This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

独立管理集群要求

在部署具有独立管理集群的 Tanzu Kubernetes Grid (TKG) 之前,必须在基础架构上置备资源和权限,以适应管理集群及其创建的工作负载集群。

外部身份管理

对于生产部署,VMware 建议在每个管理集群上启用外部身份管理,以控制对其及其工作负载集群的访问。

  • 有关如何在部署独立管理集群之前向外部身份提供程序注册 TKG 的信息,请参见配置身份管理中的获取身份提供程序详细信息
  • 有关具有独立管理集群的 Tanzu Kubernetes Grid 中的身份管理和访问控制的概念信息,请参见关于身份和访问管理

支持 FIPS 的版本

您可以将支持 FIPS 的 Tanzu Kubernetes Grid v2.1.0 和 v2.1.1 版本部署到 vSphere、AWS 或 Azure 环境中。FIPS 的物料清单 (BoM) 仅列出使用符合 FIPS 的加密模块编译的组件。对于 vSphere,支持 FIPS 的 OVA 列在 anzu Kubernetes Grid 下载页面中。支持 FIPS 的 AMI 和 Azure 映像分别在 AWS 和 Azure 中可用。

  1. (仅限 vSphere)将启用了 FIPS 的 Kubernetes OVA 导入到 vSphere,如 将基础映像模板导入到 vSphere 中所述。

    Tanzu Kubernetes Grid v2.1.1 的启用了 FIPS 的 OVA 列在 Tanzu Kubernetes Grid 下载页面的 VMware Tanzu Kubernetes Grid 2.1.1 的启用了 FIPS 的 Kubernetes OVA 部分中。

    • Photon v3 Kubernetes v1.24.10 FIPS OVA
    • Photon v3 Kubernetes v1.23.16 FIPS OVA
    • Photon v3 Kubernetes v1.22.17 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.24.10 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.23.16 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA

    Tanzu Kubernetes Grid v2.1.0 的启用了 FIPS 的 OVA 列在 Tanzu Kubernetes Grid 下载页面的 VMware Tanzu Kubernetes Grid 2.1.0 的启用了 FIPS 的 Kubernetes OVA 部分中。

    • Photon v3 Kubernetes v1.24.9 FIPS OVA
    • Photon v3 Kubernetes v1.23.15 FIPS OVA
    • Photon v3 Kubernetes v1.22.17 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.24.9 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.23.15 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA
  2. 在引导计算机上,设置以下环境变量:

    export TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH=fips/tkg-compatibility
    
  3. 如果以前在安装 Tanzu CLI 时具有~/.config/tanzu/tkg 目录,请移除或重命名其 bomcompatibility 目录:

    mv bom bom.old
    mv compatibility compatibility.old
    
  4. 针对 api-serverkube-schedulerkube-controller-manageretcdkubelet,将 tls-cipher-suites 标记设置为符合 FIPS 的密码。根据您的云基础架构,您可能还需要定义其他密码。

  5. (仅限 Azure)接受基础映像许可证时,请根据 Kubernetes 版本号使用 k8s-1dot24dot9-fips-ubuntu-2004 等值。有关如何接受基础映像许可证的信息,请参见接受基础映像许可证

当您部署具有 TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH 设置和 fips/tkg-compatibility 的管理集群时,CLI 会下载并部署符合 FIPS 的核心组件,这些组件使用基于 BoringCrypto / Boring SSL 模块的符合 FIPS 的库提供的加密原语。符合 FIPS 的核心组件包括 Kubernetes、Containerd 和 CRICNI 插件CoreDNSetcd 的组件。

CLI 通过输出确认符合 FIPS 的 BoM 下载,Tanzu Kubernetes Grid v2.1.1 的输出类似于:

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.1-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.10_vmware.1-fips.1-tkg.1'

CLI 通过输出确认符合 FIPS 的 BoM 下载,Tanzu Kubernetes Grid v2.1.0 的输出类似于:

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.0-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.9_vmware.1-fips.1-tkg.1'

Internet 受限环境

有关如何在代理或空隙环境中部署独立管理集群的信息,请参见准备 Internet 受限环境

VMware Cloud on AWS和 Azure VMware 解决方案

要将 Tanzu Kubernetes Grid 部署到 VMware Cloud on AWS 或 Azure VMware 解决方案,请参见准备部署管理集群到 VMware Cloud 环境

check-circle-line exclamation-circle-line close-line
Scroll to top icon