vSphere IaaS control plane sfrutta le funzionalità di sicurezza di vSphere ed esegue il provisioning dei cluster di Tanzu Kubernetes Grid che sono protetti per impostazione predefinita.
vSphere IaaS control plane è un modulo aggiuntivo per vSphere in grado di sfruttare le funzionalità di sicurezza integrate in vCenter Server ed ESXi. Per ulteriori informazioni, vedere la documentazione sulla sicurezza di vSphere.
Il Supervisore crittografa tutti i segreti archiviati nel database (etcd). I segreti vengono crittografati tramite un file della chiave di crittografia locale, che viene fornito all'avvio da vCenter Server. La chiave di decrittografia viene archiviata in memoria (tempfs) nei nodi del Supervisore e nel disco in formato crittografato all'interno del database di vCenter Server. La chiave è disponibile in testo non crittografato per gli utenti root di ciascun sistema. I segreti conservati nel database di ciascun cluster del carico di lavoro vengono archiviati con testo non crittografato. Tutte le connessioni etcd vengono autenticate con certificati generati al momento dell'installazione e sottoposti a rotazione durante gli aggiornamenti. La rotazione o l'aggiornamento manuali dei certificati non sono al momento possibili. Lo stesso modello di crittografia si applica ai dati nel database (etcd) installato nel piano di controllo per ogni cluster Tanzu Kubernetes Grid.
Nel Supervisore, è possibile eseguire Pod vSphere riservati in sistemi compatibili. È possibile creare Pod vSphere riservati aggiungendo SEV-ES (Secure Encrypted Virtualization-Encrypted State) come miglioramento della sicurezza. Per ulteriori informazioni, vedere Distribuzione di un pod vSphere riservato in Servizi e carichi di lavoro di vSphere IaaS Control Plane.
Un cluster di Tanzu Kubernetes Grid è protetto per impostazione predefinita. PodSecurityPolicy (PSP) restrittivo è disponibile per qualsiasi cluster Tanzu Kubernetes Grid. Se gli sviluppatori devono eseguire pod privilegiati o container root, è necessario che almeno un amministratore di cluster crei un RoleBinding che conceda accesso utente al PSP privilegiato predefinito. Per ulteriori informazioni, vedere Utilizzo del servizio TKG con vSphere IaaS Control Plane.
Un cluster di Tanzu Kubernetes Grid non dispone delle credenziali dell'infrastruttura. Le credenziali archiviate all'interno di un cluster di Tanzu Kubernetes Grid sono sufficienti solo per accedere al Spazio dei nomi vSphere in cui il cluster di Tanzu Kubernetes Grid ha la tenancy. Di conseguenza, non esiste alcuna via di escalation dei privilegi per gli operatori o gli utenti del cluster.
L'ambito del token di autenticazione utilizzato per accedere al cluster di Tanzu Kubernetes Grid è impostato in modo che non sia possibile utilizzare il token per accedere al Supervisore o ad altri cluster Tanzu Kubernetes Grid. Ciò impedisce agli operatori del cluster, o a singoli che intendano compromettere un cluster, di utilizzare l'accesso a livello root per acquisire un token dell'amministratore di vSphere quando accedono a un cluster di Tanzu Kubernetes Grid.