vSphere with Tanzu sfrutta le funzionalità di sicurezza di vSphere ed esegue il provisioning dei cluster di Tanzu Kubernetes che sono protetti per impostazione predefinita.

vSphere with Tanzu è un modulo aggiuntivo per vSphere in grado di sfruttare le funzionalità di sicurezza integrate in vCenter Server ed ESXi. Per ulteriori informazioni, vedere la documentazione sulla sicurezza di vSphere.

I dati del cluster archiviati nel database di Cluster supervisore (etcd) vengono crittografati con un file di chiave di crittografia locale. Lo stesso vale per il database (etcd) che viene installato nel piano di controllo per ogni cluster di Tanzu Kubernetes. Quando si aggiorna tale cluster, i certificati vengono rinnovati automaticamente. Non è possibile ruotare o aggiornare manualmente i certificati.

A partire da vSphere 7.0 Update 2, è possibile eseguire Pod vSphere riservati in un Cluster supervisore in sistemi AMD. È possibile creare Pod vSphere riservati aggiungendo SEV-ES (Secure Encrypted Virtualization-Encrypted State) come miglioramento della sicurezza. Per ulteriori informazioni, vedere Distribuzione di un Pod vSphere riservato.

Un cluster di Tanzu Kubernetes è protetto per impostazione predefinita. PodSecurityPolicy (PSP) restrittivo è disponibile per qualsiasi cluster di Tanzu Kubernetes di cui è stato eseguito il provisioning da Servizio Tanzu Kubernetes Grid. Se gli sviluppatori devono eseguire pod privilegiati o container root, è necessario che almeno un amministratore di cluster crei un RoleBinding che conceda accesso utente al PSP privilegiato predefinito. Per ulteriori informazioni, vedere Utilizzo dei criteri di protezione pod con i cluster di Tanzu Kubernetes.

Un cluster di Tanzu Kubernetes non dispone delle credenziali dell'infrastruttura. Le credenziali archiviate all'interno di un cluster di Tanzu Kubernetes sono sufficienti solo per accedere al Spazio dei nomi vSphere in cui il cluster di Tanzu Kubernetes ha la tenancy. Di conseguenza, non esiste alcuna via di escalation dei privilegi per gli operatori o gli utenti del cluster.

L'ambito dei token di autenticazione utilizzati per accedere ai cluster di Tanzu Kubernetes è tale che non è possibile utilizzare i token per accedere al Cluster supervisore. Ciò impedisce agli operatori del cluster, o a singoli che intendano compromettere un cluster, di utilizzare l'accesso a livello root per acquisire un token dell'amministratore di vSphere quando accedono a un cluster di Tanzu Kubernetes.