This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

安全性和合規性

對於具有獨立管理叢集的 Tanzu Kubernetes Grid (TKG),本主題列出了用於保護基礎架構並符合網路安全策略的資源。

對於具有主管的 TKG,請參見 vSphere 8 說明文件中的 vSphere with Tanzu 安全性

連接埠和通訊協定

VMware Ports and Protocols 工具中列出 Tanzu Kubernetes Grid 使用的網路連接埠和通訊協定。

對於每個內部通訊路徑,VMware Ports and Protocols 會列出:

  • 產品
  • 版本
  • 來源
  • 目的地
  • 連接埠
  • 通訊協定
  • 用途
  • 服務說明
  • 分類 (傳出、傳入或雙向)

您可以使用此資訊來設定防火牆規則。

Tanzu Kubernetes Grid 防火牆規則

名稱 來源 目的地 服務(:連接埠) 用途
workload-to-mgmt 工作負載叢集網路 管理叢集網路 TCP:6443* 允許工作負載叢集向管理叢集登錄
mgmt-to-workload 管理叢集網路 工作負載叢集網路 TCP:6443*、5556 允許管理網路設定工作負載叢集
allow-mgmt-subnet 管理叢集網路 管理叢集網路 全部 允許所有內部叢集通訊
allow-wl-subnet 工作負載叢集網路 工作負載叢集網路 全部 允許所有內部叢集通訊
jumpbox-to-k8s Jumpbox IP 管理叢集網路、工作負載叢集網路 TCP:6443* 允許 Jumpbox 建立管理叢集以及管理這些叢集。
dhcp 任何 NSX:任何 / 無 NSX:DHCP IP DHCP 允許主機取得 DHCP 位址。
mc-pods-internal 管理叢集 Pod 網路 SERVICE_CIDRCLUSTER_CIDR 內的 .1 位址 TCP:* 允許管理叢集上的 Pod 的內部流量傳輸到 Kubernetes API 伺服器和工作負載叢集上的 Pod
to-harbor 管理叢集網路、工作負載叢集網路、Jumpbox IP Harbor IP HTTPS 允許元件擷取容器映像
to-vcenter 管理叢集網路、工作負載叢集網路、Jumpbox IP vCenter IP HTTPS 允許元件存取 vSphere 以建立虛擬機器和儲存磁碟區
dns-ntp-outbound 管理叢集網路、工作負載叢集網路、Jumpbox IP DNS、NTP 伺服器 DNS、NTP 核心服務
ssh-to-jumpbox 任何 Jumpbox IP SSH 從外部存取 Jumpbox
對於外部身分識別提供者
allow-pinniped 工作負載叢集網路 管理叢集網路 TCP:31234 允許工作負載叢集上的 Pinniped Concierge 存取管理叢集上的 Pinniped 主管,該管理叢集可能在「NodePort」或「LoadBalancer」服務後面執行
bootstrap-allow-pinniped 啟動機器** 管理叢集網路 TCP:31234 允許啟動機器存取管理叢集上的 Pinniped 主管,該管理叢集可能在「NodePort」或「LoadBalancer」服務後面執行
對於 NSX ALB***
avi-nodeport Avi SE 任何工作負載叢集 TCP:30000-32767 對於 L4 和 L7 虛擬服務,如果叢集處於「NodePort」模式 (預設),則允許 NSX ALB SE (服務引擎) 流量傳輸到 Pod
avi-nodeportlocal Avi SE 任何工作負載叢集 TCP:61000-62000 對於 L4 和 L7 虛擬服務,如果叢集處於「NodePortLocal」模式,則允許 NSX ALB SE 流量傳輸到 Pod
ako-to-avi 管理叢集網路、工作負載叢集網路 Avi 控制器** TCP:443 允許 Avi Kubernetes Operator (AKO) 和 AKO Operator (AKOO) 存取 Avi 控制器
avi-to-nsxt Avi 控制器 VMware NSX (以前稱為 NSX-T) TCP:443 如果 Avi 使用 NSX-T Cloud Connector,則允許 Avi 控制器存取 VMware NSX
預設 deny-all 規則
deny-all 任何 任何 全部 依預設會拒絕
  • 您可以使用 CLUSTER_API_SERVER_PORT,或使用 VSPHERE_CONTROL_PLANE_ENDPOINT_PORT 叢集組態變數 (若為具有 NSX Advanced Load Balancer 的環境),來覆寫連接埠 6443 設定。

** 啟動機器是執行 Tanzu CLI 命令的位置。它可以是 Jumpbox (透過 SSH 與其建立連線的遠端機器)、本機機器或 CI/CD 主機。

***有關 NSX Advanced Load Balancer (以前稱為 Avi Vantage) 所需的其他防火牆規則,請參閱 Avi Networks 說明文件中的 Avi Vantage 用於管理通訊的通訊協定連接埠

合規性和強化

您可以將支援 FIPS 的 Tanzu Kubernetes Grid 2.1.0 和 2.1.1 版本部署到 vSphere、AWS 或 Azure 環境中。FIPS 的用料表 (BoM) 僅列出使用 FIPS 相容密碼編譯模組編譯的元件。有關詳細資訊,請參見《獨立管理叢集要求》中的支援 FIPS 的版本

您可以強化 Tanzu Kubernetes Grid (TKG),以實現營運授權 (ATO)。TKG 版本會根據防禦資訊系統代理機構安全性技術實作指南 (DISA STIG)、網路安全和基礎結構安全域 (CISA) 和國家安全局 (NSA) 架構以及美國國家標準與技術研究院 (NIST) 準則持續驗證。最新的 TKG 合規性文件是《Tanzu Kubernetes Grid 2.1 合規性和強化》

check-circle-line exclamation-circle-line close-line
Scroll to top icon