Configuration requise du cluster de gestion autonome

Avant de pouvoir déployer Tanzu Kubernetes Grid (TKG) avec un cluster de gestion autonome, vous devez provisionner des ressources et des autorisations sur votre infrastructure pour prendre en charge le cluster de gestion et les clusters de charge de travail qu'il crée.

Gestion des identités externes

Pour les déploiements de production, VMware recommande d'activer la gestion des identités externes sur chaque cluster de gestion, afin de contrôler l'accès à celui-ci et à ses clusters de charge de travail.

Versions compatibles FIPS

Vous pouvez déployer des versions compatibles FIPS de Tanzu Kubernetes Grid v2.1.0 et v2.1.1 sur votre environnement vSphere, AWS ou Azure. La nomenclature pour FIPS répertorie uniquement les composants qui sont compilés avec des modules de chiffrement compatibles FIPS et qui les utilisent. Pour vSphere, les fichiers OVA compatibles FIPS sont répertoriés sur la page de téléchargements de Tanzu Kubernetes Grid. Les images AMI et Azure compatibles FIPS sont disponibles dans AWS et Azure respectivement.

  1. (vSphere uniquement) Importez un fichier OVA Kubernetes compatible FIPS dans vSphere, comme décrit dans la section Importer un modèle d'image de base dans vSphere.

    Les fichiers OVA compatibles FIPS pour Tanzu Kubernetes Grid v2.1.1 sont répertoriés sur la page de téléchargements de Tanzu Kubernetes Grid dans la section Fichiers OVA Kubernetes compatibles FIPS pour VMware Tanzu Kubernetes Grid 2.1.1.

    • Fichier OVA compatible FIPS Photon v3 Kubernetes v1.24.10
    • Fichier OVA compatible FIPS Photon v3 Kubernetes v1.23.16
    • Fichier OVA compatible FIPS Photon v3 Kubernetes v1.22.17
    • Fichier OVA compatible FIPS Ubuntu 2004 Kubernetes v1.24.10
    • Fichier OVA compatible FIPS Ubuntu 2004 Kubernetes v1.23.16
    • Fichier OVA compatible FIPS Ubuntu 2004 Kubernetes v1.22.17

    Les fichiers OVA compatibles FIPS pour Tanzu Kubernetes Grid v2.1.0 sont répertoriés sur la page de téléchargements de Tanzu Kubernetes Grid dans la section Fichiers OVA Kubernetes compatibles FIPS pour VMware Tanzu Kubernetes Grid 2.1.0.

    • Fichier OVA FIPS Photon v3 Kubernetes v1.24.9
    • Fichier OVA FIPS Photon v3 Kubernetes v1.23.15
    • Fichier OVA compatible FIPS Photon v3 Kubernetes v1.22.17
    • Fichier OVA FIPS Ubuntu 2004 Kubernetes v1.24.9
    • Fichier OVA FIPS Ubuntu 2004 Kubernetes v1.23.15
    • Fichier OVA compatible FIPS Ubuntu 2004 Kubernetes v1.22.17

  2. Sur votre machine de démarrage, définissez la variable d'environnement suivante :

    export TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH=fips/tkg-compatibility

  3. Si vous disposez d'un répertoire ~/.config/tanzu/tkg sur lequel vous avez installé auparavant la CLI Tanzu, supprimez ou renommez ses répertoires bom et compatibility :

    mv bom bom.old
mv compatibility compatibility.old

  4. Définissez les indicateurs tls-cipher-suites sur les chiffrements compatibles FIPS pour api-server, kube-scheduler, kube-controller-manager, etcd et kubelet. En fonction de votre infrastructure du cloud, vous devrez peut-être également définir des chiffrements supplémentaires.

  5. (Azure uniquement) Lorsque vous acceptez la licence de l'image de base, utilisez une valeur telle que k8s-1dot24dot9-fips-ubuntu-2004 en fonction du numéro de version de Kubernetes. Pour plus d'informations sur l'acceptation de la licence de l'image de base, reportez-vous à la section Accepter la licence de l'image de base.

Lorsque vous déployez un cluster de gestion à l'aide du paramètre TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH avec fips/tkg-compatibility, l'interface de ligne de commande télécharge et déploie les composants principaux compatibles FIPS qui utilisent des primitives cryptographiques fournies par une bibliothèque compatible FIPS basée sur le module BoringCrypto/BoringSSL. Les composants principaux compatibles FIPS incluent les composants de Kubernetes, Containerd et CRI, les plug-ins CNI, CoreDNS et etcd.

L'interface de ligne de commande confirme les téléchargements de nomenclature compatibles FIPS avec une sortie qui, pour Tanzu Kubernetes Grid v2.1.1, ressemble à ce qui suit :

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.1-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.10_vmware.1-fips.1-tkg.1'

L'interface de ligne de commande confirme les téléchargements de nomenclature compatibles FIPS avec une sortie qui, pour Tanzu Kubernetes Grid v2.1.0, ressemble à ce qui suit :

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.0-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.9_vmware.1-fips.1-tkg.1'

Environnements à accès restreint à Internet

Pour savoir comment déployer un cluster de gestion autonome dans un environnement en proxy ou isolé, reportez-vous à la section Préparer un environnement à accès restreint à Internet.

Solution VMware Cloud on AWS et Azure VMware

Pour déployer Tanzu Kubernetes Grid sur VMware Cloud on AWS ou sur Azure VMware Solution, reportez-vous à la section Préparer le déploiement de clusters de gestion dans un environnement VMware Cloud.

check-circle-line exclamation-circle-line close-line
Scroll to top icon