Antes de poder implementar Tanzu Kubernetes Grid (TKG) con un clúster de administración independiente, debe aprovisionar recursos y permisos en la infraestructura para alojar el clúster de administración y los clústeres de carga de trabajo que crea.
Para las implementaciones de producción, VMware recomienda habilitar la administración de identidades externas en cada clúster de administración para controlar el acceso a él y a sus clústeres de carga de trabajo.
Puede implementar versiones compatibles con FIPS de Tanzu Kubernetes Grid v2.1.0 y v2.1.1 en el entorno de vSphere, AWS o Azure. La Lista de materiales (BoM) para FIPS solo muestra los componentes que se compilan con y utilizan módulos de criptografía conformes a FIPS. Para vSphere, los archivos OVA compatibles con FIPS se enumeran en la página de descargas de Tanzu Kubernetes Grid. Las imágenes de Azure y AMI compatibles con FIPS están disponibles en AWS y Azure, respectivamente.
(Solo vSphere) Importe un archivo OVA de Kubernetes compatible con FIPS en vSphere, como se describe en Importar la plantilla de imagen base en vSphere.
Los archivos OVA compatibles con FIPS para Tanzu Kubernetes Grid v2.1.1 se enumeran en la página de descargas de Tanzu Kubernetes Grid, en la sección Archivos OVA de Kubernetes compatibles con FIPS para VMware Tanzu Kubernetes Grid 2.1.1.
Los archivos OVA compatibles con FIPS para Tanzu Kubernetes Grid v2.1.0 se enumeran en la página de descargas de Tanzu Kubernetes Grid, en la sección Archivos OVA de Kubernetes compatibles con FIPS para VMware Tanzu Kubernetes Grid 2.1.0.
En la máquina de arranque, establezca la siguiente variable de entorno:
export TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH=fips/tkg-compatibility
Si tiene un directorio ~/.config/tanzu/tkg
de una instalación anterior de la CLI de Tanzu, elimine o cambie el nombre de los directorios bom
y compatibility
:
mv bom bom.old
mv compatibility compatibility.old
Establezca las marcas tls-cipher-suites
en cifrados compatibles con FIPS para api-server
, kube-scheduler
, kube-controller-manager
, etcd
y kubelet
. En función de la infraestructura de nube, es posible que también deba definir cifrados adicionales.
ytt overlay
. Consulte Configuración de clústeres heredados con ytt.(Solo Azure) Cuando acepte la licencia de imagen base, utilice un valor como k8s-1dot24dot9-fips-ubuntu-2004
basado en el número de versión de Kubernetes. Para obtener información sobre cómo aceptar la licencia de imagen base, consulte Aceptar la licencia de imagen base.
Cuando se implementa un clúster de administración con el ajuste TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH
con fips/tkg-compatibility
, la CLI descarga e implementa los componentes principales compatibles con FIPS que utilizan primitivos criptográficos proporcionados por una biblioteca compatible con FIPS basada en el módulo SSL BoringCrypto/Boring. Estos componentes principales compatibles con FIPS incluyen componentes de Kubernetes, Containerd y CRI, complementos de CNI, CoreDNS y etcd.
La CLI confirma las descargas de BoM compatibles con FIPS con un resultado que, para Tanzu Kubernetes Grid versión 2.1.1, es similar al siguiente:
Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.1-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.10_vmware.1-fips.1-tkg.1'
La CLI confirma las descargas de BoM conformes a FIPS con un resultado que, para Tanzu Kubernetes Grid versión 2.1.0, es similar al siguiente:
Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.0-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.9_vmware.1-fips.1-tkg.1'
Para obtener información sobre cómo implementar un clúster de administración independiente en un entorno con proxy o aire, consulte Preparar un entorno con acceso a Internet restringido.
Para implementar Tanzu Kubernetes Grid en VMware Cloud on AWS o en Azure VMware Solution, consulte Preparar para implementar clústeres de administración en un entorno de VMware Cloud.