Sécurité et conformité

Pour Tanzu Kubernetes Grid (TKG) avec un cluster de gestion autonome, cette rubrique répertorie les ressources pour sécuriser l'infrastructure et se conformer aux stratégies de sécurité réseau.

Pour TKG avec un superviseur, reportez-vous à la section Sécurité de vSphere with Tanzu de la documentation de vSphere 8.

Ports et protocoles

Les ports et protocoles de mise en réseau utilisés par Tanzu Kubernetes Grid sont répertoriés dans l'outil VMware Ports and Protocols.

Pour chaque chemin de communication interne, VMware Ports and Protocols répertorie les points suivants :

Produit
Version
Source
Destination
Ports
Protocoles
Objectif
Description du service
Classification (sortante, entrante ou bidirectionnelle)

Vous pouvez utiliser ces informations pour configurer des règles de pare-feu.

Règles de pare-feu Tanzu Kubernetes Grid

Nom	Source	Destination	Service(:Port)	Objectif
workload-to-mgmt	réseau de cluster de charge de travail	réseau de cluster de gestion	TCP:6443*	Autoriser le cluster de charge de travail à s'enregistrer dans le cluster de gestion
mgmt-to-workload	réseau de cluster de gestion	réseau de cluster de charge de travail	TCP:6443*, 5556	Autoriser le réseau de gestion à configurer le cluster de charge de travail
allow-mgmt-subnet	réseau de cluster de gestion	réseau de cluster de gestion	all	Autoriser toutes les communications de cluster interne
allow-wl-subnet	réseau de cluster de charge de travail	réseau de cluster de charge de travail	all	Autoriser toutes les communications de cluster interne
jumpbox-to-k8s	adresse IP jumpbox	réseau de cluster de gestion, réseau de cluster de charge de travail	TCP:6443*	Autorisez Jumpbox à créer un cluster de gestion et à gérer des clusters.
dhcp	toutes	NSX : tous/aucun NSX : adresse IP DHCP	DHCP	Permet aux hôtes d'obtenir des adresses DHCP.
mc-pods-internal	réseau de l'espace du cluster de gestion	.1 adresse dans `SERVICE_CIDR` et `CLUSTER_CIDR`	TCP:*	Autorise le trafic interne des espaces sur le cluster de gestion vers le serveur d'API Kubernetes et les espaces sur les clusters de charge de travail
to-harbor	réseau de cluster de gestion, réseau de cluster de charge de travail, adresse IP jumpbox	adresse IP Harbor	HTTPS	Permet aux composants de récupérer des images de conteneur
to-vcenter	réseau de cluster de gestion, réseau de cluster de charge de travail, adresse IP jumpbox	adresse IP vCenter	HTTPS	Permet aux composants d'accéder à vSphere pour créer des machines virtuelles et des volumes de stockage
dns-ntp-outbound	réseau de cluster de gestion, réseau de cluster de charge de travail, adresse IP jumpbox	DNS, serveurs NTP	DNS, NTP	Services principaux
ssh-to-jumpbox	toutes	adresse IP jumpbox	SSH	Accès de l'extérieur à la jumpbox
Pour le fournisseur d'identité externe
allow-pinniped	réseau de cluster de charge de travail	réseau de cluster de gestion	TCP:31234	Autoriser le concierge Pinniped sur le cluster de charge de travail à accéder au superviseur Pinniped sur le cluster de gestion, qui peut être exécuté derrière un service « NodePort » ou « LoadBalancer »
bootstrap-allow-pinniped	Machine de démarrage**	réseau de cluster de gestion	TCP:31234	Autoriser la machine de démarrage à accéder au superviseur Pinniped sur le cluster de gestion, qui peut s'exécuter derrière un service « NodePort » ou « LoadBalancer »
Pour NSX ALB***
avi-nodeport	SE Avi	tout cluster de charge de travail	TCP:30000-32767	Autoriser le trafic de NSX ALB SE (moteur de service) vers les espaces, pour les clusters en mode « NodePort » (par défaut) pour les services virtuels L4 et L7
avi-nodeportlocal	SE Avi	tout cluster de charge de travail	TCP:61000-62000	Autoriser le trafic de NSX ALB SE vers les espaces, pour les clusters en mode « NodePortLocal » pour les services virtuels L4 et L7
ako-to-avi	réseau de cluster de gestion, réseau de cluster de charge de travail	Contrôleur Avi**	TCP:443	Autoriser Avi Kubernetes Operator (AKO) et AKO Operator (AKOO) à accéder au contrôleur Avi
avi-to-nsxt	Contrôleur Avi	VMware NSX (anciennement NSX-T)	TCP:443	Autoriser le contrôleur Avi à accéder à VMware NSX, si Avi utilise NSX-T Cloud Connector
Règle refuser tout par défaut
refuser tout	toutes	toutes	all	refuser par défaut

Vous pouvez remplacer le paramètre de port 6443 par le CLUSTER_API_SERVER_PORT ou pour les environnements avec NSX Advanced Load Balancer, la variable de configuration de cluster, VSPHERE_CONTROL_PLANE_ENDPOINT_PORT.

** La machine de démarrage est l'endroit où les commandes de CLI Tanzu sont exécutées. Il peut s'agir d'une jumpbox (machine distante à laquelle vous établissez une connexion via SSH), de votre machine locale ou d'un hôte CI/CD.

*** Pour connaître les règles de pare-feu supplémentaires requises pour NSX Advanced Load Balancer, anciennement appelé Avi Vantage, reportez-vous à la section Ports de protocole utilisés par Avi Vantage pour la communication de gestion de la documentation d'Avi Networks.

Conformité et sécurisation renforcée

Vous pouvez déployer des versions compatibles FIPS de Tanzu Kubernetes Grid 2.1.0 et 2.1.1 dans votre environnement vSphere, AWS ou Azure. La nomenclature pour FIPS répertorie uniquement les composants qui sont compilés avec des modules de chiffrement compatibles FIPS et qui les utilisent. Pour plus d'informations, reportez-vous à la section Version compatible FIPS du document Configuration requise du cluster de gestion autonome.

Vous pouvez sécuriser davantage Tanzu Kubernetes Grid (TKG) pour obtenir une autorisation d'opérer (ATO, Authority to Operate). Les versions de TKG sont constamment validées par rapport aux Guides de mise en œuvre technique de sécurité (STIG) de l'Agence de défense des systèmes d'information (DISA), au cadre de l'Agence de cybersécurité et de sécurité des infrastructures (CISA) et de l'Agence nationale de la sécurité (NSA), et aux directives de l'Institut national des normes et de la technologie (NIST). Le document de conformité TKG le plus récent est Conformité et sécurisation renforcée de Tanzu Kubernetes Grid 2.1.