Anforderungen für eigenständige Verwaltungscluster

Bevor Sie Tanzu Kubernetes Grid (TKG) mit einem eigenständigen Verwaltungscluster bereitstellen können, müssen Sie Ressourcen und Berechtigungen in Ihrer Infrastruktur bereitstellen, um den Verwaltungscluster und die von diesem erstellten Arbeitslastcluster aufzunehmen.

• Informationen zum Einrichten einer vSphere-Infrastruktur finden Sie unter Vorbereitung der Bereitstellung von Verwaltungsclustern für vSphere.
• Informationen zum Einrichten einer AWS-Infrastruktur finden Sie unter Vorbereitung der Bereitstellung von Verwaltungsclustern für AWS.
• Informationen zum Einrichten einer Microsoft Azure-Infrastruktur finden Sie unter Vorbereitung der Bereitstellung von Verwaltungsclustern für Microsoft Azure.

Externe Identitätsverwaltung

Für Produktionsbereitstellungen empfiehlt VMware die Aktivierung der externen Identitätsverwaltung in jedem Verwaltungscluster, um den Zugriff auf diesen und seine Arbeitslastcluster zu steuern.

• Informationen zum Registrieren von TKG bei einem externen Identitätsanbieter vor der Bereitstellung eines eigenständigen Verwaltungsclusters finden Sie unter Abrufen der Details Ihres Identitätsanbieters im Abschnitt Konfigurieren der Identitätsverwaltung.
• Konzeptionelle Informationen zur Identitätsverwaltung und Zugriffssteuerung in Tanzu Kubernetes Grid mit einem eigenständigen Verwaltungscluster finden Sie unter Informationen zur Identitäts- und Zugriffsverwaltung.

FIPS-fähige Versionen

Sie können eine FIPS-fähige Version von Tanzu Kubernetes Grid v2.1.0 und v2.1.1 in Ihrer vSphere-, AWS- oder Azure-Umgebung bereitstellen. Die Stückliste (BoM) für FIPS listet nur Komponenten auf, die mit FIPS-konformen Kryptografiemodulen kompiliert sind und diese verwenden. Für vSphere werden die FIPS-fähigen OVAs auf der Tanzu Kubernetes Grid-Download-Seite aufgeführt. Die FIPS-fähigen AMI- und Azure-Images sind jeweils in AWS und Azure verfügbar.

1. (Nur vSphere) Importieren Sie eine FIPS-fähige Kubernetes-OVA in vSphere (siehe Beschreibung unter Importieren der Basisimage-Vorlage in vSphere).

   Die FIPS-fähigen OVAs für Tanzu Kubernetes Grid v2.1.1 sind auf der Tanzu Kubernetes Grid-Download-Seite im Abschnitt FIPS-fähige Kubernetes-OVAs für VMware Tanzu Kubernetes Grid 2.1.1 aufgeführt.

   • Photon v3 Kubernetes v1.24.10 FIPS-OVA
   • Photon v3 Kubernetes v1.23.16 FIPS-OVA
   • Photon v3 Kubernetes v1.22.17 FIPS-OVA
   • UBUNTU 2004 Kubernetes v1.24.10 FIPS-OVA
   • Ubuntu 2004 Kubernetes v1.23.16 FIPS-OVA
   • FIPS-OVA für Ubuntu 2004 Kubernetes v1.22.17

   Die FIPS-fähigen OVAs für Tanzu Kubernetes Grid v2.1.0 sind auf der Tanzu Kubernetes Grid-Download-Seite im Abschnitt FIPS-fähige Kubernetes-OVAs für VMware Tanzu Kubernetes Grid 2.1.0 aufgeführt.

   • Photon v3 Kubernetes v1.24.9 FIPS-OVA
   • Photon v3 Kubernetes v1.23.15 FIPS-OVA
   • Photon v3 Kubernetes v1.22.17 FIPS-OVA
   • FIPS-OVA für Ubuntu 2004 Kubernetes v1.24.9
   • Ubuntu 2004 Kubernetes v1.23.15 FIPS-OVA
   • FIPS-OVA für Ubuntu 2004 Kubernetes v1.22.17

2. Legen Sie auf Ihrer Bootstrap-Maschine die folgende Umgebungsvariable fest:

   export TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH=fips/tkg-compatibility
   

3. Wenn Sie über ein ~/.config/tanzu/tkg-Verzeichnis aus einer vorherigen Installation der Tanzu CLI verfügen, entfernen oder benennen Sie die zugehörigen Verzeichnisse bom und compatibility um:

   mv bom bom.old
   mv compatibility compatibility.old
   

4. Legen Sie tls-cipher-suites-Flags auf FIPS-konforme Verschlüsselungen für api-server, kube-scheduler, kube-controller-manager, etcd und kubelet fest. Abhängig von Ihrer Cloud-Infrastruktur müssen Sie möglicherweise auch zusätzliche Verschlüsselungen definieren.

   • Sie können das Image auch mithilfe von ytt overlay absichern. Siehe Konfiguration von Legacy-Clustern mit ytt.
   • Informationen zur STIG-Konformität finden Sie unter STIG- und NSA/CISA-Hardening.

5. (Nur Azure) Wenn Sie die Basisimage-Lizenz akzeptieren, verwenden Sie einen Wert wie k8s-1dot24dot9-fips-ubuntu-2004 auf Basis der Kubernetes-Versionsnummer. Informationen zum Akzeptieren der Basisimage-Lizenz finden Sie unter Akzeptieren der Basisimage-Lizenz.

Wenn Sie einen Verwaltungscluster mit der Einstellung TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH mit fips/tkg-compatibility bereitstellen, werden von der CLI FIPS-konforme Kernkomponenten heruntergeladen und zur Verfügung gestellt, die kryptografische Primitive verwenden, die von einer FIPS-konformen Bibliothek auf Basis des Moduls BoringCrypto/Boring SSL bereitgestellt werden. Zu den FIPS-konformen Kernkomponenten gehören Komponenten von Kubernetes, Containerd und CRI, CNI-Plug-Ins, CoreDNS und etcd.

Die CLI bestätigt die FIPS-konformen BoM-Downloads mit der Ausgabe, die für Tanzu Kubernetes Grid v2.1.1 ähnelt:

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.1-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.10_vmware.1-fips.1-tkg.1'

Die CLI bestätigt die FIPS-konformen BoM-Downloads mit einer Ausgabe, die für Tanzu Kubernetes Grid v2.1.0 ähnelt:

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.0-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.9_vmware.1-fips.1-tkg.1'

Umgebungen mit Internetbeschränkungen

Informationen zum Bereitstellen eines eigenständigen Verwaltungsclusters in einer Proxy- oder AirGap-Umgebung finden Sie unter Vorbereiten einer Umgebung mit Internetbeschränkungen.

VMware Cloud on AWS und Azure VMware Solution

Informationen zur Bereitstellung von Tanzu Kubernetes Grid in VMware Cloud on AWS oder Azure VMware Solution finden Sie unter Vorbereitung der Bereitstellung von Verwaltungsclustern in einer VMware Cloud-Umgebung.