獨立管理叢集需求

當部署具有獨立管理叢集的 Tanzu Kubernetes Grid (TKG) 之前，您必須先在基礎結構上佈建資源和權限，以容納管理叢集及其所建立的工作負載叢集。

• 如需如何設定 vSphere 基礎結構，請參閱準備將管理叢集部署到 vSphere。
• 如需如何設定 AWS 基礎結構，請參閱準備將管理叢集部署到 AWS。
• 如需如何設定 Microsoft Azure 基礎結構，請參閱準備將管理叢集部署到 Microsoft Azure。

外部身分識別管理

對於生產部署，VMware 建議在每個管理叢集上啟用外部身分識別管理，以控制對它及其工作負載叢集的存取。

• 如需如何在部署獨立管理叢集之前，先向外部身分識別提供者登錄 TKG 的相關資訊，請參閱〈設定身分識別管理〉中的取得身分識別提供者詳細資料。
• 如需具有獨立管理叢集的 Tanzu Kubernetes Grid 中有關身分識別管理和存取控制的概念資訊，請參閱〈關於身分識別和存取管理〉。

支援 FIPS 的版本

您可以將支援 FIPS 的 Tanzu Kubernetes Grid v2.1.0 和 v2.1.1 版本部署至 vSphere、AWS 或 Azure 環境。FIPS 的用料表 (BoM) 僅列出使用 FIPS 相容密碼編譯模組編譯的元件。對於 vSphere，支援 FIPS 的 OVA 列在 Tanzu Kubernetes Grid下載頁面中。分別在 AWS 和 Azure 中提供支援 FIPS 的 AMI 和 Azure 映像。

1. (僅限 vSphere) 將啟用 FIPS 的 Kubernetes OVA 匯入 vSphere，如將基礎映像範本匯入 vSphere 中所述。

   Tanzu Kubernetes Grid v2.1.1 的啟用 FIPS 的 OVA 列在 Tanzu Kubernetes Grid 下載頁面的 VMware Tanzu Kubernetes Grid 2.1.1 的啟用 FIPS 的 Kubernetes OVA 區段中。

   • Photon v3 Kubernetes v1.24.10 FIPS OVA
   • Photon v3 Kubernetes v1.23.16 FIPS OVA
   • Photon v3 Kubernetes v1.22.17 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.24.10 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.23.16 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA

   Tanzu Kubernetes Grid v2.1.0 的啟用 FIPS 的 OVA 列在 Tanzu Kubernetes Grid 下載頁面的 VMware Tanzu Kubernetes Grid 2.1.1 的啟用 FIPS 的 Kubernetes OVA 區段中。

   • Photon v3 Kubernetes v1.24.9 FIPS OVA
   • Photon v3 Kubernetes v1.23.15 FIPS OVA
   • Photon v3 Kubernetes v1.22.17 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.24.9 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.23.15 FIPS OVA
   • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA

2. 在啟動機器上，設定下列環境變數：

   export TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH=fips/tkg-compatibility
   

3. 如果之前在安裝 Tanzu CLI 時具有~/.config/tanzu/tkg 目錄，請移除或重新命名其 bom 和 compatibility 目錄：

   mv bom bom.old
   mv compatibility compatibility.old
   

4. 針對 api-server、kube-scheduler、kube-controller-manager、etcd 和 kubelet，將旗標設為符合 FIPS 的加密根據您的雲端基礎結構，您可能還需要定義其他密碼。

   • 您還可以使用 ytt overlay 強化映像。請參閱使用 ytt 的舊版叢集組態。
   • 有關 STIG 合規性，請參閱 STIG 和 NSA/CISA 強化。

5. (僅限 Azure) 接受基礎映像授權時，請根據 Kubernetes 版本編號使用 k8s-1dot24dot9-fips-ubuntu-2004 等值。有關如何接受基礎映像授權的資訊，請參閱接受基礎映像授權。

當您部署具有 TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH 設定和 fips/tkg-compatibility 的管理叢集時，CLI 會下載並部署符合 FIPS 的核心元件，這些元件使用符合 FIPS 標準的程式庫 (基於 BoringCrypto / Boring SSL 模組) 所提供的密碼編譯基元。這些符合 FIPS 標準的核心元件包括 Kubernetes 的元件、Containerd 和 CRI、CNI 外掛程式、CoreDNS 及 etcd。

CLI 會使用適用於 Tanzu Kubernetes Grid v2.1.1 的輸出確認符合 FIPS 標準的 BoM 下載，類似於：

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.1-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.10_vmware.1-fips.1-tkg.1'

CLI 會使用適用於 Tanzu Kubernetes Grid v2.1.0 的輸出確認符合 FIPS 標準的 BoM 下載，類似於：

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.0-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.9_vmware.1-fips.1-tkg.1'

網際網路受限的環境

如需如何在 Proxy 或氣隙環境中部署獨立管理叢集的相關資訊，請參閱準備網際網路受限的環境。

VMware Cloud on AWS 和 Azure VMware 解決方案

若要將 Tanzu Kubernetes Grid 部署到 VMware Cloud on AWS 或 Azure VMware 解決方案，請參閱準備將管理叢集部署到 VMware Cloud 環境。