vSphere with Tanzu aprovecha las funciones de seguridad de vSphere y aprovisiona los clústeres de Tanzu Kubernetes que sean seguros de forma predeterminada.
vSphere with Tanzu es un módulo complementario para vSphere que puede aprovechar las funciones de seguridad integradas en vCenter Server y ESXi. Para obtener más información, consulte la documentación de Seguridad de vSphere.
clúster supervisor cifra todos los secretos almacenados en la base de datos (etcd). Los secretos se cifran a través de un archivo de clave de descifrado local, que vCenter Server proporciona en el arranque. La clave de descifrado se almacena en la memoria (tempfs) en los nodos de clúster supervisor y en el disco de forma cifrada dentro de la base de datos de vCenter Server. La clave está disponible en texto no cifrado para los usuarios raíz de cada sistema. Los secretos que se encuentran en la base de datos de cada clúster de carga de trabajo se almacenan en texto no cifrado. Todas las conexiones etcd se autentican con certificados que se generan en la instalación y se rotan durante las actualizaciones. Actualmente no es posible rotar o actualizar manualmente los certificados.
A partir vSphere 7.0 Update 2, puede ejecutar pods de vSphere confidenciales en un clúster supervisor en sistemas AMD. Puede crear pods de vSphere confidenciales agregando el estado de cifrado SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES) como una mejora de seguridad. Para obtener más información, consulte Implementar un pod de vSphere confidencial.
Un clúster de Tanzu Kubernetes está protegido de forma predeterminada. La instancia restrictiva de PodSecurityPolicy (PSP) está disponible para cualquier clúster de Tanzu Kubernetes que aprovisione servicio Tanzu Kubernetes Grid. Si los desarrolladores necesitan ejecutar contenedores raíz o pods con privilegios, al menos un administrador de clústeres deberá crear un objeto RoleBinding que otorgue acceso de usuario a la PSP con privilegios predeterminada. Para obtener más información, consulte Usar las directivas de seguridad de pods con clústeres de Tanzu Kubernetes.
Un clúster de Tanzu Kubernetes no tiene credenciales de infraestructura. Las credenciales que se almacenan en un clúster de Tanzu Kubernetes solo son suficientes para acceder al espacio de nombres de vSphere donde el clúster de Tanzu Kubernetes es tenant. Por ello, no existe la posibilidad de realizar la escalación de privilegios para los operadores de clústeres ni los usuarios.
Los tokens de autenticación que se utilizan para acceder a los clústeres de Tanzu Kubernetes se incluyen en el ámbito de manera que no se pueden utilizar para acceder al clúster supervisor. De este modo, se evita que los operadores del clúster, o los individuos que puedan intentar poner en peligro un clúster, utilicen el acceso de nivel raíz para capturar un token de administrador de vSphere cuando inicien sesión en un clúster de Tanzu Kubernetes.