vSphere with Tanzu는 vSphere 보안 기능을 활용하며 기본적으로 안전한 클러스터 Tanzu Kubernetes 클러스터를 프로비저닝합니다.
vSphere with Tanzu는 vCenter Server 및 ESXi에 내장된 보안 기능을 활용할 수 있는 vSphere에 대한 추가 기능 모듈입니다. 자세한 내용은 vSphere 보안 설명서를 참조하십시오.
감독자 클러스터는 데이터베이스(etcd)에 저장된 모든 암호를 암호화합니다. 암호는 부팅 시 vCenter Server에 의해 제공되는 로컬 암호 해독 키 파일을 통해 암호화됩니다. 암호 해독 키는 감독자 클러스터 노드의 메모리(tempfs)와 vCenter Server 데이터베이스 내의 암호화된 형식으로 디스크에 저장됩니다. 키는 각 시스템의 루트 사용자에게 일반 텍스트로 제공됩니다. 각 워크로드 클러스터의 데이터베이스 내에 보관된 암호는 일반 텍스트로 저장됩니다. 모든 etcd 연결은 설치 시 생성되고 업그레이드 중에 순환되는 인증서를 사용하여 인증됩니다. 현재는 인증서를 수동으로 순환하거나 업데이트할 수 없습니다.
vSphere 7.0 업데이트 2부터 AMD 시스템의 감독자 클러스터에서 기밀 vSphere 포드를 실행할 수 있습니다. SEV-ES(Secure Encrypted Virtualization-Encrypted State)를 보안 강화 항목으로 추가하여 기밀 vSphere 포드를 생성할 수 있습니다. 자세한 내용은 기밀 vSphere 포드 배포의 내용을 참조하십시오.
Tanzu Kubernetes 클러스터는 기본적으로 안전합니다. Tanzu Kubernetes Grid 서비스에서 프로비저닝된 모든 Tanzu Kubernetes 클러스터에 대해 제한적인 PSP(PodSecurityPolicy)를 사용할 수 있습니다. 개발자가 권한 있는 포드 또는 루트 컨테이너를 실행해야 하는 경우, 최소한 클러스터 관리자는 권한이 있는 기본 PSP에 대한 액세스 권한을 사용자에게 부여하는 RoleBinding을 생성해야 합니다. 자세한 내용은 Tanzu Kubernetes 클러스터에서 포드 보안 정책 사용의 내용을 참조하십시오.
Tanzu Kubernetes 클러스터에는 인프라 자격 증명이 없습니다. Tanzu Kubernetes 클러스터 내에 저장된 자격 증명은 Tanzu Kubernetes 클러스터에 테넌시가 있는 vSphere 네임스페이스에만 액세스하기에 충분합니다. 따라서 클러스터 운영자 또는 사용자에 대해 권한을 에스컬레이션할 수 있는 방법은 없습니다.
Tanzu Kubernetes 클러스터에 액세스하는 데 사용되는 인증 토큰은 감독자 클러스터에 액세스하는 데 토큰을 사용할 수 없도록 범위가 지정됩니다. 이렇게 하면 클러스터 운영자 또는 클러스터를 손상시키려는 개인이 Tanzu Kubernetes 클러스터에 로그인할 때 vSphere 관리자의 토큰을 캡처하기 위해 루트 수준 액세스를 사용하는 것을 방지할 수 있습니다.