vSphere IaaS control plane aprovecha las funciones de seguridad de vSphere y aprovisiona los clústeres de Tanzu Kubernetes Grid que sean seguros de forma predeterminada.

vSphere IaaS control plane es un módulo complementario para vSphere que puede aprovechar las funciones de seguridad integradas en vCenter Server y ESXi. Para obtener más información, consulte la documentación de Seguridad de vSphere.

Supervisor cifra todos los secretos almacenados en la base de datos (etcd). Los secretos se cifran a través de un archivo de clave de cifrado local, que vCenter Server proporciona en el arranque. La clave de descifrado se almacena en la memoria (tempfs) en los nodos de Supervisor y en el disco de forma cifrada dentro de la base de datos de vCenter Server. La clave está disponible en texto no cifrado para los usuarios raíz de cada sistema. Los secretos que se encuentran en la base de datos de cada clúster de carga de trabajo se almacenan en texto no cifrado. Todas las conexiones etcd se autentican con certificados que se generan en la instalación y se rotan durante las actualizaciones. Actualmente no es posible rotar o actualizar manualmente los certificados. El mismo modelo de cifrado se aplica a los datos de la base de datos (etcd) que está instalada en el plano de control de cada clúster de Tanzu Kubernetes Grid.

En un Supervisor puede ejecutar pods de vSphere confidenciales en sistemas compatibles. Puede crear pods de vSphere confidenciales agregando el estado de cifrado SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES) como una mejora de seguridad. Para obtener más información, consulte Implementar un pod de vSphere confidencial en Servicios y cargas de trabajo del plano de control de IaaS de vSphere.

Un clúster de Tanzu Kubernetes Grid está protegido de forma predeterminada. La instancia restrictiva de PodSecurityPolicy (PSP) está disponible para cualquier clúster de Tanzu Kubernetes Grid. Si los desarrolladores necesitan ejecutar contenedores raíz o pods con privilegios, al menos un administrador de clústeres deberá crear un objeto RoleBinding que otorgue acceso de usuario a la PSP con privilegios predeterminada. Para obtener más información, consulte Uso del servicio TKG con el plano de control de IaaS de vSphere.

Un clúster de Tanzu Kubernetes Grid no tiene credenciales de infraestructura. Las credenciales que se almacenan en un clúster de Tanzu Kubernetes Grid solo son suficientes para acceder al espacio de nombres de vSphere donde el clúster de Tanzu Kubernetes Grid es tenant. Por ello, no existe la posibilidad de realizar la escalación de privilegios para los operadores de clústeres ni los usuarios.

El token de autenticación utilizado para acceder a un clúster de Tanzu Kubernetes Grid tiene un ámbito tal que el token no se puede usar para acceder al Supervisor o a otros clústeres de Tanzu Kubernetes Grid. De este modo, se evita que los operadores del clúster, o los individuos que puedan intentar poner en peligro un clúster, utilicen el acceso de nivel raíz para capturar un token de administrador de vSphere cuando inicien sesión en un clúster de Tanzu Kubernetes Grid.