6.6. IPsec 暗号化の有効化

クラスター管理者は、Pod 間の IPsec 暗号化、クラスターと外部 IPsec エンドポイント間の IPsec 暗号化を有効にできます。

次のいずれかのモードで IPsec を設定できます。

Full: Pod 間のトラフィックおよび外部トラフィックの暗号化
External: 外部トラフィックの暗号化

注記

IPsec を Full モードで設定する場合は、「外部トラフィックの IPsec 暗号化の設定」手順も完了する必要があります。

前提条件

OpenShift CLI (oc) がインストールされている。
cluster-admin 権限を持つユーザーとしてクラスターにログインしている。
クラスター MTU のサイズを 46 バイト減らして、IPsec ESP ヘッダーにオーバーヘッドを設けている。

手順

IPsec 暗号化を有効にするには、次のコマンドを入力します。
```
oc patch networks.operator.openshift.io cluster --type=merge -p \
  '{
```
```
$ oc patch networks.operator.openshift.io cluster --type=merge -p \
  '{
  "spec":{
    "defaultNetwork":{
      "ovnKubernetesConfig":{
        "ipsecConfig":{
          "mode":"<mode"> 
```
1
```
        }}}}}'
```
Copy to Clipboard Toggle word wrap
1
外部ホストへのトラフィックを暗号化するには External を指定します。Pod 間のトラフィックを暗号化し、必要に応じて外部ホストへのトラフィックを暗号化するには Full を指定します。デフォルトでは、IPsec は無効になっています。
「外部トラフィックの IPsec 暗号化の設定」手順を完了して、IPsec を使用して外部トラフィックを暗号化します。

検証

OVN-Kubernetes データプレーン Pod の名前を見つけるには、次のコマンドを入力します。

oc get pods -n openshift-ovn-kubernetes -l=app=ovnkube-node

$ oc get pods -n openshift-ovn-kubernetes -l=app=ovnkube-node

Copy to Clipboard

Toggle word wrap

出力例

ovnkube-node-5xqbf                       8/8     Running   0              28m
ovnkube-node-6mwcx                       8/8     Running   0              29m
ovnkube-node-ck5fr                       8/8     Running   0              31m
ovnkube-node-fr4ld                       8/8     Running   0              26m
ovnkube-node-wgs4l                       8/8     Running   0              33m
ovnkube-node-zfvcl                       8/8     Running   0              34m
...

ovnkube-node-5xqbf                       8/8     Running   0              28m
ovnkube-node-6mwcx                       8/8     Running   0              29m
ovnkube-node-ck5fr                       8/8     Running   0              31m
ovnkube-node-fr4ld                       8/8     Running   0              26m
ovnkube-node-wgs4l                       8/8     Running   0              33m
ovnkube-node-zfvcl                       8/8     Running   0              34m
...

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して、クラスターで IPsec が有効になっていることを確認します。
注記
クラスター管理者は、IPsec を Full モードで設定する際に、クラスターの Pod 間で IPsec が有効にしたことを確認できます。この手順では、クラスターと外部ホストの間で IPsec が機能しているかどうかは検証されません。
```
oc -n openshift-ovn-kubernetes rsh ovnkube-node-<XXXXX> ovn-nbctl --no-leader-only get nb_global . ipsec
```
```
$ oc -n openshift-ovn-kubernetes rsh ovnkube-node-<XXXXX> ovn-nbctl --no-leader-only get nb_global . ipsec 
```
1
Copy to Clipboard Toggle word wrap
ここで、<XXXXX& gt; は、前の手順の Pod の文字のランダムなシーケンスを指定します。
コマンドの出力が成功すると、ステータスが true と表示されます。

トップに戻る

6.6. IPsec 暗号化の有効化

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links