vSphere with Tanzu は vSphere のセキュリティ機能を利用して、デフォルトで安全な Tanzu Kubernetes クラスタをプロビジョニングします。
vSphere with Tanzu は、vCenter Server および ESXi に組み込まれたセキュリティ機能を利用できる、vSphere に対するアドオン モジュールです。詳細については、vSphere Security ドキュメントを参照してください。
スーパーバイザー クラスタ は、データベース (etcd) に保存されているすべてのシークレットを暗号化します。シークレットは、起動時に vCenter Server によって提供されるローカル復号キー ファイルを介して暗号化されます。復号キーは スーパーバイザー クラスタ ノードのメモリ (tempfs) に格納されるほかに、vCenter Server データベース内のディスクに暗号化形式で格納されます。各システムの root ユーザーは、復号キーをクリア テキストで入手できます。各ワークロード クラスタのデータベース内に保持されているシークレットは、クリア テキスト形式で保存されます。すべての etcd 接続は、インストール時に生成され、アップグレード中にローテーションされる証明書を使用して認証されます。現在、証明書を手動でローテーションまたは更新することはできません。
vSphere 7.0 Update 2 以降では、AMD システムの スーパーバイザー クラスタ で機密性の高い vSphere ポッド を実行することができます。機密性の高い vSphere ポッド を作成するには、セキュリティ拡張機能として Secure Encrypted Virtualization-Encrypted State (SEV-ES) を追加します。詳細については、『機密性の確保された vSphere ポッド のデプロイ』を参照してください。
Tanzu Kubernetes クラスタはデフォルトでセキュリティ保護されています。Tanzu Kubernetes Grid サービス によってプロビジョニングされたすべての Tanzu Kubernetes クラスタで、制限付き PodSecurityPolicy (PSP) を使用できます。開発者が特権ポッドまたはルート コンテナを実行する必要がある場合、クラスタ管理者は、最低でも、デフォルトの特権 PSP へのユーザー アクセスを許可するロールバインドを作成する必要があります。詳細については、『Tanzu Kubernetes クラスタでのポッド セキュリティ ポリシーの使用』を参照してください。
Tanzu Kubernetes クラスタにはインフラストラクチャ認証情報がありません。Tanzu Kubernetes クラスタ内に保存される認証情報では、Tanzu Kubernetes クラスタにテナントのある vSphere 名前空間 にのみアクセスが可能です。そのため、クラスタ オペレータまたはユーザーの権限のエスカレーションが行われることはありません。
Tanzu Kubernetes クラスタへのアクセスに使用される認証トークンは、スーパーバイザー クラスタ へのアクセスに使用できないように範囲が設定されます。これにより、クラスタ オペレータ、またはクラスタを侵害する可能性があるユーザーは、Tanzu Kubernetes クラスタにログインするときに、root レベルのアクセス権を使用して vSphere 管理者のトークンをキャプチャできなくなります。