獨立管理叢集需求

當部署具有獨立管理叢集的 Tanzu Kubernetes Grid (TKG) 之前,您必須先在基礎結構上佈建資源和權限,以容納管理叢集及其所建立的工作負載叢集。

外部身分識別管理

對於生產部署,VMware 建議在每個管理叢集上啟用外部身分識別管理,以控制對它及其工作負載叢集的存取。

  • 如需如何在部署獨立管理叢集之前,先向外部身分識別提供者登錄 TKG 的相關資訊,請參閱〈設定身分識別管理〉中的取得身分識別提供者詳細資料
  • 如需具有獨立管理叢集的 Tanzu Kubernetes Grid 中有關身分識別管理和存取控制的概念資訊,請參閱〈關於身分識別和存取管理〉。

支援 FIPS 的版本

您可以將支援 FIPS 的 Tanzu Kubernetes Grid v2.1.0 和 v2.1.1 版本部署至 vSphere、AWS 或 Azure 環境。FIPS 的用料表 (BoM) 僅列出使用 FIPS 相容密碼編譯模組編譯的元件。對於 vSphere,支援 FIPS 的 OVA 列在 Tanzu Kubernetes Grid下載頁面中。分別在 AWS 和 Azure 中提供支援 FIPS 的 AMI 和 Azure 映像。

  1. (僅限 vSphere) 將啟用 FIPS 的 Kubernetes OVA 匯入 vSphere,如將基礎映像範本匯入 vSphere 中所述。

    Tanzu Kubernetes Grid v2.1.1 的啟用 FIPS 的 OVA 列在 Tanzu Kubernetes Grid 下載頁面的 VMware Tanzu Kubernetes Grid 2.1.1 的啟用 FIPS 的 Kubernetes OVA 區段中。

    • Photon v3 Kubernetes v1.24.10 FIPS OVA
    • Photon v3 Kubernetes v1.23.16 FIPS OVA
    • Photon v3 Kubernetes v1.22.17 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.24.10 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.23.16 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA

    Tanzu Kubernetes Grid v2.1.0 的啟用 FIPS 的 OVA 列在 Tanzu Kubernetes Grid 下載頁面的 VMware Tanzu Kubernetes Grid 2.1.1 的啟用 FIPS 的 Kubernetes OVA 區段中。

    • Photon v3 Kubernetes v1.24.9 FIPS OVA
    • Photon v3 Kubernetes v1.23.15 FIPS OVA
    • Photon v3 Kubernetes v1.22.17 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.24.9 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.23.15 FIPS OVA
    • Ubuntu 2004 Kubernetes v1.22.17 FIPS OVA
  2. 在啟動機器上,設定下列環境變數:

    export TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH=fips/tkg-compatibility
    
  3. 如果之前在安裝 Tanzu CLI 時具有~/.config/tanzu/tkg 目錄,請移除或重新命名其 bomcompatibility 目錄:

    mv bom bom.old
    mv compatibility compatibility.old
    
  4. 針對 api-serverkube-schedulerkube-controller-manageretcdkubelet,將旗標設為符合 FIPS 的加密根據您的雲端基礎結構,您可能還需要定義其他密碼。

  5. (僅限 Azure) 接受基礎映像授權時,請根據 Kubernetes 版本編號使用 k8s-1dot24dot9-fips-ubuntu-2004 等值。有關如何接受基礎映像授權的資訊,請參閱接受基礎映像授權

當您部署具有 TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH 設定和 fips/tkg-compatibility 的管理叢集時,CLI 會下載並部署符合 FIPS 的核心元件,這些元件使用符合 FIPS 標準的程式庫 (基於 BoringCrypto / Boring SSL 模組) 所提供的密碼編譯基元。這些符合 FIPS 標準的核心元件包括 Kubernetes 的元件、Containerd 和 CRICNI 外掛程式CoreDNSetcd

CLI 會使用適用於 Tanzu Kubernetes Grid v2.1.1 的輸出確認符合 FIPS 標準的 BoM 下載,類似於:

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.1-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.10_vmware.1-fips.1-tkg.1'

CLI 會使用適用於 Tanzu Kubernetes Grid v2.1.0 的輸出確認符合 FIPS 標準的 BoM 下載,類似於:

Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.0-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.9_vmware.1-fips.1-tkg.1'

網際網路受限的環境

如需如何在 Proxy 或氣隙環境中部署獨立管理叢集的相關資訊,請參閱準備網際網路受限的環境

VMware Cloud on AWS 和 Azure VMware 解決方案

若要將 Tanzu Kubernetes Grid 部署到 VMware Cloud on AWS 或 Azure VMware 解決方案,請參閱準備將管理叢集部署到 VMware Cloud 環境

check-circle-line exclamation-circle-line close-line
Scroll to top icon