Requisiti del cluster di gestione autonomo

Prima di poter distribuire Tanzu Kubernetes Grid (TKG) con un cluster di gestione autonomo, è necessario eseguire il provisioning di risorse e autorizzazioni nell'infrastruttura in modo che possa includere il cluster di gestione e i cluster del carico di lavoro che crea.

• Per informazioni su come configurare un'infrastruttura vSphere, vedere Preparazione della distribuzione dei cluster di gestione in vSphere.
• Per informazioni su come configurare un'infrastruttura AWS, vedere Preparazione della distribuzione dei cluster di gestione in AWS.
• Per informazioni su come configurare un'infrastruttura Microsoft Azure, vedere Preparazione della distribuzione dei cluster di gestione in Microsoft Azure.

Gestione delle identità esterna

Per le distribuzioni di produzione, VMware consiglia di abilitare la gestione delle identità esterna in ogni cluster di gestione per controllare gli accessi a tale cluster e ai relativi cluster del carico di lavoro.

• Per informazioni su come registrare TKG con un provider di identità esterno prima di distribuire un cluster di gestione autonomo, vedere Recupero dei dettagli del provider di identità in Configurazione della gestione delle identità.
• Per informazioni concettuali sulla gestione delle identità e sul controllo degli accessi in Tanzu Kubernetes Grid con un cluster di gestione autonomo, vedere Informazioni sulla gestione di identità e accessi.

Versioni compatibili con FIPS

È possibile distribuire versioni di Tanzu Kubernetes Grid v2.1.0 e v2.1.1 compatibili con FIPS nell'ambiente vSphere, AWS o Azure. Il Bill of Materials (BoM) per FIPS elenca solo i componenti compilati con e che utilizzano moduli di crittografia conformi a FIPS. Per vSphere, i file OVA compatibili con FIPS sono elencati nella pagina dei download di Tanzu Kubernetes Grid. Le immagini di AMI e Azure compatibili con FIPS sono disponibili rispettivamente in AWS e Azure.

1. (Solo vSphere) Importare un file OVA di Kubernetes abilitato per FIPS in vSphere, come descritto in Importazione del modello di immagine di base in vSphere.

   I file OVA abilitati per FIPS per Tanzu Kubernetes Grid v2.1.1 sono elencati nella pagina dei download di Tanzu Kubernetes Grid nella sezione OVA di Kubernetes abilitati per FIPS per VMware Tanzu Kubernetes Grid 2.1.1.

   • Photon v3 Kubernetes v1.24.10 FIPS OVA
   • Photon v3 Kubernetes v1.23.16 FIPS OVA
   • Photon v3 Kubernetes v1.22.17 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.24.10 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.23.16 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA

   I file OVA abilitati per FIPS per Tanzu Kubernetes Grid v2.1.0 sono elencati nella pagina dei download di Tanzu Kubernetes Grid nella sezione OVA di Kubernetes abilitati per FIPS per VMware Tanzu Kubernetes Grid 2.1.0.

   • Photon v3 Kubernetes v1.24.9 FIPS OVA
   • Photon v3 Kubernetes v1.23.15 FIPS OVA
   • Photon v3 Kubernetes v1.22.17 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.24.9 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.23.15 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA

2. Nella macchina di bootstrap, impostare la variabile di ambiente seguente:

   export TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH=fips/tkg-compatibility
   

3. Se è presente una directory ~/.config/tanzu/tkg di un'installazione della CLI di Tanzu precedente, rimuovere o rinominare le relative directory bom e compatibility:

   mv bom bom.old
   mv compatibility compatibility.old
   

4. Impostare i flag di tls-cipher-suites sulla crittografia conforme a FIPS per api-server, kube-scheduler, kube-controller-manager, etcd e kubelet. In base all'infrastruttura cloud, potrebbe essere necessario definire anche crittografie aggiuntive.

   • È inoltre possibile applicare la protezione avanzata all'immagine utilizzando ytt overlay. Vedere Configurazione di un cluster legacy con ytt.
   • Per la conformità con STIG, vedere Protezione avanzata di STIG e NSA/CISA.

5. (Solo Azure) Quando si accetta la licenza dell'immagine di base, utilizzare un valore come k8s-1dot24dot9-fips-ubuntu-2004 in base al numero di versione di Kubernetes. Per informazioni su come accettare la licenza dell'immagine di base, vedere Accettazione della licenza dell'immagine di base.

Quando si distribuisce un cluster di gestione con l'impostazione TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH con fips/tkg-compatibility, la CLI scarica e distribuisce i componenti principali conformi a FIPS che utilizzano primitive crittografiche fornite da una libreria conforme a FIPS in base al modulo BoringCrypto/Boring SSL. I componenti principali conformi a FIPS includono componenti di Kubernetes, Container e CRI, plug-in CNI, CoreDNS e etcd.

La CLI conferma i download di BoM conformi a FIPS con un output che per Tanzu Kubernetes Grid v2.1.1 è simile a:

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.1-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.10_vmware.1-fips.1-tkg.1'

La CLI conferma i download di BoM conformi a FIPS con un output che per Tanzu Kubernetes Grid v2.1.0 è simile a:

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.0-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.9_vmware.1-fips.1-tkg.1'

Ambienti con limitazioni Internet

Per informazioni su come distribuire un cluster di gestione autonomo in un ambiente con proxy o air gap, vedere Preparazione di un ambiente con limitazioni Internet.

VMware Cloud on AWS e Azure VMware Solution

Per distribuire Tanzu Kubernetes Grid in VMware Cloud on AWS o Azure VMware Solution, vedere Preparazione della distribuzione dei cluster di gestione in un ambiente VMware Cloud.