This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

Seguridad y conformidad

Para Tanzu Kubernetes Grid (TKG) con un clúster de administración independiente, en este tema se enumeran los recursos para proteger la infraestructura y cumplir con las directivas de seguridad de red.

Para TKG con un supervisor, consulte Seguridad de vSphere with Tanzu en la documentación de vSphere 8.

Puertos y protocolos

Los protocolos y los puertos de red utilizados por Tanzu Kubernetes Grid se enumeran en la herramienta VMware Ports and Protocols.

Para cada ruta de comunicación interna, VMware Ports and Protocols enumera:

  • Producto
  • Versión
  • Origen
  • Destino
  • Puertos
  • Protocolos
  • Propósito
  • Descripción del servicio
  • Clasificación (saliente, entrante o bidireccional)

Puede utilizar esta información para configurar reglas de firewall.

Reglas de firewall de Tanzu Kubernetes Grid

Nombre Origen Destino Servicio(:puerto) Propósito
workload-to-mgmt red de clúster de carga de trabajo red de clúster de administración TCP:6443* Permitir que el clúster de carga de trabajo se registre en el clúster de administración
admt-to-workload red de clúster de administración red de clúster de carga de trabajo TCP:6443*, 5556 Permitir que la red de administración configure el clúster de carga de trabajo
cloud-mgmt-subnet red de clúster de administración red de clúster de administración todo Permitir la comunicación de todos los clústeres internos
system-wl-subnet red de clúster de carga de trabajo red de clúster de carga de trabajo todo Permitir la comunicación de todos los clústeres internos
jumpbox-to-k8s IP de Jumpbox Red de clúster de administración, red de clúster de carga de trabajo TCP:6443* Permita que la jumpbox cree un clúster de administración y administre clústeres.
dhcp cualquiera NSX: cualquiera o ningún NSX: IP de DHCP DHCP Permite que los hosts obtengan direcciones DHCP.
mc-pods-internal red de pods de clústeres de administración .1 dirección en SERVICE_CIDR y CLUSTER_CIDR TCP:* Permite el tráfico interno desde los pods en el clúster de administración hasta el servidor de API de Kubernetes y los pods en clústeres de carga de trabajo.
to-harbor red de clúster de administración, red de clúster de carga de trabajo, IP de Jumpbox IP de Harbor HTTPS Permite que los componentes recuperen imágenes de contenedor
to-vcenter red de clúster de administración, red de clúster de carga de trabajo, IP de Jumpbox IP de vCenter HTTPS Permite que los componentes accedan a vSphere para crear máquinas virtuales y volúmenes de almacenamiento
dns-ntp-outbound red de clúster de administración, red de clúster de carga de trabajo, IP de Jumpbox DNS, servidores NTP DNS, NTP Servicios principales
ssh-to-jumpbox cualquiera IP de Jumpbox SSH Acceder desde fuera a la jumpbox
Para proveedor de identidad externo
allow-pinniped red de clúster de carga de trabajo red de clúster de administración TCP:31234 Permitir que el ayudante de Pinniped en el clúster de carga de trabajo acceda al supervisor de Pinniped en el clúster de administración, que puede estar ejecutándose detrás de un servicio NodePort o LoadBalancer
bootstrap-allow-pinniped Máquina de arranque** red de clúster de administración TCP:31234 Permitir que la máquina de arranque acceda al supervisor de Pinniped en el clúster de administración, que puede estar ejecutándose detrás de un servicio NodePort o LoadBalancer
Para NSX ALB***
avi-nodeport Avi SE cualquier clúster de carga de trabajo TCP:30000-32767 Permitir tráfico del SE (motor de servicio) NSX ALB a los pods, para los clústeres en el modo NodePort (predeterminado) para los servicios virtuales de capa 4 y capa 7
avi-nodeportlocal Avi SE cualquier clúster de carga de trabajo TCP:61000-62000 Permitir tráfico del SE NSX ALB a los pods, para los clústeres en el modo NodePortLocal para los servicios virtuales de capa 4 y capa 7
ako-to-avi Red de clúster de administración, red de clúster de carga de trabajo Controlador AVI** TCP:443 Permitir el acceso del operador de AVI Kubernetes (AKO) y el operador de AKO (AKOO) al controlador AVI
avi-a-nsxt Controlador AVI VMware NSX (anteriormente NSX-T) TCP:443 Permitir que el controlador AVI acceda a VMware NSX si AVI utiliza NSX-T Cloud Connector
Regla predeterminada de denegación de todo
denegar todo cualquiera cualquiera todo denegar de forma predeterminada
  • Puede anular el ajuste del puerto 6443 con la variable de configuración del clúster CLUSTER_API_SERVER_PORT o para entornos con NSX Advanced Load Balancer, VSPHERE_CONTROL_PLANE_ENDPOINT_PORT.

** La máquina de arranque es donde se ejecutan los comandos de la CLI de Tanzu. Puede ser una jumpbox (una máquina remota con la que se establece una conexión a través de SSH), la máquina local o un host de CI/CD.

*** Para ver las reglas de firewall adicionales necesarias para NSX Advanced Load Balancer, anteriormente conocido como Avi Vantage, consulte Puertos de protocolo utilizados por Avi Vantage para la comunicación de administración en la documentación de Avi Networks.

Conformidad y fortalecimiento

Puede implementar versiones compatibles con FIPS de Tanzu Kubernetes Grid 2.1.0 y 2.1.1 en el entorno de vSphere, AWS o Azure. La lista de materiales (BoM) para FIPS solo enumera los componentes que se compilan y utilizan módulos de criptografía compatibles con FIPS. Para obtener más información, consulte Versión compatible con FIPS en Requisitos del clúster de administración independiente.

Puede proteger Tanzu Kubernetes Grid (TKG) para lograr una autoridad para operar (ATO). Las versiones de TKG se validan continuamente con respecto a las guías de implementación técnica de seguridad (STIG) de la Agencia de Sistemas de Información de Defensa (DISA), el marco general de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Agencia de Seguridad Nacional (NSA), así como las directrices del Instituto Nacional de Estándares y Tecnología (NIST). El documento de conformidad de TKG más reciente es Conformidad y fortalecimiento de Tanzu Kubernetes Grid 2.1.

check-circle-line exclamation-circle-line close-line
Scroll to top icon