Der TKG-Dienst auf Supervisor nutzt vSphere-Sicherheitsfunktionen und ermöglicht die Bereitstellung von Arbeitslastclustern, die standardmäßig sicher sind.

vSphere IaaS control plane ist ein Add-On-Modul für vSphere, das die in vCenter Server und ESXi integrierten Sicherheitsfunktionen nutzen kann. Weitere Informationen finden Sie in der Dokumentation zu vSphere-Sicherheit .

Supervisor verschlüsselt alle geheimen Schlüssel, die in der Datenbank (etcd) gespeichert werden. Die geheimen Schlüssel werden über eine lokale Verschlüsselungsschlüsseldatei verschlüsselt, die beim Start von vCenter Server bereitgestellt wird. Der Entschlüsselungsschlüssel wird im Arbeitsspeicher (tempfs) auf den Supervisor-Knoten der Steuerungsebene und auf der Festplatte in verschlüsselter Form innerhalb der vCenter Server-Datenbank gespeichert. Der Schlüssel steht den Root-Benutzern jedes Systems als Klartext zur Verfügung.

Dasselbe Verschlüsselungsmodell gilt für die Daten in der Datenbank (etcd), die auf jeder TKG-Cluster-Steuerungsebene installiert ist. Alle etcd-Verbindungen werden mit Zertifikaten authentifiziert, die bei der Installation generiert und während Upgrades rotiert werden. Eine manuelle Rotation oder Aktualisierung der Zertifikate ist derzeit nicht möglich. Die in der Datenbank befindlichen geheimen Schlüssel aller Arbeitslastcluster werden in Klartext gespeichert.

Ein TKG-Cluster verfügt nicht über Infrastrukturanmeldedaten. Die Anmeldedaten, die in einem TKG-Cluster gespeichert werden, reichen nur für den Zugriff auf den vSphere-Namespace aus, in dem der TKG-Cluster mandantenfähig ist. Infolgedessen gibt es für Clusteroperatoren oder Benutzer keinen Eskalationsweg für Rechte.

Das für den Zugriff auf einen TKG-Cluster verwendete Authentifizierungstoken wird so skaliert, dass das Token nicht für den Zugriff auf den Supervisor oder andere TKG-Cluster genutzt werden kann. Dadurch wird verhindert, dass Clusteroperatoren oder Personen, die möglicherweise versuchen, einen Cluster zu kompromittieren, ihren Zugriff auf Root-Ebene nutzen, um bei der Anmeldung bei einem TKG-Cluster das Token eines vSphere-Administrators zu erfassen.

Ein TKG-Cluster ist standardmäßig sicher. Ab Tanzu Kubernetes-Version v1.25 ist für TKG-Cluster standardmäßig die Zugangssteuerung „Pod-Sicherheit“ (Pods Security Admission, PSA) aktiviert. Für Tanzu Kubernetes-Versionen bis v1.24 ist für jeden TKG-Cluster eine restriktive Pod-Sicherheitsrichtlinie (Pod Security Policy, PSP) verfügbar. Wenn Entwickler berechtigte Pods oder Root-Container ausführen müssen, muss ein Cluster-Administrator mindestens ein RoleBinding-Objekt erstellen, das dem Benutzer Zugriff auf die berechtigten Standard-PSP gewährt.