TKG Service con Supervisore sfrutta le funzionalità di sicurezza di vSphere e consente di eseguire il provisioning dei cluster del carico di lavoro che sono sicuri per impostazione predefinita.
vSphere IaaS control plane è un modulo aggiuntivo per vSphere in grado di sfruttare le funzionalità di sicurezza integrate in vCenter Server ed ESXi. Per ulteriori informazioni, vedere la documentazione sulla sicurezza di vSphere.
Il Supervisore crittografa tutti i segreti archiviati nel database (etcd). I segreti vengono crittografati tramite un file della chiave di crittografia locale, che viene fornito all'avvio da vCenter Server. La chiave di decrittografia viene archiviata in memoria (tempfs) nei nodi del piano di controllo del Supervisore e nel disco in formato crittografato all'interno del database di vCenter Server. La chiave è disponibile in testo non crittografato per gli utenti root di ciascun sistema.
Lo stesso modello di crittografia si applica ai dati nel database (etcd) installato in ciascun piano di controllo del cluster TKG. Tutte le connessioni etcd vengono autenticate con certificati generati al momento dell'installazione e sottoposti a rotazione durante gli aggiornamenti. La rotazione o l'aggiornamento manuali dei certificati non sono al momento possibili. I segreti conservati nel database di ciascun cluster del carico di lavoro vengono archiviati con testo non crittografato.
Un cluster TKG non dispone delle credenziali dell'infrastruttura. Le credenziali archiviate all'interno di un cluster TKG sono sufficienti solo per accedere allo Spazio dei nomi vSphere in cui il cluster TKG ha la tenancy. Di conseguenza, non esiste alcuna via di escalation dei privilegi per gli operatori o gli utenti del cluster.
L'ambito del token di autenticazione utilizzato per accedere al cluster TKG è impostato in modo che non sia possibile utilizzare il token per accedere al Supervisore o ad altri cluster TKG. Ciò impedisce agli operatori del cluster, o a singoli che intendano compromettere un cluster, di utilizzare l'accesso a livello root per acquisire un token dell'amministratore di vSphere quando accedono a un cluster TKG.
Un cluster TKG è protetto per impostazione predefinita. A partire da Release di Tanzu Kubernetes v1.25, nei cluster TKG il controller di ammissione della sicurezza (PSA) dei pod è abilitato per impostazione predefinita. Per le Release di Tanzu Kubernetes fino alla v1.24, è disponibile un criterio di sicurezza pod (PSP) restrittivo per qualsiasi cluster TKG. Se gli sviluppatori devono eseguire pod privilegiati o container root, è necessario almeno che un amministratore di cluster crei un RoleBinding che conceda accesso utente al PSP privilegiato predefinito.