セキュリティとコンプライアンス
スタンドアローン管理クラスタを使用する Tanzu Kubernetes Grid (TKG) について、このトピックでは、インフラストラクチャを保護し、ネットワーク セキュリティ ポリシーに準拠するためのリソースを示します。
スーパーバイザーを使用する TKG の場合は、vSphere 8 のドキュメントの「vSphere with Tanzu セキュリティ」を参照してください。
ポートとプロトコル
Tanzu Kubernetes Grid で使用されるネットワーク ポートとプロトコルは、VMware Ports and Protocols ツールに一覧表示されます。
内部通信パスごとに、VMware Ports and Protocols には以下が一覧表示されます。
- 製品
- バージョン
- ソース
- ターゲット
- ポート
- プロトコル
- 目的
- サービスの説明
- 分類(送信、受信、または双方向)
この情報を使用してファイアウォール ルールを構成できます。
Tanzu Kubernetes Grid のファイアウォール ルール
| 名前 | ソース | ターゲット | サービス(:ポート) | 目的 |
|---|---|---|---|---|
| workload-to-mgmt | ワークロード クラスタ ネットワーク | 管理クラスタ ネットワーク | TCP:6443* | ワークロード クラスタを管理クラスタに登録できるようにします |
| mgmt-to-workload | 管理クラスタ ネットワーク | ワークロード クラスタ ネットワーク | TCP:6443*、5556 | 管理ネットワークがワークロード クラスタを構成できるようにします |
| allow-mgmt-subnet | 管理クラスタ ネットワーク | 管理クラスタ ネットワーク | すべて | すべての内部クラスタ通信を許可します |
| allow-wl-subnet | ワークロード クラスタ ネットワーク | ワークロード クラスタ ネットワーク | すべて | すべての内部クラスタ通信を許可します |
| jumpbox-to-k8s | ジャンプボックスの IP アドレス | 管理クラスタ ネットワーク、ワークロード クラスタ ネットワーク | TCP:6443* | ジャンプボックスが管理クラスタを作成しクラスタを管理できるようにします。 |
| dhcp | 任意 | NSX:任意/なし NSX:DHCP IP アドレス | DHCP | ホストが DHCP アドレスを取得できるようにします。 |
| mc-pods-internal | 管理クラスタのポッド ネットワーク | SERVICE_CIDR および CLUSTER_CIDR 内の .1 アドレス |
TCP:* | 管理クラスタのポッドから Kubernetes API サーバ、およびワークロード クラスタ上のポッドへの内部トラフィックを許可します |
| to-harbor | 管理クラスタ ネットワーク、ワークロード クラスタ ネットワーク、ジャンプボックス IP アドレス | Harbor の IP アドレス | HTTPS | コンポーネントがコンテナ イメージを取得できるようにします |
| to-vcenter | 管理クラスタ ネットワーク、ワークロード クラスタ ネットワーク、ジャンプボックス IP アドレス | vCenter Server の IP アドレス | HTTPS | コンポーネントが vSphere にアクセスして仮想マシンとストレージ ボリュームを作成できるようにします |
| dns-ntp-outbound | 管理クラスタ ネットワーク、ワークロード クラスタ ネットワーク、ジャンプボックス IP アドレス | DNS、NTP サーバ | DNS、NTP | コア サービス |
| ssh-to-jumpbox | 任意 | ジャンプボックスの IP アドレス | SSH | 外部からジャンプボックスにアクセスします |
| 外部 ID プロバイダの場合 | ||||
| allow-pinniped | ワークロード クラスタ ネットワーク | 管理クラスタ ネットワーク | TCP:31234 | ワークロード クラスタの Pinniped Concierge が管理クラスタの Pinniped Supervisor にアクセスできるようにします。これは、「NodePort」または「LoadBalancer」サービスの背後で実行されている可能性があります |
| bootstrap-allow-pinniped | ブートストラップ マシン** | 管理クラスタ ネットワーク | TCP:31234 | ブートストラップ マシンが管理クラスタの Pinniped Supervisor にアクセスできるようにします。これは、「NodePort」または「LoadBalancer」サービスの背後で実行されている可能性があります |
| NSX ALB の場合*** | ||||
| avi-nodeport | Avi SE | 任意のワークロード クラスタ | TCP:30000-32767 | L4 仮想サービスと L7 仮想サービスの両方で、「NodePort」モード(デフォルト)のクラスタに対してポッドへの NSX ALB SE(サービス エンジン)トラフィックを許可します |
| avi-nodeportlocal | Avi SE | 任意のワークロード クラスタ | TCP:61000-62000 | L4 仮想サービスと L7 仮想サービスの両方で、「NodePortLocal」モードのクラスタに対してポッドへの NSX ALB SE トラフィックを許可します |
| ako-to-avi | 管理クラスタ ネットワーク、ワークロード クラスタ ネットワーク | Avi Controller** | TCP:443 | Avi Kubernetes Operator (AKO) および AKO Operator (AKOO) から Avi Controller へのアクセスを許可します |
| avi-to-nsxt | Avi Controller | VMware NSX(旧 NSX-T) | TCP:443 | Avi が NSX-T Cloud Connector を使用している場合、Avi コントローラが VMware NSX にアクセスすることを許可します |
| デフォルトの deny-all ルール | ||||
| deny-all | 任意 | 任意 | すべて | デフォルトで拒否 |
- ポート 6443 の設定は、
CLUSTER_API_SERVER_PORTでオーバーライドできます。NSX Advanced Load Balancer を使用する環境の場合は、VSPHERE_CONTROL_PLANE_ENDPOINT_PORTクラスタ構成変数でオーバーライドできます。
** ブートストラップ マシンは、Tanzu CLI コマンドが実行されているマシンのことです。これにはジャンプボックス(SSH 経由で接続を確立するリモート マシン)、ローカル マシン、または CI/CD ホストを指定できます。
*** NSX Advanced Load Balancer(旧 Avi Vantage)に必要なその他のファイアウォール ルールについては、Avi Networks ドキュメントの「管理通信のために Avi Vantage によって使用されるプロトコル ポート」を参照してください。
コンプライアンスと強化
Tanzu Kubernetes Grid 2.1.0 および 2.1.1 の FIPS 対応バージョンを vSphere、AWS、または Azure 環境に展開できます。FIPS のコンポーネント情報 (BoM) には、コンパイルされ、FIPS 準拠の暗号化モジュールを使用してコンパイルされたコンポーネントのみが一覧表示されます。詳細については、「スタンドアローンの管理クラスタの要件」の「FIPS 対応バージョン」を参照してください。
Tanzu Kubernetes Grid (TKG) を強化して、運用権限 (ATO) を実現できます。TKG リリースは、米国国防情報システム局のセキュリティ技術導入ガイド (DISA STIG)、サイバーセキュリティ・社会基盤安全保障庁 (CISA) および国家安全保障局 (NSA) のフレームワーク、ならびに国立標準技術研究所 (NIST) のガイドラインに照らした検証を継続的に行っています。最新の TKG コンプライアンス ドキュメントは、『Tanzu Kubernetes Grid 2.1 コンプライアンスと強化』です。
