This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

セキュリティとコンプライアンス

スタンドアローン管理クラスタを使用する Tanzu Kubernetes Grid (TKG) について、このトピックでは、インフラストラクチャを保護し、ネットワーク セキュリティ ポリシーに準拠するためのリソースを示します。

スーパーバイザーを使用する TKG の場合は、vSphere 8 のドキュメントの「vSphere with Tanzu セキュリティ」を参照してください。

ポートとプロトコル

Tanzu Kubernetes Grid で使用されるネットワーク ポートとプロトコルは、VMware Ports and Protocols ツールに一覧表示されます。

内部通信パスごとに、VMware Ports and Protocols には以下が一覧表示されます。

  • 製品
  • バージョン
  • ソース
  • ターゲット
  • ポート
  • プロトコル
  • 目的
  • サービスの説明
  • 分類(送信、受信、または双方向)

この情報を使用してファイアウォール ルールを構成できます。

Tanzu Kubernetes Grid のファイアウォール ルール

名前 ソース ターゲット サービス(:ポート) 目的
workload-to-mgmt ワークロード クラスタ ネットワーク 管理クラスタ ネットワーク TCP:6443* ワークロード クラスタを管理クラスタに登録できるようにします
mgmt-to-workload 管理クラスタ ネットワーク ワークロード クラスタ ネットワーク TCP:6443*、5556 管理ネットワークがワークロード クラスタを構成できるようにします
allow-mgmt-subnet 管理クラスタ ネットワーク 管理クラスタ ネットワーク すべて すべての内部クラスタ通信を許可します
allow-wl-subnet ワークロード クラスタ ネットワーク ワークロード クラスタ ネットワーク すべて すべての内部クラスタ通信を許可します
jumpbox-to-k8s ジャンプボックスの IP アドレス 管理クラスタ ネットワーク、ワークロード クラスタ ネットワーク TCP:6443* ジャンプボックスが管理クラスタを作成しクラスタを管理できるようにします。
dhcp 任意 NSX:任意/なし NSX:DHCP IP アドレス DHCP ホストが DHCP アドレスを取得できるようにします。
mc-pods-internal 管理クラスタのポッド ネットワーク SERVICE_CIDR および CLUSTER_CIDR 内の .1 アドレス TCP:* 管理クラスタのポッドから Kubernetes API サーバ、およびワークロード クラスタ上のポッドへの内部トラフィックを許可します
to-harbor 管理クラスタ ネットワーク、ワークロード クラスタ ネットワーク、ジャンプボックス IP アドレス Harbor の IP アドレス HTTPS コンポーネントがコンテナ イメージを取得できるようにします
to-vcenter 管理クラスタ ネットワーク、ワークロード クラスタ ネットワーク、ジャンプボックス IP アドレス vCenter Server の IP アドレス HTTPS コンポーネントが vSphere にアクセスして仮想マシンとストレージ ボリュームを作成できるようにします
dns-ntp-outbound 管理クラスタ ネットワーク、ワークロード クラスタ ネットワーク、ジャンプボックス IP アドレス DNS、NTP サーバ DNS、NTP コア サービス
ssh-to-jumpbox 任意 ジャンプボックスの IP アドレス SSH 外部からジャンプボックスにアクセスします
外部 ID プロバイダの場合
allow-pinniped ワークロード クラスタ ネットワーク 管理クラスタ ネットワーク TCP:31234 ワークロード クラスタの Pinniped Concierge が管理クラスタの Pinniped Supervisor にアクセスできるようにします。これは、「NodePort」または「LoadBalancer」サービスの背後で実行されている可能性があります
bootstrap-allow-pinniped ブートストラップ マシン** 管理クラスタ ネットワーク TCP:31234 ブートストラップ マシンが管理クラスタの Pinniped Supervisor にアクセスできるようにします。これは、「NodePort」または「LoadBalancer」サービスの背後で実行されている可能性があります
NSX ALB の場合***
avi-nodeport Avi SE 任意のワークロード クラスタ TCP:30000-32767 L4 仮想サービスと L7 仮想サービスの両方で、「NodePort」モード(デフォルト)のクラスタに対してポッドへの NSX ALB SE(サービス エンジン)トラフィックを許可します
avi-nodeportlocal Avi SE 任意のワークロード クラスタ TCP:61000-62000 L4 仮想サービスと L7 仮想サービスの両方で、「NodePortLocal」モードのクラスタに対してポッドへの NSX ALB SE トラフィックを許可します
ako-to-avi 管理クラスタ ネットワーク、ワークロード クラスタ ネットワーク Avi Controller** TCP:443 Avi Kubernetes Operator (AKO) および AKO Operator (AKOO) から Avi Controller へのアクセスを許可します
avi-to-nsxt Avi Controller VMware NSX(旧 NSX-T) TCP:443 Avi が NSX-T Cloud Connector を使用している場合、Avi コントローラが VMware NSX にアクセスすることを許可します
デフォルトの deny-all ルール
deny-all 任意 任意 すべて デフォルトで拒否
  • ポート 6443 の設定は、CLUSTER_API_SERVER_PORT でオーバーライドできます。NSX Advanced Load Balancer を使用する環境の場合は、VSPHERE_CONTROL_PLANE_ENDPOINT_PORT クラスタ構成変数でオーバーライドできます。

** ブートストラップ マシンは、Tanzu CLI コマンドが実行されているマシンのことです。これにはジャンプボックス(SSH 経由で接続を確立するリモート マシン)、ローカル マシン、または CI/CD ホストを指定できます。

*** NSX Advanced Load Balancer(旧 Avi Vantage)に必要なその他のファイアウォール ルールについては、Avi Networks ドキュメントの「管理通信のために Avi Vantage によって使用されるプロトコル ポート」を参照してください。

コンプライアンスと強化

Tanzu Kubernetes Grid 2.1.0 および 2.1.1 の FIPS 対応バージョンを vSphere、AWS、または Azure 環境に展開できます。FIPS のコンポーネント情報 (BoM) には、コンパイルされ、FIPS 準拠の暗号化モジュールを使用してコンパイルされたコンポーネントのみが一覧表示されます。詳細については、「スタンドアローンの管理クラスタの要件」の「FIPS 対応バージョン」を参照してください。

Tanzu Kubernetes Grid (TKG) を強化して、運用権限 (ATO) を実現できます。TKG リリースは、米国国防情報システム局のセキュリティ技術導入ガイド (DISA STIG)、サイバーセキュリティ・社会基盤安全保障庁 (CISA) および国家安全保障局 (NSA) のフレームワーク、ならびに国立標準技術研究所 (NIST) のガイドラインに照らした検証を継続的に行っています。最新の TKG コンプライアンス ドキュメントは、『Tanzu Kubernetes Grid 2.1 コンプライアンスと強化』です。

check-circle-line exclamation-circle-line close-line
Scroll to top icon