スタンドアローン管理クラスタの要件

スタンドアローン管理クラスタを使用して Tanzu Kubernetes Grid (TKG) を展開する前に、作成される管理クラスタとワークロード クラスタに対応するために、インフラストラクチャにリソースと権限をプロビジョニングする必要があります。

• vSphere インフラストラクチャの設定方法については、「vSphere への管理クラスタの展開の準備」を参照してください。
• AWS インフラストラクチャの設定方法については、「AWS への管理クラスタの展開の準備」を参照してください。
• Microsoft Azure インフラストラクチャの設定方法については、「Microsoft Azure への管理クラスタの展開の準備」を参照してください。

外部 ID 管理

本番環境では、各管理クラスタで外部 ID 管理を有効にして、管理クラスタとそのワークロード クラスタへのアクセスを制御することをお勧めします。

• スタンドアローン管理クラスタを展開する前に TKG を外部 ID プロバイダに登録する方法については、「ID 管理の構成」の「ID プロバイダの詳細の取得」を参照してください。
• スタンドアローン管理クラスタを使用した、Tanzu Kubernetes Grid での ID 管理とアクセス制御の概念については、「ID とアクセス管理について」を参照してください。

FIPS 対応バージョン

FIPS 対応バージョンの Tanzu Kubernetes Grid v2.1.0 および v2.1.1 を vSphere、AWS、または Azure 環境に展開できます。FIPS のコンポーネント情報 (BoM) には、コンパイルされ、FIPS 準拠の暗号化モジュールを使用するコンポーネントのみが一覧表示されます。vSphere の場合、FIPS 対応の OVA は Tanzu Kubernetes Grid のダウンロード ページに一覧表示されます。FIPS 対応の AMI イメージと Azure イメージは、それぞれ AWS および Azure で使用できます。

1. （vSphere のみ）「基本イメージ テンプレートの vSphere へのインポート」の説明に従って、FIPS 対応の Kubernetes OVA を vSphere にインポートします。

   Tanzu Kubernetes Grid v2.1.1 向けの FIPS 対応の OVA は、「VMware Tanzu Kubernetes Grid 2.1.1 向けの FIPS 対応の Kubernetes OVA」セクションの Tanzu Kubernetes Grid ダウンロード ページに一覧表示されています。

   • Photon v3 Kubernetes v1.24.10 FIPS OVA
   • Photon v3 Kubernetes v1.23.16 FIPS OVA
   • Photon v3 Kubernetes v1.22.17 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.24.10 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.23.16 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA

   Tanzu Kubernetes Grid v2.1.0 向けの FIPS 対応 OVA は、「VMware Tanzu Kubernetes Grid 2.1.0 向けの FIPS 対応の Kubernetes OVA」セクションの Tanzu Kubernetes Grid ダウンロード ページに一覧表示されています。

   • Photon v3 Kubernetes v1.24.9 FIPS OVA
   • Photon v3 Kubernetes v1.23.15 FIPS OVA
   • Photon v3 Kubernetes v1.22.17 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.24.9 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.23.15 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA

2. ブートストラップ マシンで、次の環境変数を設定します。

   export TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH=fips/tkg-compatibility
   

3. 以前にインストールした Tanzu CLI の ~/.config/tanzu/tkg ディレクトリがある場合は、bom および compatibility ディレクトリを削除または名前変更します。

   mv bom bom.old
   mv compatibility compatibility.old
   

4. tls-cipher-suites フラグを、api-server、kube-scheduler、kube-controller-manager、etcd、および kubelet の FIPS 準拠の暗号に設定します。クラウド インフラストラクチャによっては、追加の暗号の定義が必要になる場合もあります。

   • ytt overlay を使用してイメージを強化することもできます。「ytt を使用したレガシー クラスタ構成」を参照してください。
   • STIG コンプライアンスについては、「STIG および NSA/CISA セキュリティ強化」を参照してください。

5. （Azure のみ）基本イメージ ライセンスを受け入れる場合は、Kubernetes バージョン番号に基づいて k8s-1dot24dot9-fips-ubuntu-2004 などの値を使用します。基本イメージ ライセンスを受け入れる方法については、「基本イメージ ライセンスの同意」を参照してください。

fips/tkg-compatibility を使用して TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH 設定を使用する管理クラスタを展開する場合、CLI は BoringCrypto/Boring SSL モジュールに基づいて FIPS 準拠ライブラリによって提供される暗号化プリミティブを使用する FIPS 準拠のコア コンポーネントをダウンロードして展開します。FIPS 準拠のコア コンポーネントには、Kubernetes、Containerd および CRI、CNI プラグイン、CoreDNS、etcd のコンポーネントが含まれます。

CLI は、Tanzu Kubernetes Grid v2.1.1 の場合は次のような出力で FIPS 準拠の BoM ダウンロードを確認します。

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.1-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.10_vmware.1-fips.1-tkg.1'

CLI は、Tanzu Kubernetes Grid v2.1.0 の場合は次のような出力で FIPS 準拠の BoM ダウンロードを確認します。

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.0-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.9_vmware.1-fips.1-tkg.1'

インターネットが制限された環境

プロキシが設定された環境またはエアギャップ環境にスタンドアローン管理クラスタを展開する方法については、「インターネットが制限された環境の準備」を参照してください。

VMware Cloud on AWS と Azure VMware Solution

Tanzu Kubernetes Grid を VMware Cloud on AWS または Azure VMware Solution に展開するには、「VMware Cloud 環境への管理クラスタの展開の準備」を参照してください。