Para Tanzu Kubernetes Grid (TKG) con un clúster de administración independiente, en este tema se enumeran los recursos para proteger la infraestructura y cumplir con las directivas de seguridad de red.
Para TKG con un supervisor, consulte Seguridad de vSphere with Tanzu en la documentación de vSphere 8.
Los protocolos y los puertos de red utilizados por Tanzu Kubernetes Grid se enumeran en la herramienta VMware Ports and Protocols.
Para cada ruta de comunicación interna, VMware Ports and Protocols enumera:
Puede utilizar esta información para configurar reglas de firewall.
Nombre | Origen | Destino | Servicio(:puerto) | Propósito |
---|---|---|---|---|
workload-to-mgmt | red de clúster de carga de trabajo | red de clúster de administración | TCP:6443* | Permitir que el clúster de carga de trabajo se registre en el clúster de administración |
admt-to-workload | red de clúster de administración | red de clúster de carga de trabajo | TCP:6443*, 5556 | Permitir que la red de administración configure el clúster de carga de trabajo |
cloud-mgmt-subnet | red de clúster de administración | red de clúster de administración | todo | Permitir la comunicación de todos los clústeres internos |
system-wl-subnet | red de clúster de carga de trabajo | red de clúster de carga de trabajo | todo | Permitir la comunicación de todos los clústeres internos |
jumpbox-to-k8s | IP de Jumpbox | Red de clúster de administración, red de clúster de carga de trabajo | TCP:6443* | Permita que la jumpbox cree un clúster de administración y administre clústeres. |
dhcp | cualquiera | NSX: cualquiera o ningún NSX: IP de DHCP | DHCP | Permite que los hosts obtengan direcciones DHCP. |
mc-pods-internal | red de pods de clústeres de administración | .1 dirección en SERVICE_CIDR y CLUSTER_CIDR |
TCP:* | Permite el tráfico interno desde los pods en el clúster de administración hasta el servidor de API de Kubernetes y los pods en clústeres de carga de trabajo. |
to-harbor | red de clúster de administración, red de clúster de carga de trabajo, IP de Jumpbox | IP de Harbor | HTTPS | Permite que los componentes recuperen imágenes de contenedor |
to-vcenter | red de clúster de administración, red de clúster de carga de trabajo, IP de Jumpbox | IP de vCenter | HTTPS | Permite que los componentes accedan a vSphere para crear máquinas virtuales y volúmenes de almacenamiento |
dns-ntp-outbound | red de clúster de administración, red de clúster de carga de trabajo, IP de Jumpbox | DNS, servidores NTP | DNS, NTP | Servicios principales |
ssh-to-jumpbox | cualquiera | IP de Jumpbox | SSH | Acceder desde fuera a la jumpbox |
Para proveedor de identidad externo | ||||
allow-pinniped | red de clúster de carga de trabajo | red de clúster de administración | TCP:31234 | Permitir que el ayudante de Pinniped en el clúster de carga de trabajo acceda al supervisor de Pinniped en el clúster de administración, que puede estar ejecutándose detrás de un servicio NodePort o LoadBalancer |
bootstrap-allow-pinniped | Máquina de arranque** | red de clúster de administración | TCP:31234 | Permitir que la máquina de arranque acceda al supervisor de Pinniped en el clúster de administración, que puede estar ejecutándose detrás de un servicio NodePort o LoadBalancer |
Para NSX ALB*** | ||||
avi-nodeport | Avi SE | cualquier clúster de carga de trabajo | TCP:30000-32767 | Permitir tráfico del SE (motor de servicio) NSX ALB a los pods, para los clústeres en el modo NodePort (predeterminado) para los servicios virtuales de capa 4 y capa 7 |
avi-nodeportlocal | Avi SE | cualquier clúster de carga de trabajo | TCP:61000-62000 | Permitir tráfico del SE NSX ALB a los pods, para los clústeres en el modo NodePortLocal para los servicios virtuales de capa 4 y capa 7 |
ako-to-avi | Red de clúster de administración, red de clúster de carga de trabajo | Controlador AVI** | TCP:443 | Permitir el acceso del operador de AVI Kubernetes (AKO) y el operador de AKO (AKOO) al controlador AVI |
avi-a-nsxt | Controlador AVI | VMware NSX (anteriormente NSX-T) | TCP:443 | Permitir que el controlador AVI acceda a VMware NSX si AVI utiliza NSX-T Cloud Connector |
Regla predeterminada de denegación de todo | ||||
denegar todo | cualquiera | cualquiera | todo | denegar de forma predeterminada |
CLUSTER_API_SERVER_PORT
o para entornos con NSX Advanced Load Balancer, VSPHERE_CONTROL_PLANE_ENDPOINT_PORT
.** La máquina de arranque es donde se ejecutan los comandos de la CLI de Tanzu. Puede ser una jumpbox (una máquina remota con la que se establece una conexión a través de SSH), la máquina local o un host de CI/CD.
*** Para ver las reglas de firewall adicionales necesarias para NSX Advanced Load Balancer, anteriormente conocido como Avi Vantage, consulte Puertos de protocolo utilizados por Avi Vantage para la comunicación de administración en la documentación de Avi Networks.
Puede implementar versiones compatibles con FIPS de Tanzu Kubernetes Grid 2.1.0 y 2.1.1 en el entorno de vSphere, AWS o Azure. La lista de materiales (BoM) para FIPS solo enumera los componentes que se compilan y utilizan módulos de criptografía compatibles con FIPS. Para obtener más información, consulte Versión compatible con FIPS en Requisitos del clúster de administración independiente.
Puede proteger Tanzu Kubernetes Grid (TKG) para lograr una autoridad para operar (ATO). Las versiones de TKG se validan continuamente con respecto a las guías de implementación técnica de seguridad (STIG) de la Agencia de Sistemas de Información de Defensa (DISA), el marco general de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Agencia de Seguridad Nacional (NSA), así como las directrices del Instituto Nacional de Estándares y Tecnología (NIST). El documento de conformidad de TKG más reciente es Conformidad y fortalecimiento de Tanzu Kubernetes Grid 2.1.