Sicurezza e conformità
Per Tanzu Kubernetes Grid (TKG) con un cluster di gestione autonomo, in questo argomento sono elencate le risorse per proteggere l'infrastruttura e rispettare i criteri di sicurezza della rete.
Per TKG con un supervisore, vedere Sicurezza di vSphere with Tanzu nella documentazione di vSphere 8.
Porte e protocolli
Le porte e i protocolli di rete utilizzati da Tanzu Kubernetes Grid sono elencati nello strumento VMware Ports and Protocols.
Per ogni percorso di comunicazione interna, in VMware Ports and Protocols sono elencati:
- Prodotto
- Versione
- Origine
- Destinazione
- Porte
- Protocolli
- Scopo
- Descrizione del servizio
- Classificazione (in uscita, in entrata o bidirezionale)
È possibile utilizzare queste informazioni per configurare le regole del firewall.
Regole del firewall di Tanzu Kubernetes Grid
| Nome | Origine | Destinazione | Servizio (:porta) | Scopo |
|---|---|---|---|---|
| workload-to-mgmt | rete del cluster del carico di lavoro | rete del cluster di gestione | TCP:6443* | Consente la registrazione del cluster del carico di lavoro nel cluster di gestione |
| mgmt-to-workload | rete del cluster di gestione | rete del cluster del carico di lavoro | TCP:6443*, 5556 | Consente alla rete di gestione di configurare il cluster del carico di lavoro |
| allow-mgmt-subnet | rete del cluster di gestione | rete del cluster di gestione | Tutti | Consente la comunicazione tra tutti i cluster interni |
| allow-wl-subnet | rete del cluster del carico di lavoro | rete del cluster del carico di lavoro | Tutti | Consente la comunicazione tra tutti i cluster interni |
| jumpbox-to-k8s | IP jumpbox | rete del cluster di gestione, rete del cluster del carico di lavoro | TCP:6443* | Consente alla jumpbox di creare cluster di gestione e gestire i cluster. |
| DHCP | qualsiasi | NSX: qualsiasi/nessuna NSX: IP DHCP | DHCP | Consente agli host di ottenere indirizzi DHCP. |
| mc-pods-internal | rete di pod del cluster di gestione | 1 indirizzo in SERVICE_CIDR e CLUSTER_CIDR |
TCP:* | Consente il traffico interno dai pod nel cluster di gestione al server dell'API di Kubernetes e ai pod nei cluster del carico di lavoro |
| to-harbor | rete del cluster di gestione, rete del cluster del carico di lavoro, IP jumpbox | IP Harbor | HTTPS | Consente ai componenti di recuperare le immagini dei container |
| to-vcenter | rete del cluster di gestione, rete del cluster del carico di lavoro, IP jumpbox | IP vCenter | HTTPS | Consente ai componenti di accedere a vSphere per creare macchine virtuali e volumi di storage |
| dns-ntp-outbound | rete del cluster di gestione, rete del cluster del carico di lavoro, IP jumpbox | DNS, server NTP | DNS, NTP | Servizi principali |
| ssh-to-jumpbox | qualsiasi | IP jumpbox | SSH | Accesso dall'esterno alla jumpbox |
| Per il provider di identità esterno | ||||
| allow-pinniped | rete del cluster del carico di lavoro | rete del cluster di gestione | TCP:31234 | Consente al concierge Pinniped nel cluster del carico di lavoro di accedere al supervisore Pinniped nel cluster di gestione, che potrebbe essere in esecuzione dietro un servizio "NodePort" o "LoadBalancer" |
| bootstrap-allow-pinniped | Macchina di bootstrap** | rete del cluster di gestione | TCP:31234 | Consente alla macchina di bootstrap di accedere al supervisore Pinniped nel cluster di gestione, che potrebbe essere in esecuzione dietro un servizio "NodePort" o "LoadBalancer" |
| Per NSX ALB** | ||||
| avi-nodeport | Avi SE | qualsiasi cluster del carico di lavoro | TCP:30000-32767 | Consente il traffico di NSX ALB SE (motore di servizio) verso i pod, per i cluster in modalità "NodePort" (impostazione predefinita) per i servizi virtuali L4 e L7 |
| avi-nodeportlocal | Avi SE | qualsiasi cluster del carico di lavoro | TCP:61000-62000 | Consente il traffico di NSX ALB SE verso i pod, per i cluster in modalità "NodePortLocal" per i servizi virtuali L4 e L7 |
| ako-to-avi | rete del cluster di gestione, rete del cluster del carico di lavoro | Controller Avi* | TCP:443 | Consente ad Avi Kubernetes Operator (AKO) e AKO Operator (AKOO) di accedere al controller Avi |
| avi-a-nsxt | Controller Avi | VMware NSX (in precedenza NSX-T) | TCP:443 | Consente al controller Avi di accedere a VMware NSX, se Avi utilizza il connettore cloud di NSX-T |
| Regola deny-all predefinita | ||||
| deny-all | qualsiasi | qualsiasi | Tutti | Rifiuta per impostazione predefinita |
- È possibile sostituire l'impostazione della porta 6443 con
CLUSTER_API_SERVER_PORTo, per gli ambienti con NSX Advanced Load Balancer, con la variabile di configurazione del clusterVSPHERE_CONTROL_PLANE_ENDPOINT_PORT.
**La macchina di bootstrap è la macchina in cui vengono eseguiti i comandi della CLI di Tanzu. Può essere una jumpbox (una macchina remota a cui si stabilisce una connessione tramite SSH), la macchina locale o un host CI/CD.
*** Per informazioni sulle altre regole del firewall necessarie per NSX Advanced Load Balancer, denominato in precedenza Avi Vantage, vedere Protocol Ports Used by Avi Vantage for Management Communication nella documentazione di Avi Networks.
Conformità e protezione avanzata
È possibile distribuire versioni di Tanzu Kubernetes Grid 2.1.0 e 2.1.1 compatibili con FIPS nell'ambiente vSphere, AWS o Azure. Il Bill of Materials (BoM) per FIPS elenca solo i componenti compilati con e che utilizzano moduli di crittografia conformi a FIPS. Per ulteriori informazioni, vedere Versione con supporto FIPS in Requisiti del cluster di gestione autonomo.
È possibile applicare la protezione avanzata in Tanzu Kubernetes Grid (TKG) per ottenere Authority to Operate (ATO). Le versioni di TKG vengono continuamente convalidate in base al framework di Defense Information Systems Agency Security Technical Implementation Guides (DISA STIG), Cybersecurity and Infrastructure Security Agency (CISA) e National Security Agency (NSA) e alle linee guida del National Institute of Standards and Technology (NIST). Il documento di conformità di TKG più recente è Conformità e protezione avanzata di Tanzu Kubernetes Grid 2.1.
