This documentation is for a release that is no longer maintained
See documentation for the latest supported version 3 or the latest supported version 4.8.6. IPsec 暗号化の設定
IPsec を有効にすると、OVN-Kubernetes Container Network Interface (CNI) クラスターネットワーク上のノード間のすべてのネットワークトラフィックは暗号化されたトンネルを通過します。
IPsec はデフォルトで無効にされています。
8.6.1. 前提条件 リンクのコピーリンクがクリップボードにコピーされました!
- クラスターは OVN-Kubernetes クラスターネットワークプロバイダーを使用する必要がある。
8.6.1.1. IPsec 暗号化の有効化 リンクのコピーリンクがクリップボードにコピーされました!
クラスター管理者は、クラスターのインストール後に IPsec 暗号化を有効にできます。
前提条件
-
OpenShift CLI (
oc
) がインストールされている。 -
cluster-admin
権限を持つユーザーとしてクラスターにログインする。 -
クラスター MTU のサイズを
46
バイト減らして、IPsec ESP ヘッダーにオーバーヘッドを設けている。
手順
IPsec 暗号化を有効にするには、次のコマンドを入力します。
oc patch networks.operator.openshift.io cluster --type=merge \ -p '{"spec":{"defaultNetwork":{"ovnKubernetesConfig":{"ipsecConfig":{ }}}}}'
$ oc patch networks.operator.openshift.io cluster --type=merge \ -p '{"spec":{"defaultNetwork":{"ovnKubernetesConfig":{"ipsecConfig":{ }}}}}'
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
8.6.1.2. IPsec が有効であることを確認 リンクのコピーリンクがクリップボードにコピーされました!
クラスター管理者は、IPsec が有効になっていることを確認できます。
検証
OVN-Kubernetes コントロールプレーン Pod の名前を見つけるには、次のコマンドを入力します。
oc get pods -n openshift-ovn-kubernetes | grep ovnkube-master
$ oc get pods -n openshift-ovn-kubernetes | grep ovnkube-master
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 出力例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow クラスターで IPsec が有効になっていることを確認します。
oc -n openshift-ovn-kubernetes -c nbdb rsh ovnkube-master-<XXXXX> \ ovn-nbctl --no-leader-only get nb_global . ipsec
$ oc -n openshift-ovn-kubernetes -c nbdb rsh ovnkube-master-<XXXXX> \ ovn-nbctl --no-leader-only get nb_global . ipsec
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ここでは、以下のようになります。
<XXXXX>
- 前の手順の Pod の文字のランダムなシーケンスを指定します。
出力例
true
true
Copy to Clipboard Copied! Toggle word wrap Toggle overflow