Sécurité pour les clusters de service TKG

Le service TKG sur le Superviseur exploite les fonctionnalités de sécurité vSphere et vous permet de provisionner des clusters de charge de travail sécurisés par défaut.

vSphere IaaS control plane est un module complémentaire pour vSphere capable d'exploiter les fonctionnalités de sécurité intégrées dans vCenter Server et ESXi. Pour plus d'informations, reportez-vous à la documentation Sécurité vSphere.

Superviseur chiffre tous les secrets stockés dans la base de données (etcd). Les secrets sont chiffrés à l'aide d'un fichier de clé de chiffrement local, qui est fourni au démarrage par le système vCenter Server. La clé de déchiffrement est stockée dans la mémoire (tempfs) sur les nœuds du plan de contrôle de Superviseur et sur le disque sous forme chiffrée dans la base de données du système vCenter Server. La clé est disponible en texte clair pour les utilisateurs racine de chaque système.

Le même modèle de chiffrement s'applique aux données de la base de données (etcd) qui est installée sur chaque plan de contrôle du cluster TKG. Toutes les connexions etcd sont authentifiées avec des certificats générés lors de l'installation et alternés lors des mises à niveau. La rotation ou la mise à jour manuelle des certificats n'est actuellement pas possible. Les secrets conservés dans la base de données de chaque cluster de charge de travail sont stockés en texte clair.

Un cluster TKG ne dispose pas d'informations d'identification d'infrastructure. Les informations d'identification stockées dans un cluster TKG sont suffisantes pour accéder à l'Espace de noms vSphere sur lequel le cluster TKG est locataire. Par conséquent, il n'y a pas de réaffectation des privilèges pour les opérateurs ou les utilisateurs du cluster.

Le jeton d'authentification utilisé pour accéder à un cluster TKG dispose d'une étendue ne lui permettant pas de donner accès au Superviseur ou à d'autres aux clusters TKG. Cela empêche les opérateurs de cluster, ou les personnes qui peuvent tenter de compromettre un cluster, d'utiliser leur accès de niveau racine pour capturer le jeton d'un administrateur vSphere lorsqu'ils se connectent à un cluster TKG.

Un cluster TKG est sécurisé par défaut. À partir de Version de Tanzu Kubernetes v1.25, le contrôleur PSA (Pods Security Adminission) des espaces est activé par défaut sur les clusters TKG. Pour Versions de Tanzu Kubernetes jusqu'à la version v1.24, une stratégie de sécurité de l'espace (PSP) restrictive est disponible pour n'importe quel cluster TKG. Si les développeurs doivent exécuter des espaces privilégiés ou des conteneurs racines, au moins un administrateur de cluster doit créer un RoleBinding qui accorde à l'utilisateur l'accès au PSP privilégié par défaut.