El servicio TKG con Supervisor aprovecha las funciones de seguridad de vSphere y aprovisiona los clústeres de carga de trabajo que son seguros de forma predeterminada.

vSphere IaaS control plane es un módulo complementario para vSphere que puede aprovechar las funciones de seguridad integradas en vCenter Server y ESXi. Para obtener más información, consulte la documentación de Seguridad de vSphere.

Supervisor cifra todos los secretos almacenados en la base de datos (etcd). Los secretos se cifran a través de un archivo de clave de cifrado local, que vCenter Server proporciona en el arranque. La clave de descifrado se almacena en la memoria (tempfs) en los nodos del plano de control de Supervisor y en el disco de forma cifrada dentro de la base de datos de vCenter Server. La clave está disponible en texto no cifrado para los usuarios raíz de cada sistema.

El mismo modelo de cifrado se aplica a los datos de la base de datos (etcd) que está instalada en cada plano de control de clúster de TKG. Todas las conexiones etcd se autentican con certificados que se generan en la instalación y se rotan durante las actualizaciones. Actualmente no es posible rotar o actualizar manualmente los certificados. Los secretos que se encuentran en la base de datos de cada clúster de carga de trabajo se almacenan en texto no cifrado.

Un clúster de TKG no tiene credenciales de infraestructura. Las credenciales que se almacenan en un clúster de TKG solo son suficientes para acceder al espacio de nombres de vSphere donde el clúster de TKG es tenant. Por ello, no existe la posibilidad de realizar la escalación de privilegios para los operadores de clústeres ni los usuarios.

El token de autenticación utilizado para acceder a un clúster de TKG tiene un ámbito tal que el token no se puede usar para acceder al Supervisor o a otros clústeres de TKG. De este modo, se evita que los operadores del clúster, o los individuos que puedan intentar poner en peligro un clúster, utilicen el acceso de nivel raíz para capturar un token de administrador de vSphere cuando inicien sesión en un clúster de TKG.

Un clúster de TKG está protegido de forma predeterminada. A partir de versión de Tanzu Kubernetes v1.25, los clústeres de TKG tienen la controladora de administración de seguridad de pods (Pods Security Adminission, PSA) habilitada de forma predeterminada. Para versiones de Tanzu Kubernetes hasta la versión 1.24, la directiva de seguridad de pods (Pod Security Policy, PSP) restrictiva está disponible para todo clúster de TKG. Si los desarrolladores necesitan ejecutar contenedores raíz o pods con privilegios, al menos un administrador de clústeres deberá crear un objeto RoleBinding que otorgue acceso de usuario a la PSP con privilegios predeterminada.