安全性和合規性
對於具有獨立管理叢集的 Tanzu Kubernetes Grid (TKG),本主題列出了用於保護基礎架構並符合網路安全策略的資源。
對於具有主管的 TKG,請參見 vSphere 8 說明文件中的 vSphere with Tanzu 安全性。
連接埠和通訊協定
VMware Ports and Protocols 工具中列出 Tanzu Kubernetes Grid 使用的網路連接埠和通訊協定。
對於每個內部通訊路徑,VMware Ports and Protocols 會列出:
- 產品
- 版本
- 來源
- 目的地
- 連接埠
- 通訊協定
- 用途
- 服務說明
- 分類 (傳出、傳入或雙向)
您可以使用此資訊來設定防火牆規則。
Tanzu Kubernetes Grid 防火牆規則
| 名稱 | 來源 | 目的地 | 服務(:連接埠) | 用途 |
|---|---|---|---|---|
| workload-to-mgmt | 工作負載叢集網路 | 管理叢集網路 | TCP:6443* | 允許工作負載叢集向管理叢集登錄 |
| mgmt-to-workload | 管理叢集網路 | 工作負載叢集網路 | TCP:6443*、5556 | 允許管理網路設定工作負載叢集 |
| allow-mgmt-subnet | 管理叢集網路 | 管理叢集網路 | 全部 | 允許所有內部叢集通訊 |
| allow-wl-subnet | 工作負載叢集網路 | 工作負載叢集網路 | 全部 | 允許所有內部叢集通訊 |
| jumpbox-to-k8s | Jumpbox IP | 管理叢集網路、工作負載叢集網路 | TCP:6443* | 允許 Jumpbox 建立管理叢集以及管理這些叢集。 |
| dhcp | 任何 | NSX:任何 / 無 NSX:DHCP IP | DHCP | 允許主機取得 DHCP 位址。 |
| mc-pods-internal | 管理叢集 Pod 網路 | SERVICE_CIDR 和 CLUSTER_CIDR 內的 .1 位址 |
TCP:* | 允許管理叢集上的 Pod 的內部流量傳輸到 Kubernetes API 伺服器和工作負載叢集上的 Pod |
| to-harbor | 管理叢集網路、工作負載叢集網路、Jumpbox IP | Harbor IP | HTTPS | 允許元件擷取容器映像 |
| to-vcenter | 管理叢集網路、工作負載叢集網路、Jumpbox IP | vCenter IP | HTTPS | 允許元件存取 vSphere 以建立虛擬機器和儲存磁碟區 |
| dns-ntp-outbound | 管理叢集網路、工作負載叢集網路、Jumpbox IP | DNS、NTP 伺服器 | DNS、NTP | 核心服務 |
| ssh-to-jumpbox | 任何 | Jumpbox IP | SSH | 從外部存取 Jumpbox |
| 對於外部身分識別提供者 | ||||
| allow-pinniped | 工作負載叢集網路 | 管理叢集網路 | TCP:31234 | 允許工作負載叢集上的 Pinniped Concierge 存取管理叢集上的 Pinniped 主管,該管理叢集可能在「NodePort」或「LoadBalancer」服務後面執行 |
| bootstrap-allow-pinniped | 啟動機器** | 管理叢集網路 | TCP:31234 | 允許啟動機器存取管理叢集上的 Pinniped 主管,該管理叢集可能在「NodePort」或「LoadBalancer」服務後面執行 |
| 對於 NSX ALB*** | ||||
| avi-nodeport | Avi SE | 任何工作負載叢集 | TCP:30000-32767 | 對於 L4 和 L7 虛擬服務,如果叢集處於「NodePort」模式 (預設),則允許 NSX ALB SE (服務引擎) 流量傳輸到 Pod |
| avi-nodeportlocal | Avi SE | 任何工作負載叢集 | TCP:61000-62000 | 對於 L4 和 L7 虛擬服務,如果叢集處於「NodePortLocal」模式,則允許 NSX ALB SE 流量傳輸到 Pod |
| ako-to-avi | 管理叢集網路、工作負載叢集網路 | Avi 控制器** | TCP:443 | 允許 Avi Kubernetes Operator (AKO) 和 AKO Operator (AKOO) 存取 Avi 控制器 |
| avi-to-nsxt | Avi 控制器 | VMware NSX (以前稱為 NSX-T) | TCP:443 | 如果 Avi 使用 NSX-T Cloud Connector,則允許 Avi 控制器存取 VMware NSX |
| 預設 deny-all 規則 | ||||
| deny-all | 任何 | 任何 | 全部 | 依預設會拒絕 |
- 您可以使用
CLUSTER_API_SERVER_PORT,或使用VSPHERE_CONTROL_PLANE_ENDPOINT_PORT叢集組態變數 (若為具有 NSX Advanced Load Balancer 的環境),來覆寫連接埠 6443 設定。
** 啟動機器是執行 Tanzu CLI 命令的位置。它可以是 Jumpbox (透過 SSH 與其建立連線的遠端機器)、本機機器或 CI/CD 主機。
***有關 NSX Advanced Load Balancer (以前稱為 Avi Vantage) 所需的其他防火牆規則,請參閱 Avi Networks 說明文件中的 Avi Vantage 用於管理通訊的通訊協定連接埠。
合規性和強化
您可以將支援 FIPS 的 Tanzu Kubernetes Grid 2.1.0 和 2.1.1 版本部署到 vSphere、AWS 或 Azure 環境中。FIPS 的用料表 (BoM) 僅列出使用 FIPS 相容密碼編譯模組編譯的元件。有關詳細資訊,請參見《獨立管理叢集要求》中的支援 FIPS 的版本。
您可以強化 Tanzu Kubernetes Grid (TKG),以實現營運授權 (ATO)。TKG 版本會根據防禦資訊系統代理機構安全性技術實作指南 (DISA STIG)、網路安全和基礎結構安全域 (CISA) 和國家安全局 (NSA) 架構以及美國國家標準與技術研究院 (NIST) 準則持續驗證。最新的 TKG 合規性文件是《Tanzu Kubernetes Grid 2.1 合規性和強化》。
