Sécurité et conformité

Pour Tanzu Kubernetes Grid (TKG) avec un cluster de gestion autonome, cette rubrique répertorie les ressources pour sécuriser l'infrastructure et se conformer aux stratégies de sécurité réseau.

Pour TKG avec un superviseur, reportez-vous à la section Sécurité de vSphere with Tanzu de la documentation de vSphere 8.

Ports et protocoles

Les ports et protocoles de mise en réseau utilisés par Tanzu Kubernetes Grid sont répertoriés dans l'outil VMware Ports and Protocols.

Pour chaque chemin de communication interne, VMware Ports and Protocols répertorie les points suivants :

  • Produit
  • Version
  • Source
  • Destination
  • Ports
  • Protocoles
  • Objectif
  • Description du service
  • Classification (sortante, entrante ou bidirectionnelle)

Vous pouvez utiliser ces informations pour configurer des règles de pare-feu.

Règles de pare-feu Tanzu Kubernetes Grid

Nom Source Destination Service(:Port) Objectif
workload-to-mgmt réseau de cluster de charge de travail réseau de cluster de gestion TCP:6443* Autoriser le cluster de charge de travail à s'enregistrer dans le cluster de gestion
mgmt-to-workload réseau de cluster de gestion réseau de cluster de charge de travail TCP:6443*, 5556 Autoriser le réseau de gestion à configurer le cluster de charge de travail
allow-mgmt-subnet réseau de cluster de gestion réseau de cluster de gestion all Autoriser toutes les communications de cluster interne
allow-wl-subnet réseau de cluster de charge de travail réseau de cluster de charge de travail all Autoriser toutes les communications de cluster interne
jumpbox-to-k8s adresse IP jumpbox réseau de cluster de gestion, réseau de cluster de charge de travail TCP:6443* Autorisez Jumpbox à créer un cluster de gestion et à gérer des clusters.
dhcp toutes NSX : tous/aucun NSX : adresse IP DHCP DHCP Permet aux hôtes d'obtenir des adresses DHCP.
mc-pods-internal réseau de l'espace du cluster de gestion .1 adresse dans SERVICE_CIDR et CLUSTER_CIDR TCP:* Autorise le trafic interne des espaces sur le cluster de gestion vers le serveur d'API Kubernetes et les espaces sur les clusters de charge de travail
to-harbor réseau de cluster de gestion, réseau de cluster de charge de travail, adresse IP jumpbox adresse IP Harbor HTTPS Permet aux composants de récupérer des images de conteneur
to-vcenter réseau de cluster de gestion, réseau de cluster de charge de travail, adresse IP jumpbox adresse IP vCenter HTTPS Permet aux composants d'accéder à vSphere pour créer des machines virtuelles et des volumes de stockage
dns-ntp-outbound réseau de cluster de gestion, réseau de cluster de charge de travail, adresse IP jumpbox DNS, serveurs NTP DNS, NTP Services principaux
ssh-to-jumpbox toutes adresse IP jumpbox SSH Accès de l'extérieur à la jumpbox
Pour le fournisseur d'identité externe
allow-pinniped réseau de cluster de charge de travail réseau de cluster de gestion TCP:31234 Autoriser le concierge Pinniped sur le cluster de charge de travail à accéder au superviseur Pinniped sur le cluster de gestion, qui peut être exécuté derrière un service « NodePort » ou « LoadBalancer »
bootstrap-allow-pinniped Machine de démarrage** réseau de cluster de gestion TCP:31234 Autoriser la machine de démarrage à accéder au superviseur Pinniped sur le cluster de gestion, qui peut s'exécuter derrière un service « NodePort » ou « LoadBalancer »
Pour NSX ALB***
avi-nodeport SE Avi tout cluster de charge de travail TCP:30000-32767 Autoriser le trafic de NSX ALB SE (moteur de service) vers les espaces, pour les clusters en mode « NodePort » (par défaut) pour les services virtuels L4 et L7
avi-nodeportlocal SE Avi tout cluster de charge de travail TCP:61000-62000 Autoriser le trafic de NSX ALB SE vers les espaces, pour les clusters en mode « NodePortLocal » pour les services virtuels L4 et L7
ako-to-avi réseau de cluster de gestion, réseau de cluster de charge de travail Contrôleur Avi** TCP:443 Autoriser Avi Kubernetes Operator (AKO) et AKO Operator (AKOO) à accéder au contrôleur Avi
avi-to-nsxt Contrôleur Avi VMware NSX (anciennement NSX-T) TCP:443 Autoriser le contrôleur Avi à accéder à VMware NSX, si Avi utilise NSX-T Cloud Connector
Règle refuser tout par défaut
refuser tout toutes toutes all refuser par défaut
  • Vous pouvez remplacer le paramètre de port 6443 par le CLUSTER_API_SERVER_PORT ou pour les environnements avec NSX Advanced Load Balancer, la variable de configuration de cluster, VSPHERE_CONTROL_PLANE_ENDPOINT_PORT.

** La machine de démarrage est l'endroit où les commandes de CLI Tanzu sont exécutées. Il peut s'agir d'une jumpbox (machine distante à laquelle vous établissez une connexion via SSH), de votre machine locale ou d'un hôte CI/CD.

*** Pour connaître les règles de pare-feu supplémentaires requises pour NSX Advanced Load Balancer, anciennement appelé Avi Vantage, reportez-vous à la section Ports de protocole utilisés par Avi Vantage pour la communication de gestion de la documentation d'Avi Networks.

Conformité et sécurisation renforcée

Vous pouvez déployer des versions compatibles FIPS de Tanzu Kubernetes Grid 2.1.0 et 2.1.1 dans votre environnement vSphere, AWS ou Azure. La nomenclature pour FIPS répertorie uniquement les composants qui sont compilés avec des modules de chiffrement compatibles FIPS et qui les utilisent. Pour plus d'informations, reportez-vous à la section Version compatible FIPS du document Configuration requise du cluster de gestion autonome.

Vous pouvez sécuriser davantage Tanzu Kubernetes Grid (TKG) pour obtenir une autorisation d'opérer (ATO, Authority to Operate). Les versions de TKG sont constamment validées par rapport aux Guides de mise en œuvre technique de sécurité (STIG) de l'Agence de défense des systèmes d'information (DISA), au cadre de l'Agence de cybersécurité et de sécurité des infrastructures (CISA) et de l'Agence nationale de la sécurité (NSA), et aux directives de l'Institut national des normes et de la technologie (NIST). Le document de conformité TKG le plus récent est Conformité et sécurisation renforcée de Tanzu Kubernetes Grid 2.1.

check-circle-line exclamation-circle-line close-line
Scroll to top icon