This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

보안 및 규정 준수

독립형 관리 클러스터가 있는 TKG(Tanzu Kubernetes Grid)의 경우 이 항목에는 인프라 보안 및 네트워크 보안 정책을 준수하기 위한 리소스가 나와 있습니다.

Supervisor가 있는 TKG의 경우 vSphere 8 설명서에서 vSphere with Tanzu 보안을 참조하십시오.

포트 및 프로토콜

Tanzu Kubernetes Grid에서 사용되는 네트워킹 포트 및 프로토콜은 VMware Ports and Protocols 도구에 나와 있습니다.

각 내부 통신 경로를 위해 VMware Ports and Protocols에 다음이 나와 있습니다.

  • 제품
  • 버전
  • 소스
  • 대상
  • 포트
  • 프로토콜
  • 용도
  • 서비스 설명
  • 분류(송신, 수신 또는 양방향)

이 정보를 사용하여 방화벽 규칙을 구성할 수 있습니다.

방화벽 규칙 Tanzu Kubernetes Grid

이름 소스 대상 서비스(:포트) 용도
workload-to-mgmt 워크로드 클러스터 네트워크 관리 클러스터 네트워크 TCP:6443* 워크로드 클러스터가 관리 클러스터에 등록되도록 허용
mgmt-to-workload 관리 클러스터 네트워크 워크로드 클러스터 네트워크 TCP:6443*, 5556 관리 네트워크가 워크로드 클러스터를 구성하도록 허용
allow-mgmt-subnet 관리 클러스터 네트워크 관리 클러스터 네트워크 모두 모든 내부 클러스터 통신 허용
allow-wl-subnet 워크로드 클러스터 네트워크 워크로드 클러스터 네트워크 모두 모든 내부 클러스터 통신 허용
jumpbox-to-k8s jumpbox IP 관리 클러스터 네트워크, 워크로드 클러스터 네트워크 TCP:6443* Jumpbox가 관리 클러스터를 생성하고 클러스터를 관리하도록 허용합니다.
dhcp 임의 NSX: 임의/NSX 없음: DHCP IP DHCP 호스트가 DHCP 주소를 가져올 수 있도록 허용합니다.
mc-pods-internal 관리 클러스터 포드 네트워크 SERVICE_CIDRCLUSTER_CIDR의 .1 주소 TCP:* 관리 클러스터의 포드에서 Kubernetes API 서버로의 내부 트래픽 및 워크로드 클러스터의 포드로의 내부 트래픽 허용
to-harbor 관리 클러스터 네트워크, 워크로드 클러스터 네트워크, jumpbox IP Harbor IP HTTPS 구성 요소가 컨테이너 이미지를 검색할 수 있도록 허용
to-vcenter 관리 클러스터 네트워크, 워크로드 클러스터 네트워크, jumpbox IP vCenter IP HTTPS 구성 요소가 vSphere 액세스하여 VM 및 스토리지 볼륨을 생성할 수 있도록 허용
dns-ntp-outbound 관리 클러스터 네트워크, 워크로드 클러스터 네트워크, jumpbox IP DNS, NTP 서버 DNS, NTP 핵심 서비스
ssh-to-jumpbox 임의 jumpbox IP SSH 외부에서 jumpbox로 액세스
외부 ID 제공자의 경우
allow-pinniped 워크로드 클러스터 네트워크 관리 클러스터 네트워크 TCP:31234 워크로드 클러스터의 Pinniped 컨시어지가 관리 클러스터의 Pinniped Supervisor 액세스 허용. 'NodePort' 또는 'LoadBalancer' 서비스 뒤에서 실행 중일 수 있음
bootstrap-allow-pinniped 부트스트랩 시스템** 관리 클러스터 네트워크 TCP:31234 부트스트랩 시스템이 관리 클러스터의 Pinniped Supervisor 액세스 허용. 'NodePort' 또는 'LoadBalancer' 서비스 뒤에서 실행 중일 수 있음
NSX ALB***의 경우
avi-nodeport Avi SE 임의 워크로드 클러스터 TCP:30000-32767 L4 및 L7 가상 서비스 모두에 대해 'NodePort' 모드(기본값)의 클러스터용 포드로의 NSX ALB SE(서비스 엔진) 트래픽을 허용
avi-nodeportlocal Avi SE 임의 워크로드 클러스터 TCP:61000-62000 L4 및 L7 가상 서비스 모두에 대해 'NodePortLocal' 모드의 클러스터용 포드로의 NSX ALB SE 트래픽을 허용
ako-to-avi 관리 클러스터 네트워크, 워크로드 클러스터 네트워크 Avi 컨트롤러** TCP:443 AKO(Avi Kubernetes Operator) 및 AKOO(AKO Operator)가 Avi 컨트롤러에 액세스할 수 있도록 허용
avi-to-nsxt Avi 컨트롤러 VMware NSX(이전 이름: NSX-T) TCP:443 Avi가 NSX-T Cloud Connector를 사용하는 경우 Avi 컨트롤러가 VMware NSX에 액세스하도록 허용
기본 deny-all 규칙
deny-all 임의 임의 모두 기본적으로 거부
  • 6443 설정을 CLUSTER_API_SERVER_PORT로 재정의하거나, NSX Advanced Load Balancer가 있는 환경의 경우 VSPHERE_CONTROL_PLANE_ENDPOINT_PORT 클러스터 구성 변수로 재정의할 수 있습니다.

** 부트스트랩 시스템은 Tanzu CLI 명령이 실행되는 곳입니다. jumpbox(SSH를 통해 연결을 설정하는 원격 시스템), 로컬 시스템 또는 CI/CD 호스트일 수 있습니다.

이전에 Avi Vantage로 알려진 NSX Advanced Load Balancer에 필요한 추가 방화벽 규칙은 Avi Networks 설명서의 관리 통신을 위해 Avi Vantage에서 사용되는 프로토콜 포트를 참조하십시오.

규정 준수 및 강화

FIPS 지원 버전의 Tanzu Kubernetes Grid 2.1.0 및 2.1.1을 vSphere, AWS 또는 Azure 환경에 배포할 수 있습니다. FIPS용 BoM(Bill of Materials)은 FIPS 규격 암호화 모듈로 컴파일되고 사용하는 구성 요소만 표시합니다. 자세한 내용은 독립형 관리 클러스터 요구 사항의 FIPS 지원 버전을 참조하십시오.

TKG(Tanzu Kubernetes Grid)를 강화하여 ATO(Authority to Operate)를 달성할 수 있습니다. TKG 릴리스는 DISA STIG(정보 시스템 기관 보안 기술 구현 가이드), CISA(사이버 보안 및 인프라 보안 기관) 및 NSA(국가 보안 기관) 프레임워크, NIST(National Institute of Standards and Technology) 지침에 따라 지속적으로 검증됩니다. 가장 최근의 TKG 규정 준수 문서는 Tanzu Kubernetes Grid 2.1 규정 준수 및 강화입니다.

check-circle-line exclamation-circle-line close-line
Scroll to top icon