This site will be decommissioned on January 30th 2025. After that date content will be available at techdocs.broadcom.com.

Sicurezza e conformità

Per Tanzu Kubernetes Grid (TKG) con un cluster di gestione autonomo, in questo argomento sono elencate le risorse per proteggere l'infrastruttura e rispettare i criteri di sicurezza della rete.

Per TKG con un supervisore, vedere Sicurezza di vSphere with Tanzu nella documentazione di vSphere 8.

Porte e protocolli

Le porte e i protocolli di rete utilizzati da Tanzu Kubernetes Grid sono elencati nello strumento VMware Ports and Protocols.

Per ogni percorso di comunicazione interna, in VMware Ports and Protocols sono elencati:

  • Prodotto
  • Versione
  • Origine
  • Destinazione
  • Porte
  • Protocolli
  • Scopo
  • Descrizione del servizio
  • Classificazione (in uscita, in entrata o bidirezionale)

È possibile utilizzare queste informazioni per configurare le regole del firewall.

Regole del firewall di Tanzu Kubernetes Grid

Nome Origine Destinazione Servizio (:porta) Scopo
workload-to-mgmt rete del cluster del carico di lavoro rete del cluster di gestione TCP:6443* Consente la registrazione del cluster del carico di lavoro nel cluster di gestione
mgmt-to-workload rete del cluster di gestione rete del cluster del carico di lavoro TCP:6443*, 5556 Consente alla rete di gestione di configurare il cluster del carico di lavoro
allow-mgmt-subnet rete del cluster di gestione rete del cluster di gestione Tutti Consente la comunicazione tra tutti i cluster interni
allow-wl-subnet rete del cluster del carico di lavoro rete del cluster del carico di lavoro Tutti Consente la comunicazione tra tutti i cluster interni
jumpbox-to-k8s IP jumpbox rete del cluster di gestione, rete del cluster del carico di lavoro TCP:6443* Consente alla jumpbox di creare cluster di gestione e gestire i cluster.
DHCP qualsiasi NSX: qualsiasi/nessuna NSX: IP DHCP DHCP Consente agli host di ottenere indirizzi DHCP.
mc-pods-internal rete di pod del cluster di gestione 1 indirizzo in SERVICE_CIDR e CLUSTER_CIDR TCP:* Consente il traffico interno dai pod nel cluster di gestione al server dell'API di Kubernetes e ai pod nei cluster del carico di lavoro
to-harbor rete del cluster di gestione, rete del cluster del carico di lavoro, IP jumpbox IP Harbor HTTPS Consente ai componenti di recuperare le immagini dei container
to-vcenter rete del cluster di gestione, rete del cluster del carico di lavoro, IP jumpbox IP vCenter HTTPS Consente ai componenti di accedere a vSphere per creare macchine virtuali e volumi di storage
dns-ntp-outbound rete del cluster di gestione, rete del cluster del carico di lavoro, IP jumpbox DNS, server NTP DNS, NTP Servizi principali
ssh-to-jumpbox qualsiasi IP jumpbox SSH Accesso dall'esterno alla jumpbox
Per il provider di identità esterno
allow-pinniped rete del cluster del carico di lavoro rete del cluster di gestione TCP:31234 Consente al concierge Pinniped nel cluster del carico di lavoro di accedere al supervisore Pinniped nel cluster di gestione, che potrebbe essere in esecuzione dietro un servizio "NodePort" o "LoadBalancer"
bootstrap-allow-pinniped Macchina di bootstrap** rete del cluster di gestione TCP:31234 Consente alla macchina di bootstrap di accedere al supervisore Pinniped nel cluster di gestione, che potrebbe essere in esecuzione dietro un servizio "NodePort" o "LoadBalancer"
Per NSX ALB**
avi-nodeport Avi SE qualsiasi cluster del carico di lavoro TCP:30000-32767 Consente il traffico di NSX ALB SE (motore di servizio) verso i pod, per i cluster in modalità "NodePort" (impostazione predefinita) per i servizi virtuali L4 e L7
avi-nodeportlocal Avi SE qualsiasi cluster del carico di lavoro TCP:61000-62000 Consente il traffico di NSX ALB SE verso i pod, per i cluster in modalità "NodePortLocal" per i servizi virtuali L4 e L7
ako-to-avi rete del cluster di gestione, rete del cluster del carico di lavoro Controller Avi* TCP:443 Consente ad Avi Kubernetes Operator (AKO) e AKO Operator (AKOO) di accedere al controller Avi
avi-a-nsxt Controller Avi VMware NSX (in precedenza NSX-T) TCP:443 Consente al controller Avi di accedere a VMware NSX, se Avi utilizza il connettore cloud di NSX-T
Regola deny-all predefinita
deny-all qualsiasi qualsiasi Tutti Rifiuta per impostazione predefinita
  • È possibile sostituire l'impostazione della porta 6443 con CLUSTER_API_SERVER_PORT o, per gli ambienti con NSX Advanced Load Balancer, con la variabile di configurazione del cluster VSPHERE_CONTROL_PLANE_ENDPOINT_PORT.

**La macchina di bootstrap è la macchina in cui vengono eseguiti i comandi della CLI di Tanzu. Può essere una jumpbox (una macchina remota a cui si stabilisce una connessione tramite SSH), la macchina locale o un host CI/CD.

*** Per informazioni sulle altre regole del firewall necessarie per NSX Advanced Load Balancer, denominato in precedenza Avi Vantage, vedere Protocol Ports Used by Avi Vantage for Management Communication nella documentazione di Avi Networks.

Conformità e protezione avanzata

È possibile distribuire versioni di Tanzu Kubernetes Grid 2.1.0 e 2.1.1 compatibili con FIPS nell'ambiente vSphere, AWS o Azure. Il Bill of Materials (BoM) per FIPS elenca solo i componenti compilati con e che utilizzano moduli di crittografia conformi a FIPS. Per ulteriori informazioni, vedere Versione con supporto FIPS in Requisiti del cluster di gestione autonomo.

È possibile applicare la protezione avanzata in Tanzu Kubernetes Grid (TKG) per ottenere Authority to Operate (ATO). Le versioni di TKG vengono continuamente convalidate in base al framework di Defense Information Systems Agency Security Technical Implementation Guides (DISA STIG), Cybersecurity and Infrastructure Security Agency (CISA) e National Security Agency (NSA) e alle linee guida del National Institute of Standards and Technology (NIST). Il documento di conformità di TKG più recente è Conformità e protezione avanzata di Tanzu Kubernetes Grid 2.1.

check-circle-line exclamation-circle-line close-line
Scroll to top icon