Requisitos del clúster de administración independiente

Antes de poder implementar Tanzu Kubernetes Grid (TKG) con un clúster de administración independiente, debe aprovisionar recursos y permisos en la infraestructura para alojar el clúster de administración y los clústeres de carga de trabajo que crea.

Administración de identidades externa

Para las implementaciones de producción, VMware recomienda habilitar la administración de identidades externas en cada clúster de administración para controlar el acceso a él y a sus clústeres de carga de trabajo.

Versiones compatibles con FIPS

Puede implementar versiones compatibles con FIPS de Tanzu Kubernetes Grid v2.1.0 y v2.1.1 en el entorno de vSphere, AWS o Azure. La Lista de materiales (BoM) para FIPS solo muestra los componentes que se compilan con y utilizan módulos de criptografía conformes a FIPS. Para vSphere, los archivos OVA compatibles con FIPS se enumeran en la página de descargas de Tanzu Kubernetes Grid. Las imágenes de Azure y AMI compatibles con FIPS están disponibles en AWS y Azure, respectivamente.

  1. (Solo vSphere) Importe un archivo OVA de Kubernetes compatible con FIPS en vSphere, como se describe en Importar la plantilla de imagen base en vSphere.

    Los archivos OVA compatibles con FIPS para Tanzu Kubernetes Grid v2.1.1 se enumeran en la página de descargas de Tanzu Kubernetes Grid, en la sección Archivos OVA de Kubernetes compatibles con FIPS para VMware Tanzu Kubernetes Grid 2.1.1.

    • Photon OVA FIPS de Kubernetes v3 versión 1.24.10
    • Photon v3 Kubernetes v1.23.16 FIPS OVA
    • Photon v3 Kubernetes v1.22.17 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.24.10 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.23.16 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA

    Los archivos OVA compatibles con FIPS para Tanzu Kubernetes Grid v2.1.0 se enumeran en la página de descargas de Tanzu Kubernetes Grid, en la sección Archivos OVA de Kubernetes compatibles con FIPS para VMware Tanzu Kubernetes Grid 2.1.0.

    • Photon OVA FIPS de Kubernetes v3 versión 1.24.9
    • Photon OVA FIPS de Kubernetes v3 versión 1.23.15
    • Photon v3 Kubernetes v1.22.17 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.24.9 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.23.15 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA

  2. En la máquina de arranque, establezca la siguiente variable de entorno:

    export TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH=fips/tkg-compatibility

  3. Si tiene un directorio ~/.config/tanzu/tkg de una instalación anterior de la CLI de Tanzu, elimine o cambie el nombre de los directorios bom y compatibility:

    mv bom bom.old
mv compatibility compatibility.old

  4. Establezca las marcas tls-cipher-suites en cifrados compatibles con FIPS para api-server, kube-scheduler, kube-controller-manager, etcd y kubelet. En función de la infraestructura de nube, es posible que también deba definir cifrados adicionales.

  5. (Solo Azure) Cuando acepte la licencia de imagen base, utilice un valor como k8s-1dot24dot9-fips-ubuntu-2004 basado en el número de versión de Kubernetes. Para obtener información sobre cómo aceptar la licencia de imagen base, consulte Aceptar la licencia de imagen base.

Cuando se implementa un clúster de administración con el ajuste TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH con fips/tkg-compatibility, la CLI descarga e implementa los componentes principales compatibles con FIPS que utilizan primitivos criptográficos proporcionados por una biblioteca compatible con FIPS basada en el módulo SSL BoringCrypto/Boring. Estos componentes principales compatibles con FIPS incluyen componentes de Kubernetes, Containerd y CRI, complementos de CNI, CoreDNS y etcd.

La CLI confirma las descargas de BoM compatibles con FIPS con un resultado que, para Tanzu Kubernetes Grid versión 2.1.1, es similar al siguiente:

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.1-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.10_vmware.1-fips.1-tkg.1'

La CLI confirma las descargas de BoM conformes a FIPS con un resultado que, para Tanzu Kubernetes Grid versión 2.1.0, es similar al siguiente:

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.0-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.9_vmware.1-fips.1-tkg.1'

Entornos con acceso a Internet restringido

Para obtener información sobre cómo implementar un clúster de administración independiente en un entorno con proxy o aire, consulte Preparar un entorno con acceso a Internet restringido.

VMware Cloud on AWS y solución de VMware Azure

Para implementar Tanzu Kubernetes Grid en VMware Cloud on AWS o en Azure VMware Solution, consulte Preparar para implementar clústeres de administración en un entorno de VMware Cloud.

check-circle-line exclamation-circle-line close-line
Scroll to top icon