スーパーバイザー を使用する TKG サービスは vSphere のセキュリティ機能を活用して、デフォルトで安全なワークロード クラスタをプロビジョニングできます。

vSphere IaaS control plane は、vCenter Server および ESXi に組み込まれたセキュリティ機能を利用できる、vSphere に対するアドオン モジュールです。詳細については、vSphere Security ドキュメントを参照してください。

スーパーバイザー は、データベース (etcd) に保存されているすべてのシークレットを暗号化します。シークレットは、起動時に vCenter Server によって提供されるローカル暗号化キー ファイルを介して暗号化されます。復号キーは スーパーバイザー 制御プレーン ノードのメモリ (tempfs) に格納されるほかに、vCenter Server データベース内のディスクに暗号化形式で格納されます。各システムの root ユーザーは、復号キーをクリア テキストで入手できます。

同じ暗号化モデルは、各 TKG クラスタ制御プレーンにインストールされているデータベース (etcd) 内のデータに適用されます。すべての etcd 接続は、インストール時に生成され、アップグレード中にローテーションされる証明書を使用して認証されます。現在、証明書を手動でローテーションまたは更新することはできません。各ワークロード クラスタのデータベース内に保持されているシークレットは、クリア テキスト形式で保存されます。

TKG クラスタにインフラストラクチャ認証情報がありません。TKG クラスタ内に保存される認証情報では、TKG クラスタにテナントのある vSphere 名前空間 にのみアクセスが可能です。そのため、クラスタ オペレータまたはユーザーの権限のエスカレーションが行われることはありません。

TKG クラスタへのアクセスに使用される認証トークンは、スーパーバイザー または他の TKG クラスタへのアクセスに使用できないように範囲が設定されます。これにより、クラスタ オペレータ、またはクラスタを侵害する可能性があるユーザーは、TKG クラスタにログインするときに、root レベルのアクセス権を使用して vSphere 管理者のトークンをキャプチャできなくなります。

TKG クラスタはデフォルトでセキュリティ保護されています。Tanzu Kubernetes リリース v1.25 以降では、TKG クラスタのポッド セキュリティ アドミッション コントローラ (PSA) がデフォルトで有効になっています。v1.24 までの Tanzu Kubernetes リリース では、TKG クラスタに対して制限付きポッド セキュリティ ポリシー (PSP) を使用できます。開発者が特権ポッドまたはルート コンテナを実行する必要がある場合、クラスタ管理者は、最低でも、デフォルトの特権 PSP へのユーザー アクセスを許可するロールバインドを作成する必要があります。