8.6. Configuration du cryptage IPsec
Lorsque IPsec est activé, tout le trafic réseau entre les nœuds du plugin OVN-Kubernetes passe par un tunnel crypté.
IPsec est désactivé par défaut.
8.6.1. Conditions préalables
- Votre cluster doit utiliser le plugin réseau OVN-Kubernetes.
8.6.1.1. Activation du cryptage IPsec
En tant qu'administrateur de cluster, vous pouvez activer le cryptage IPsec après l'installation du cluster.
Conditions préalables
-
Installez le CLI OpenShift (
oc
). -
Connectez-vous au cluster avec un utilisateur disposant des privilèges
cluster-admin
. -
Vous avez réduit la taille du MTU de votre cluster de
46
octets pour tenir compte de la surcharge de l'en-tête IPsec ESP.
Procédure
Pour activer le cryptage IPsec, entrez la commande suivante :
$ oc patch networks.operator.openshift.io cluster --type=merge \ -p '{"spec":{"defaultNetwork":{"ovnKubernetesConfig":{"ipsecConfig":{ }}}}}'
8.6.1.2. Vérification de l'activation d'IPsec
En tant qu'administrateur de cluster, vous pouvez vérifier que le protocole IPsec est activé.
Vérification
Pour trouver les noms des pods du plan de contrôle OVN-Kubernetes, entrez la commande suivante :
$ oc get pods -n openshift-ovn-kubernetes | grep ovnkube-master
Exemple de sortie
ovnkube-master-4496s 1/1 Running 0 6h39m ovnkube-master-d6cht 1/1 Running 0 6h42m ovnkube-master-skblc 1/1 Running 0 6h51m ovnkube-master-vf8rf 1/1 Running 0 6h51m ovnkube-master-w7hjr 1/1 Running 0 6h51m ovnkube-master-zsk7x 1/1 Running 0 6h42m
Vérifiez que le protocole IPsec est activé sur votre cluster :
$ oc -n openshift-ovn-kubernetes -c nbdb rsh ovnkube-master-<XXXXX> \ ovn-nbctl --no-leader-only get nb_global . ipsec
où :
<XXXXX>
- Spécifie la séquence aléatoire de lettres pour un pod de l'étape précédente.
Exemple de sortie
true