보안 및 규정 준수
독립형 관리 클러스터가 있는 TKG(Tanzu Kubernetes Grid)의 경우 이 항목에는 인프라 보안 및 네트워크 보안 정책을 준수하기 위한 리소스가 나와 있습니다.
Supervisor가 있는 TKG의 경우 vSphere 8 설명서에서 vSphere with Tanzu 보안을 참조하십시오.
포트 및 프로토콜
Tanzu Kubernetes Grid에서 사용되는 네트워킹 포트 및 프로토콜은 VMware Ports and Protocols 도구에 나와 있습니다.
각 내부 통신 경로를 위해 VMware Ports and Protocols에 다음이 나와 있습니다.
- 제품
- 버전
- 소스
- 대상
- 포트
- 프로토콜
- 용도
- 서비스 설명
- 분류(송신, 수신 또는 양방향)
이 정보를 사용하여 방화벽 규칙을 구성할 수 있습니다.
방화벽 규칙 Tanzu Kubernetes Grid
| 이름 | 소스 | 대상 | 서비스(:포트) | 용도 |
|---|---|---|---|---|
| workload-to-mgmt | 워크로드 클러스터 네트워크 | 관리 클러스터 네트워크 | TCP:6443* | 워크로드 클러스터가 관리 클러스터에 등록되도록 허용 |
| mgmt-to-workload | 관리 클러스터 네트워크 | 워크로드 클러스터 네트워크 | TCP:6443*, 5556 | 관리 네트워크가 워크로드 클러스터를 구성하도록 허용 |
| allow-mgmt-subnet | 관리 클러스터 네트워크 | 관리 클러스터 네트워크 | 모두 | 모든 내부 클러스터 통신 허용 |
| allow-wl-subnet | 워크로드 클러스터 네트워크 | 워크로드 클러스터 네트워크 | 모두 | 모든 내부 클러스터 통신 허용 |
| jumpbox-to-k8s | jumpbox IP | 관리 클러스터 네트워크, 워크로드 클러스터 네트워크 | TCP:6443* | Jumpbox가 관리 클러스터를 생성하고 클러스터를 관리하도록 허용합니다. |
| dhcp | 임의 | NSX: 임의/NSX 없음: DHCP IP | DHCP | 호스트가 DHCP 주소를 가져올 수 있도록 허용합니다. |
| mc-pods-internal | 관리 클러스터 포드 네트워크 | SERVICE_CIDR 및 CLUSTER_CIDR의 .1 주소 |
TCP:* | 관리 클러스터의 포드에서 Kubernetes API 서버로의 내부 트래픽 및 워크로드 클러스터의 포드로의 내부 트래픽 허용 |
| to-harbor | 관리 클러스터 네트워크, 워크로드 클러스터 네트워크, jumpbox IP | Harbor IP | HTTPS | 구성 요소가 컨테이너 이미지를 검색할 수 있도록 허용 |
| to-vcenter | 관리 클러스터 네트워크, 워크로드 클러스터 네트워크, jumpbox IP | vCenter IP | HTTPS | 구성 요소가 vSphere 액세스하여 VM 및 스토리지 볼륨을 생성할 수 있도록 허용 |
| dns-ntp-outbound | 관리 클러스터 네트워크, 워크로드 클러스터 네트워크, jumpbox IP | DNS, NTP 서버 | DNS, NTP | 핵심 서비스 |
| ssh-to-jumpbox | 임의 | jumpbox IP | SSH | 외부에서 jumpbox로 액세스 |
| 외부 ID 제공자의 경우 | ||||
| allow-pinniped | 워크로드 클러스터 네트워크 | 관리 클러스터 네트워크 | TCP:31234 | 워크로드 클러스터의 Pinniped 컨시어지가 관리 클러스터의 Pinniped Supervisor 액세스 허용. 'NodePort' 또는 'LoadBalancer' 서비스 뒤에서 실행 중일 수 있음 |
| bootstrap-allow-pinniped | 부트스트랩 시스템** | 관리 클러스터 네트워크 | TCP:31234 | 부트스트랩 시스템이 관리 클러스터의 Pinniped Supervisor 액세스 허용. 'NodePort' 또는 'LoadBalancer' 서비스 뒤에서 실행 중일 수 있음 |
| NSX ALB***의 경우 | ||||
| avi-nodeport | Avi SE | 임의 워크로드 클러스터 | TCP:30000-32767 | L4 및 L7 가상 서비스 모두에 대해 'NodePort' 모드(기본값)의 클러스터용 포드로의 NSX ALB SE(서비스 엔진) 트래픽을 허용 |
| avi-nodeportlocal | Avi SE | 임의 워크로드 클러스터 | TCP:61000-62000 | L4 및 L7 가상 서비스 모두에 대해 'NodePortLocal' 모드의 클러스터용 포드로의 NSX ALB SE 트래픽을 허용 |
| ako-to-avi | 관리 클러스터 네트워크, 워크로드 클러스터 네트워크 | Avi 컨트롤러** | TCP:443 | AKO(Avi Kubernetes Operator) 및 AKOO(AKO Operator)가 Avi 컨트롤러에 액세스할 수 있도록 허용 |
| avi-to-nsxt | Avi 컨트롤러 | VMware NSX(이전 이름: NSX-T) | TCP:443 | Avi가 NSX-T Cloud Connector를 사용하는 경우 Avi 컨트롤러가 VMware NSX에 액세스하도록 허용 |
| 기본 deny-all 규칙 | ||||
| deny-all | 임의 | 임의 | 모두 | 기본적으로 거부 |
- 6443 설정을
CLUSTER_API_SERVER_PORT로 재정의하거나, NSX Advanced Load Balancer가 있는 환경의 경우VSPHERE_CONTROL_PLANE_ENDPOINT_PORT클러스터 구성 변수로 재정의할 수 있습니다.
** 부트스트랩 시스템은 Tanzu CLI 명령이 실행되는 곳입니다. jumpbox(SSH를 통해 연결을 설정하는 원격 시스템), 로컬 시스템 또는 CI/CD 호스트일 수 있습니다.
이전에 Avi Vantage로 알려진 NSX Advanced Load Balancer에 필요한 추가 방화벽 규칙은 Avi Networks 설명서의 관리 통신을 위해 Avi Vantage에서 사용되는 프로토콜 포트를 참조하십시오.
규정 준수 및 강화
FIPS 지원 버전의 Tanzu Kubernetes Grid 2.1.0 및 2.1.1을 vSphere, AWS 또는 Azure 환경에 배포할 수 있습니다. FIPS용 BoM(Bill of Materials)은 FIPS 규격 암호화 모듈로 컴파일되고 사용하는 구성 요소만 표시합니다. 자세한 내용은 독립형 관리 클러스터 요구 사항의 FIPS 지원 버전을 참조하십시오.
TKG(Tanzu Kubernetes Grid)를 강화하여 ATO(Authority to Operate)를 달성할 수 있습니다. TKG 릴리스는 DISA STIG(정보 시스템 기관 보안 기술 구현 가이드), CISA(사이버 보안 및 인프라 보안 기관) 및 NSA(국가 보안 기관) 프레임워크, NIST(National Institute of Standards and Technology) 지침에 따라 지속적으로 검증됩니다. 가장 최근의 TKG 규정 준수 문서는 Tanzu Kubernetes Grid 2.1 규정 준수 및 강화입니다.
