독립형 관리 클러스터 요구 사항

독립형 관리 클러스터를 사용하여 TKG(Tanzu Kubernetes Grid)를 배포하려면 먼저 관리 클러스터와 생성되는 워크로드 클러스터를 수용할 수 있도록 인프라에 리소스와 사용 권한을 프로비저닝해야 합니다.

• vSphere 인프라를 설정하는 방법에 대한 자세한 내용은 vSphere에 관리 클러스터 배포 준비를 참조하십시오.
• AWS 인프라를 설정하는 방법에 대한 자세한 내용은 AWS에 관리 클러스터 배포 준비를 참조하십시오.
• Microsoft Azure 인프라를 설정하는 방법에 대한 자세한 내용은 Microsoft Azure에 관리 클러스터 배포 준비를 참조하십시오.

외부 ID 관리

프로덕션 배포의 경우 VMware 각 관리 클러스터에서 외부 ID 관리를 사용하도록 설정하여 클러스터와 워크로드 클러스터에 대한 액세스를 제어할 것을 권장합니다.

• 독립형 관리 클러스터를 배포하기 전에 TKG를 외부 ID 제공자에 등록하는 방법은 ID 관리 구성의 ID 제공자 세부 정보를 참조하십시오.
• 독립형 관리 클러스터를 사용하는 Tanzu Kubernetes Grid ID 관리 및 액세스 제어에 대한 개념 정보는 ID 및 액세스 관리 정보를 참조하십시오.

FIPS 지원 버전

FIPS 지원 버전의 Tanzu Kubernetes Grid v2.1.0 및 v2.1.1을 vSphere, AWS 또는 Azure 환경에 배포할 수 있습니다. FIPS용 BoM(Bill of Materials)은 FIPS 규격 암호화 모듈로 컴파일되고 사용하는 구성 요소만 표시합니다. vSphere 경우 FIPS 지원 OVA가 Tanzu Kubernetes Grid 다운로드 페이지에 나와 있습니다. FIPS 지원 AMI 및 Azure 이미지는 각각 AWS 및 Azure에서 사용할 수 있습니다.

1. (vSphere 전용) 기본 이미지 템플릿을 vSphere로 가져오기에 설명된 대로 FIPS가 활성화된 Kubernetes OVA를 vSphere로 가져옵니다.

   Tanzu Kubernetes Grid v2.1.1용 FIPS 지원 OVA는 VMware Tanzu Kubernetes Grid 2.1.1용 FIPS 지원 Kubernetes OVA 섹션의 Tanzu Kubernetes Grid 다운로드 페이지에 나와 있습니다.

   • Photon v3 Kubernetes v1.24.10 FIPS OVA
   • Photon v3 Kubernetes v1.23.16 FIPS OVA
   • Photon v3 Kubernetes v1.22.17 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.24.10 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.23.16 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA

   Tanzu Kubernetes Grid v2.1.0용 FIPS 지원 OVA는 VMware Tanzu Kubernetes Grid 2.1.0용 FIPS 지원 Kubernetes OVA 섹션의 Tanzu Kubernetes Grid 다운로드 페이지에 나와 있습니다.

   • Photon v3 Kubernetes v1.24.9 FIPS OVA
   • Photon v3 Kubernetes v1.23.15 FIPS OVA
   • Photon v3 Kubernetes v1.22.17 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.24.9 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.23.15 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA

2. 부트스트랩 시스템에서 다음 환경 변수를 설정합니다.

   export TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH=fips/tkg-compatibility
   

3. 이전에 Tanzu CLI를 설치할 ~/.config/tanzu/tkg 디렉토리가 있는 경우 bom 및 compatibility 디렉토리의 이름을 제거하거나 이름을 바꿉니다.

   mv bom bom.old
   mv compatibility compatibility.old
   

4. tls-cipher-suites 플래그를 api-server, kube-scheduler, kube-controller-manager, etcd, kubelet용 FIPS 호환 암호로 설정합니다. 클라우드 인프라에 따라 추가 암호를 정의해야 할 수도 있습니다.

   • ytt overlay를 사용하여 이미지를 강화할 수도 있습니다. ytt를 사용한 레거시 클러스터 구성을 참조하십시오.
   • STIG 규정 준수에 대한 자세한 내용은 STIG 및 NSA/CISA 강화를 참조하십시오.

5. (Azure 전용) 기본 이미지 라이센스를 수락하는 경우 Kubernetes 버전 번호를 기준으로 k8s-1dot24dot9-fips-ubuntu-2004와 같은 값을 사용합니다. 기본 이미지 라이센스를 수락하는 방법에 대한 자세한 내용은 기본 이미지 라이센스 수락을 참조하십시오.

fips/tkg-compatibility를 사용하여 TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH 설정으로 관리 클러스터를 배포하는 경우, CLI는 BoringCrypto/Boring SSL 모듈을 기반으로 FIPS 호환 라이브러리에서 제공하는 암호화 프리미티브를 사용하는 FIPS 호환 핵심 구성 요소를 다운로드하고 배포합니다. FIPS 호환 핵심 구성 요소에는 Kubernetes, Containerd 및 CRI, CNI 플러그인, CoreDNS, etcd 구성 요소가 포함되어 있습니다.

CLI는 Tanzu Kubernetes Grid v2.1.1의 경우 다음과 유사한 출력을 사용하여 FIPS 호환 BoM 다운로드를 확인합니다.

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.1-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.10_vmware.1-fips.1-tkg.1'

CLI는 Tanzu Kubernetes Grid v2.1.0의 경우 다음과 유사한 출력을 사용하여 FIPS 호환 BoM 다운로드를 확인합니다.

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.0-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.9_vmware.1-fips.1-tkg.1'

인터넷 제한 환경

프록시 또는 에어갭 환경에 독립형 관리 클러스터를 배포하는 방법에 대한 자세한 내용은 인터넷 제한 환경 준비를 참조하십시오.

VMware Cloud on AWS 및 Azure VMware Solution

VMware Cloud on AWS 또는 Azure VMware Solution에 Tanzu Kubernetes Grid를 배포하려면 VMware 클라우드 환경에 관리 클러스터 배포 준비를 참조하십시오.