独立管理集群要求

在部署具有独立管理集群的 Tanzu Kubernetes Grid (TKG) 之前，必须在基础架构上置备资源和权限，以适应管理集群及其创建的工作负载集群。

有关如何设置 vSphere 基础架构，请参见准备将管理集群部署到 vSphere。
有关如何设置 AWS 基础架构，请参见准备将管理集群部署到 AWS。
有关如何设置 Microsoft Azure 基础架构，请参见准备将管理集群部署到 Microsoft Azure。

外部身份管理

对于生产部署，VMware 建议在每个管理集群上启用外部身份管理，以控制对其及其工作负载集群的访问。

有关如何在部署独立管理集群之前向外部身份提供程序注册 TKG 的信息，请参见配置身份管理中的获取身份提供程序详细信息。
有关具有独立管理集群的 Tanzu Kubernetes Grid 中的身份管理和访问控制的概念信息，请参见关于身份和访问管理。

支持 FIPS 的版本

您可以将支持 FIPS 的 Tanzu Kubernetes Grid v2.1.0 和 v2.1.1 版本部署到 vSphere、AWS 或 Azure 环境中。FIPS 的物料清单 (BoM) 仅列出使用符合 FIPS 的加密模块编译的组件。对于 vSphere，支持 FIPS 的 OVA 列在 anzu Kubernetes Grid 下载页面中。支持 FIPS 的 AMI 和 Azure 映像分别在 AWS 和 Azure 中可用。

（仅限 vSphere）将启用了 FIPS 的 Kubernetes OVA 导入到 vSphere，如将基础映像模板导入到 vSphere 中所述。

Tanzu Kubernetes Grid v2.1.1 的启用了 FIPS 的 OVA 列在 Tanzu Kubernetes Grid 下载页面的 VMware Tanzu Kubernetes Grid 2.1.1 的启用了 FIPS 的 Kubernetes OVA 部分中。
- Photon v3 Kubernetes v1.24.10 FIPS OVA
- Photon v3 Kubernetes v1.23.16 FIPS OVA
- Photon v3 Kubernetes v1.22.17 FIPS OVA
- Ubuntu 2004 Kubernetes v1.24.10 FIPS OVA
- Ubuntu 2004 Kubernetes v1.23.16 FIPS OVA
- Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA
Tanzu Kubernetes Grid v2.1.0 的启用了 FIPS 的 OVA 列在 Tanzu Kubernetes Grid 下载页面的 VMware Tanzu Kubernetes Grid 2.1.0 的启用了 FIPS 的 Kubernetes OVA 部分中。
- Photon v3 Kubernetes v1.24.9 FIPS OVA
- Photon v3 Kubernetes v1.23.15 FIPS OVA
- Photon v3 Kubernetes v1.22.17 FIPS OVA
- Ubuntu 2004 Kubernetes v1.24.9 FIPS OVA
- Ubuntu 2004 Kubernetes v1.23.15 FIPS OVA
- Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA

在引导计算机上，设置以下环境变量：

export TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH=fips/tkg-compatibility

如果以前在安装 Tanzu CLI 时具有~/.config/tanzu/tkg 目录，请移除或重命名其 bom 和 compatibility 目录：
```
mv bom bom.old
mv compatibility compatibility.old
```
针对 api-server、kube-scheduler、kube-controller-manager、etcd 和kubelet，将 tls-cipher-suites 标记设置为符合 FIPS 的密码。根据您的云基础架构，您可能还需要定义其他密码。
- 您还可以使用 ytt overlay 强化映像。请参见具有 ytt 的旧版集群配置
- 有关 STIG 合规性，请参见 STIG 和 NSA/CISA 强化。
（仅限 Azure）接受基础映像许可证时，请根据 Kubernetes 版本号使用 k8s-1dot24dot9-fips-ubuntu-2004 等值。有关如何接受基础映像许可证的信息，请参见接受基础映像许可证。

当您部署具有 TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH 设置和 fips/tkg-compatibility 的管理集群时，CLI 会下载并部署符合 FIPS 的核心组件，这些组件使用基于 BoringCrypto / Boring SSL 模块的符合 FIPS 的库提供的加密原语。符合 FIPS 的核心组件包括 Kubernetes、Containerd 和 CRI、CNI 插件、CoreDNS 和 etcd 的组件。

CLI 通过输出确认符合 FIPS 的 BoM 下载，Tanzu Kubernetes Grid v2.1.1 的输出类似于：

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.1-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.10_vmware.1-fips.1-tkg.1'

CLI 通过输出确认符合 FIPS 的 BoM 下载，Tanzu Kubernetes Grid v2.1.0 的输出类似于：

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.0-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.9_vmware.1-fips.1-tkg.1'

Internet 受限环境

有关如何在代理或空隙环境中部署独立管理集群的信息，请参见准备 Internet 受限环境。

VMware Cloud on AWS和 Azure VMware 解决方案

要将 Tanzu Kubernetes Grid 部署到 VMware Cloud on AWS 或 Azure VMware 解决方案，请参见准备部署管理集群到 VMware Cloud 环境。