Seguridad y conformidad

Para Tanzu Kubernetes Grid (TKG) con un clúster de administración independiente, en este tema se enumeran los recursos para proteger la infraestructura y cumplir con las directivas de seguridad de red.

Para TKG con un supervisor, consulte Seguridad de vSphere with Tanzu en la documentación de vSphere 8.

Puertos y protocolos

Los protocolos y los puertos de red utilizados por Tanzu Kubernetes Grid se enumeran en la herramienta VMware Ports and Protocols.

Para cada ruta de comunicación interna, VMware Ports and Protocols enumera:

Producto
Versión
Origen
Destino
Puertos
Protocolos
Propósito
Descripción del servicio
Clasificación (saliente, entrante o bidireccional)

Puede utilizar esta información para configurar reglas de firewall.

Reglas de firewall de Tanzu Kubernetes Grid

Nombre	Origen	Destino	Servicio(:puerto)	Propósito
workload-to-mgmt	red de clúster de carga de trabajo	red de clúster de administración	TCP:6443*	Permitir que el clúster de carga de trabajo se registre en el clúster de administración
admt-to-workload	red de clúster de administración	red de clúster de carga de trabajo	TCP:6443*, 5556	Permitir que la red de administración configure el clúster de carga de trabajo
cloud-mgmt-subnet	red de clúster de administración	red de clúster de administración	todo	Permitir la comunicación de todos los clústeres internos
system-wl-subnet	red de clúster de carga de trabajo	red de clúster de carga de trabajo	todo	Permitir la comunicación de todos los clústeres internos
jumpbox-to-k8s	IP de Jumpbox	Red de clúster de administración, red de clúster de carga de trabajo	TCP:6443*	Permita que la jumpbox cree un clúster de administración y administre clústeres.
dhcp	cualquiera	NSX: cualquiera o ningún NSX: IP de DHCP	DHCP	Permite que los hosts obtengan direcciones DHCP.
mc-pods-internal	red de pods de clústeres de administración	.1 dirección en `SERVICE_CIDR` y `CLUSTER_CIDR`	TCP:*	Permite el tráfico interno desde los pods en el clúster de administración hasta el servidor de API de Kubernetes y los pods en clústeres de carga de trabajo.
to-harbor	red de clúster de administración, red de clúster de carga de trabajo, IP de Jumpbox	IP de Harbor	HTTPS	Permite que los componentes recuperen imágenes de contenedor
to-vcenter	red de clúster de administración, red de clúster de carga de trabajo, IP de Jumpbox	IP de vCenter	HTTPS	Permite que los componentes accedan a vSphere para crear máquinas virtuales y volúmenes de almacenamiento
dns-ntp-outbound	red de clúster de administración, red de clúster de carga de trabajo, IP de Jumpbox	DNS, servidores NTP	DNS, NTP	Servicios principales
ssh-to-jumpbox	cualquiera	IP de Jumpbox	SSH	Acceder desde fuera a la jumpbox
Para proveedor de identidad externo
allow-pinniped	red de clúster de carga de trabajo	red de clúster de administración	TCP:31234	Permitir que el ayudante de Pinniped en el clúster de carga de trabajo acceda al supervisor de Pinniped en el clúster de administración, que puede estar ejecutándose detrás de un servicio NodePort o LoadBalancer
bootstrap-allow-pinniped	Máquina de arranque**	red de clúster de administración	TCP:31234	Permitir que la máquina de arranque acceda al supervisor de Pinniped en el clúster de administración, que puede estar ejecutándose detrás de un servicio NodePort o LoadBalancer
Para NSX ALB***
avi-nodeport	Avi SE	cualquier clúster de carga de trabajo	TCP:30000-32767	Permitir tráfico del SE (motor de servicio) NSX ALB a los pods, para los clústeres en el modo NodePort (predeterminado) para los servicios virtuales de capa 4 y capa 7
avi-nodeportlocal	Avi SE	cualquier clúster de carga de trabajo	TCP:61000-62000	Permitir tráfico del SE NSX ALB a los pods, para los clústeres en el modo NodePortLocal para los servicios virtuales de capa 4 y capa 7
ako-to-avi	Red de clúster de administración, red de clúster de carga de trabajo	Controlador AVI**	TCP:443	Permitir el acceso del operador de AVI Kubernetes (AKO) y el operador de AKO (AKOO) al controlador AVI
avi-a-nsxt	Controlador AVI	VMware NSX (anteriormente NSX-T)	TCP:443	Permitir que el controlador AVI acceda a VMware NSX si AVI utiliza NSX-T Cloud Connector
Regla predeterminada de denegación de todo
denegar todo	cualquiera	cualquiera	todo	denegar de forma predeterminada

Puede anular el ajuste del puerto 6443 con la variable de configuración del clúster CLUSTER_API_SERVER_PORT o para entornos con NSX Advanced Load Balancer, VSPHERE_CONTROL_PLANE_ENDPOINT_PORT.

** La máquina de arranque es donde se ejecutan los comandos de la CLI de Tanzu. Puede ser una jumpbox (una máquina remota con la que se establece una conexión a través de SSH), la máquina local o un host de CI/CD.

*** Para ver las reglas de firewall adicionales necesarias para NSX Advanced Load Balancer, anteriormente conocido como Avi Vantage, consulte Puertos de protocolo utilizados por Avi Vantage para la comunicación de administración en la documentación de Avi Networks.

Conformidad y fortalecimiento

Puede implementar versiones compatibles con FIPS de Tanzu Kubernetes Grid 2.1.0 y 2.1.1 en el entorno de vSphere, AWS o Azure. La lista de materiales (BoM) para FIPS solo enumera los componentes que se compilan y utilizan módulos de criptografía compatibles con FIPS. Para obtener más información, consulte Versión compatible con FIPS en Requisitos del clúster de administración independiente.

Puede proteger Tanzu Kubernetes Grid (TKG) para lograr una autoridad para operar (ATO). Las versiones de TKG se validan continuamente con respecto a las guías de implementación técnica de seguridad (STIG) de la Agencia de Sistemas de Información de Defensa (DISA), el marco general de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Agencia de Seguridad Nacional (NSA), así como las directrices del Instituto Nacional de Estándares y Tecnología (NIST). El documento de conformidad de TKG más reciente es Conformidad y fortalecimiento de Tanzu Kubernetes Grid 2.1.