Requisitos del clúster de administración independiente

Antes de poder implementar Tanzu Kubernetes Grid (TKG) con un clúster de administración independiente, debe aprovisionar recursos y permisos en la infraestructura para alojar el clúster de administración y los clústeres de carga de trabajo que crea.

• Para obtener información sobre cómo configurar una infraestructura de vSphere, consulte Preparar para implementar clústeres de administración en vSphere.
• Para obtener información sobre cómo configurar una infraestructura de AWS, consulte Preparar para implementar clústeres de administración en AWS.
• Para obtener información sobre cómo configurar una infraestructura de Microsoft Azure, consulte Preparar para implementar clústeres de administración en Microsoft Azure.

Administración de identidades externa

Para las implementaciones de producción, VMware recomienda habilitar la administración de identidades externas en cada clúster de administración para controlar el acceso a él y a sus clústeres de carga de trabajo.

• Para obtener información sobre cómo registrar TKG con un proveedor de identidad externo antes de implementar un clúster de administración independiente, consulte Obtener los detalles del proveedor de identidades en Configurar la administración de identidades.
• Para obtener información conceptual sobre la administración de identidades y el control de acceso en Tanzu Kubernetes Grid con un clúster de administración independiente, consulte Acerca de la administración de identidades y acceso.

Versiones compatibles con FIPS

Puede implementar versiones compatibles con FIPS de Tanzu Kubernetes Grid v2.1.0 y v2.1.1 en el entorno de vSphere, AWS o Azure. La Lista de materiales (BoM) para FIPS solo muestra los componentes que se compilan con y utilizan módulos de criptografía conformes a FIPS. Para vSphere, los archivos OVA compatibles con FIPS se enumeran en la página de descargas de Tanzu Kubernetes Grid. Las imágenes de Azure y AMI compatibles con FIPS están disponibles en AWS y Azure, respectivamente.

1. (Solo vSphere) Importe un archivo OVA de Kubernetes compatible con FIPS en vSphere, como se describe en Importar la plantilla de imagen base en vSphere.

   Los archivos OVA compatibles con FIPS para Tanzu Kubernetes Grid v2.1.1 se enumeran en la página de descargas de Tanzu Kubernetes Grid, en la sección Archivos OVA de Kubernetes compatibles con FIPS para VMware Tanzu Kubernetes Grid 2.1.1.

   • Photon OVA FIPS de Kubernetes v3 versión 1.24.10
   • Photon v3 Kubernetes v1.23.16 FIPS OVA
   • Photon v3 Kubernetes v1.22.17 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.24.10 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.23.16 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA

   Los archivos OVA compatibles con FIPS para Tanzu Kubernetes Grid v2.1.0 se enumeran en la página de descargas de Tanzu Kubernetes Grid, en la sección Archivos OVA de Kubernetes compatibles con FIPS para VMware Tanzu Kubernetes Grid 2.1.0.

   • Photon OVA FIPS de Kubernetes v3 versión 1.24.9
   • Photon OVA FIPS de Kubernetes v3 versión 1.23.15
   • Photon v3 Kubernetes v1.22.17 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.24.9 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.23.15 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA

2. En la máquina de arranque, establezca la siguiente variable de entorno:

   export TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH=fips/tkg-compatibility
   

3. Si tiene un directorio ~/.config/tanzu/tkg de una instalación anterior de la CLI de Tanzu, elimine o cambie el nombre de los directorios bom y compatibility:

   mv bom bom.old
   mv compatibility compatibility.old
   

4. Establezca las marcas tls-cipher-suites en cifrados compatibles con FIPS para api-server, kube-scheduler, kube-controller-manager, etcd y kubelet. En función de la infraestructura de nube, es posible que también deba definir cifrados adicionales.

   • También puede proteger la imagen mediante el uso de ytt overlay. Consulte Configuración de clústeres heredados con ytt.
   • Para obtener información sobre el cumplimiento de STIG, consulte Protección de STIG y NSA/CISA.

5. (Solo Azure) Cuando acepte la licencia de imagen base, utilice un valor como k8s-1dot24dot9-fips-ubuntu-2004 basado en el número de versión de Kubernetes. Para obtener información sobre cómo aceptar la licencia de imagen base, consulte Aceptar la licencia de imagen base.

Cuando se implementa un clúster de administración con el ajuste TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH con fips/tkg-compatibility, la CLI descarga e implementa los componentes principales compatibles con FIPS que utilizan primitivos criptográficos proporcionados por una biblioteca compatible con FIPS basada en el módulo SSL BoringCrypto/Boring. Estos componentes principales compatibles con FIPS incluyen componentes de Kubernetes, Containerd y CRI, complementos de CNI, CoreDNS y etcd.

La CLI confirma las descargas de BoM compatibles con FIPS con un resultado que, para Tanzu Kubernetes Grid versión 2.1.1, es similar al siguiente:

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.1-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.10_vmware.1-fips.1-tkg.1'

La CLI confirma las descargas de BoM conformes a FIPS con un resultado que, para Tanzu Kubernetes Grid versión 2.1.0, es similar al siguiente:

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.0-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.9_vmware.1-fips.1-tkg.1'

Entornos con acceso a Internet restringido

Para obtener información sobre cómo implementar un clúster de administración independiente en un entorno con proxy o aire, consulte Preparar un entorno con acceso a Internet restringido.

VMware Cloud on AWS y solución de VMware Azure

Para implementar Tanzu Kubernetes Grid en VMware Cloud on AWS o en Azure VMware Solution, consulte Preparar para implementar clústeres de administración en un entorno de VMware Cloud.