk | TCP:31234 | Erlauben Sie der Bootstrap-Maschine Zugriff auf den Pinniped-Supervisor auf dem Verwaltungscluster, der möglicherweise hinter einem NodePort- oder Lastausgleichsdienst ausgeführt wird |
| Für NSX ALB*** | ||||
| avi-nodeport | Avi SE | beliebiger Arbeitslastcluster | TCP:30000-32767 | NSX ALB SE-Datenverkehr (Dienst-Engine) zu Pods für Cluster im NodePort-Modus (Standard) für virtuelle L4- und L7-Dienste zulassen |
| avi-nodeportlocal | Avi SE | beliebiger Arbeitslastcluster | TCP:61000-62000 | NSX ALB SE-Datenverkehr zu Pods für Cluster im NodePortLocal-Modus für virtuelle L4- und L7-Dienste zulassen |
| ako-to-avi | Verwaltungscluster-Netzwerk, Arbeitslastcluster-Netzwerk | AVI-Controller** | TCP:443 | Zulassen, dass Avi Kubernetes Operator (AKO) und AKO Operator (AKOO) auf Avi Controller zugreifen |
| avi-to-nsxt | Avi-Controller | VMware NSX (ehemals NSX-T) | TCP:443 | Avi-Controllern Zugriff auf VMware NSX gewähren, wenn Avi den NSX-T-Cloud-Connector verwendet |
| Standardmäßige „deny-all“-Regel | ||||
| deny-all | alle | alle | allen | Standardmäßig verweigern |
- Sie können die Einstellung für Port 6443 mit der
CLUSTER_API_SERVER_PORToder für Umgebungen mit NSX Advanced Load Balancer mit derVSPHERE_CONTROL_PLANE_ENDPOINT_PORT-Cluster-Konfigurationsvariable überschreiben.
** Auf der Bootstrap-Maschine werden die Tanzu CLI-Befehle ausgeführt. Es kann sich um eine Jumpbox (eine Remote-Maschine, zu der Sie eine Verbindung über SSH herstellen), Ihre lokale Maschine oder einen CI/CD-Host handeln.
*** Weitere Firewallregeln, die für NSX Advanced Load Balancer (früher als Avi Vantage bezeichnet) erforderlich sind, finden Sie unter Protocol Ports Used by Avi Vantage for Management Communication in der Dokumentation zu Avi Networks.
Konformität und Absicherung
Sie können FIPS-fähige Versionen von Tanzu Kubernetes Grid 2.1.0 und 2.1.1 in Ihrer vSphere-, AWS- oder Azure-Umgebung bereitstellen. Die Stückliste (BoM) für FIPS listet nur Komponenten auf, die mit FIPS-konformen Kryptografiemodulen kompiliert sind und diese verwenden. Weitere Informationen finden Sie unter FIPS-fähige Version in Anforderungen für eigenständige Verwaltungscluster.
Sie können Tanzu Kubernetes Grid (TKG) absichern, um eine ATO (Authority to Operate) zu erhalten. Die TKG-Versionen werden kontinuierlich anhand der Defense Information Systems Agency Security Technical Implementation Guides (DISA STIG), des Cybersecurity and Infrastructure Security Agency (CISA)- und des National Security Agency (NSA)-Frameworks sowie der Richtlinien des National Institute of Standards and Technology (NIST) validiert. Bei Konformität und Absicherung für Tanzu Kubernetes Grid 2.1 handelt es sich um das aktuelle TKG-Konformitätsdokument.
