Cette rubrique répertorie les ressources pour sécuriser l'infrastructure Tanzu Kubernetes Grid et se conformer aux stratégies de sécurité réseau.
Les ports et protocoles de mise en réseau utilisés par Tanzu Kubernetes Grid sont répertoriés dans l'outil VMware Ports and Protocols.
Pour chaque chemin de communication interne, VMware Ports and Protocols répertorie les points suivants :
Vous pouvez utiliser ces informations pour configurer des règles de pare-feu.
| Nom | Source | Destination | Service(:Port) | Objectif |
|---|---|---|---|---|
| workload-to-mgmt | réseau de cluster de charge de travail | réseau de cluster de gestion | TCP:6443* | Autoriser le cluster de charge de travail à s'enregistrer dans le cluster de gestion |
| mgmt-to-workload | réseau de cluster de gestion | réseau de cluster de charge de travail | TCP:6443*, 5556 | Autoriser le réseau de gestion à configurer le cluster de charge de travail |
| allow-mgmt-subnet | réseau de cluster de gestion | réseau de cluster de gestion | all | Autoriser toutes les communications de cluster interne |
| allow-wl-subnet | réseau de cluster de charge de travail | réseau de cluster de charge de travail | all | Autoriser toutes les communications de cluster interne |
| jumpbox-to-k8s | adresse IP jumpbox | réseau de cluster de gestion, réseau de cluster de charge de travail | TCP:6443* | Autorisez Jumpbox à créer un cluster de gestion et à gérer des clusters. |
| dhcp | toutes | NSX : tous/aucun NSX : adresse IP DHCP | DHCP | Permet aux hôtes d'obtenir des adresses DHCP. |
| to-harbor | réseau de cluster de gestion, réseau de cluster de charge de travail, adresse IP jumpbox | adresse IP Harbor | HTTPS | Permet aux composants de récupérer des images de conteneur |
| to-vcenter | réseau de cluster de gestion, réseau de cluster de charge de travail, adresse IP jumpbox | adresse IP vCenter | HTTPS | Permet aux composants d'accéder à vSphere pour créer des machines virtuelles et des volumes de stockage |
| dns-ntp-outbound | réseau de cluster de gestion, réseau de cluster de charge de travail, adresse IP jumpbox | DNS, serveurs NTP | DNS, NTP | Services principaux |
| ssh-to-jumpbox | toutes | adresse IP jumpbox | SSH | Accès de l'extérieur à la jumpbox |
| Pour le fournisseur d'identité externe | ||||
| allow-pinniped | réseau de cluster de charge de travail | réseau de cluster de gestion | TCP:31234 | Autoriser le concierge Pinniped sur le cluster de charge de travail à accéder au superviseur Pinniped sur le cluster de gestion, qui peut être exécuté derrière un service NodePort ou LoadBalancer |
| bootstrap-allow-pinniped | Machine de démarrage** | réseau de cluster de gestion | TCP:31234 | Autoriser la machine de démarrage à accéder au superviseur Pinniped sur le cluster de gestion, qui peut s'exécuter derrière un service NodePort ou LoadBalancer |
| Pour NSX ALB*** | ||||
| avi-nodeport | SE Avi | tout cluster de charge de travail | TCP:30000-32767 | Autoriser le trafic du moteur de service NSX ALB vers les espaces, pour les clusters en mode NodePort (par défaut) pour les services virtuels L4 et L7 |
| avi-nodeportlocal | SE Avi | tout cluster de charge de travail | TCP:61000-62000 | Autoriser le trafic du moteur de service NSX ALB vers les espaces, pour les clusters en mode NodePortLocal pour les services virtuels L4 et L7 |
| ako-to-avi | réseau de cluster de gestion, réseau de cluster de charge de travail | Contrôleur Avi** | TCP:443 | Autoriser Avi Kubernetes Operator (AKO) et AKO Operator (AKOO) à accéder au contrôleur Avi |
| Règle refuser tout par défaut | ||||
| refuser tout | toutes | toutes | all | refuser par défaut |
*Vous pouvez remplacer le paramètre de port 6443 par le CLUSTER_API_SERVER_PORT ou pour les environnements avec NSX Advanced Load Balancer, la variable de configuration de cluster VSPHERE_CONTROL_PLANE_ENDPOINT_PORT.
** La machine de démarrage est l'endroit où les commandes de CLI Tanzu sont exécutées. Il peut s'agir d'une jumpbox (machine distante à laquelle vous établissez une connexion via SSH), de votre machine locale ou d'un hôte CI/CD.
***Pour connaître les règles de pare-feu supplémentaires requises pour NSX Advanced Load Balancer, anciennement appelées Avi Vantage, reportez-vous à la section Ports de protocole utilisés par Avi Vantage pour la communication de gestion dans la documentation d'Avi Networks.
Pour évaluer la sécurité des clusters, vous pouvez exécuter des tests d'évaluation Kubernetes CIS (Center for Internet Security) sur des clusters déployés par Tanzu Kubernetes Grid.
Pour en savoir plus sur l'évaluation des clusters dans Tanzu Mission Control, reportez-vous au tableau Échecs des tests attendus pour l'inspection de l'évaluation CIS sur des clusters de Tanzu Kubernetes provisionnés sous À propos de l'inspection de l'évaluartion CIS et des clusters de Tanzu Kubernetes provisionnés dans la documentation de Tanzu Mission Control.
