vSphere with Tanzu 利用 vSphere 安全性功能,並佈建預設安全的 Tanzu Kubernetes 叢集。
vSphere with Tanzu 是 vSphere 的附加元件模組,可以利用 vCenter Server 和 ESXi 內建的安全性功能。如需詳細資訊,請參閱《vSphere 安全性》說明文件。
主管叢集會加密儲存在資料庫 (etcd) 中的所有密碼。密碼透過本機解密金鑰檔案進行加密,該檔案由 vCenter Server 在開機時提供。解密金鑰儲存在 主管叢集 節點上的記憶體 (tempfs) 中,並以加密形式儲存在磁碟上的 vCenter Server 資料庫中。該金鑰以明碼方式提供給每個系統的 root 使用者。在每個工作負載叢集的資料庫中儲存的密碼以明碼方式儲存。所有 etcd 連線都使用在安裝時產生並在升級期間輪替的憑證進行驗證。目前無法手動輪替或更新憑證。
從 vSphere 7.0 Update 2 開始,您可以在 AMD 系統上的主管叢集中執行機密 vSphere 網繭。您可以透過新增安全加密虛擬化-加密狀態 (SEV-ES) 作為安全性增強功能,以建立機密的 vSphere 網繭。如需詳細資訊,請參閱 部署機密 vSphere 網繭。
Tanzu Kubernetes 叢集預設會受到保護。限制性 PodSecurityPolicy (PSP) 可供由 Tanzu Kubernetes Grid 服務 佈建的任何 Tanzu Kubernetes 叢集使用。如果開發人員需要執行具特殊權限的網繭或根容器,叢集管理員至少必須建立一個 RoleBinding,授與使用者對預設的特殊權限 PSP 的存取權。如需詳細資訊,請參閱 將網繭安全性原則與 Tanzu Kubernetes 叢集搭配使用。
Tanzu Kubernetes 叢集不具有基礎結構認證。儲存在 Tanzu Kubernetes 叢集中的認證僅足夠用於存取 Tanzu Kubernetes 叢集具有租用戶的 vSphere 命名空間。因此,叢集操作員或使用者沒有途徑可提升權限。
用來存取 Tanzu Kubernetes 叢集的驗證 Token 範圍受到限定,因此無法使用 Token 存取 主管叢集。這可防止叢集操作員或可能嘗試危害叢集的個人在登入 Tanzu Kubernetes 叢集時使用其根層級存取權擷取 vSphere 管理員的 Token。