當部署具有獨立管理叢集的 Tanzu Kubernetes Grid (TKG) 之前,您必須先在基礎結構上佈建資源和權限,以容納管理叢集及其所建立的工作負載叢集。
對於生產部署,VMware 建議在每個管理叢集上啟用外部身分識別管理,以控制對它及其工作負載叢集的存取。
您可以將支援 FIPS 的 Tanzu Kubernetes Grid v2.1.0 和 v2.1.1 版本部署至 vSphere、AWS 或 Azure 環境。FIPS 的用料表 (BoM) 僅列出使用 FIPS 相容密碼編譯模組編譯的元件。對於 vSphere,支援 FIPS 的 OVA 列在 Tanzu Kubernetes Grid下載頁面中。分別在 AWS 和 Azure 中提供支援 FIPS 的 AMI 和 Azure 映像。
(僅限 vSphere) 將啟用 FIPS 的 Kubernetes OVA 匯入 vSphere,如將基礎映像範本匯入 vSphere 中所述。
Tanzu Kubernetes Grid v2.1.1 的啟用 FIPS 的 OVA 列在 Tanzu Kubernetes Grid 下載頁面的 VMware Tanzu Kubernetes Grid 2.1.1 的啟用 FIPS 的 Kubernetes OVA 區段中。
Tanzu Kubernetes Grid v2.1.0 的啟用 FIPS 的 OVA 列在 Tanzu Kubernetes Grid 下載頁面的 VMware Tanzu Kubernetes Grid 2.1.1 的啟用 FIPS 的 Kubernetes OVA 區段中。
在啟動機器上,設定下列環境變數:
export TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH=fips/tkg-compatibility
如果之前在安裝 Tanzu CLI 時具有~/.config/tanzu/tkg
目錄,請移除或重新命名其 bom
和 compatibility
目錄:
mv bom bom.old
mv compatibility compatibility.old
針對 api-server
、kube-scheduler
、kube-controller-manager
、etcd
和 kubelet
,將旗標設為符合 FIPS 的加密根據您的雲端基礎結構,您可能還需要定義其他密碼。
ytt overlay
強化映像。請參閱使用 ytt 的舊版叢集組態。(僅限 Azure) 接受基礎映像授權時,請根據 Kubernetes 版本編號使用 k8s-1dot24dot9-fips-ubuntu-2004
等值。有關如何接受基礎映像授權的資訊,請參閱接受基礎映像授權。
當您部署具有 TKG_CUSTOM_COMPATIBILITY_IMAGE_PATH
設定和 fips/tkg-compatibility
的管理叢集時,CLI 會下載並部署符合 FIPS 的核心元件,這些元件使用符合 FIPS 標準的程式庫 (基於 BoringCrypto / Boring SSL 模組) 所提供的密碼編譯基元。這些符合 FIPS 標準的核心元件包括 Kubernetes 的元件、Containerd 和 CRI、CNI 外掛程式、CoreDNS 及 etcd。
CLI 會使用適用於 Tanzu Kubernetes Grid v2.1.1 的輸出確認符合 FIPS 標準的 BoM 下載,類似於:
Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.1-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.10_vmware.1-fips.1-tkg.1'
CLI 會使用適用於 Tanzu Kubernetes Grid v2.1.0 的輸出確認符合 FIPS 標準的 BoM 下載,類似於:
Downloading TKG compatibility file from 'projects.registry.vmware.com/tkg/fips/tkg-compatibility'
Downloading the TKG Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkg-bom:v2.1.0-fips.1'
Downloading the TKr Bill of Materials (BOM) file from 'projects.registry.vmware.com/tkg/tkr-bom:v1.24.9_vmware.1-fips.1-tkg.1'
如需如何在 Proxy 或氣隙環境中部署獨立管理叢集的相關資訊,請參閱準備網際網路受限的環境。
若要將 Tanzu Kubernetes Grid 部署到 VMware Cloud on AWS 或 Azure VMware 解決方案,請參閱準備將管理叢集部署到 VMware Cloud 環境。