Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

4.5.3. GitOps ZTP および SiteConfig リソースを使用したマルチノードクラスターの IPsec 暗号化の設定

GitOps ZTP と Red Hat Advanced Cluster Management (RHACM) を使用してインストールするマネージドマルチノードクラスターで、IPsec 暗号化を有効にできます。マネージドクラスターと、マネージドクラスター外の IPsec エンドポイント間のトラフィックを暗号化できます。OVN-Kubernetes クラスターネットワーク上のノード間のすべてのネットワークトラフィックが、Transport モードの IPsec で暗号化されます。

前提条件

  • OpenShift CLI (oc) がインストールされている。
  • cluster-admin 権限を持つユーザーとしてハブクラスターにログインしている。
  • マネージドクラスターに必要なインストールおよびポリシーカスタムリソース (CR) を生成するために、RHACM とハブクラスターを設定している。
  • カスタムサイトの設定データを管理する Git リポジトリーを作成している。リポジトリーはハブクラスターからアクセス可能で、Argo CD アプリケーションのソースリポジトリーとして定義されている必要があります。
  • butane ユーティリティーバージョン 0.20.0 以降がインストールされている。
  • IPsec エンドポイント用の PKCS#12 証明書と PEM 形式の CA 証明書がある。
  • NMState Operator がインストールされている。

手順

  1. ztp-site-generate コンテナーソースの最新バージョンを抽出し、カスタムサイト設定データを管理するリポジトリーとマージします。

  2. クラスター内の IPsec を設定するために必要な値を使用して、optional-extra-manifest/ipsec/ipsec-config-policy.yaml ファイルを設定します。

    IPsec 設定を作成するための ConfigurationPolicy オブジェクト

    apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-config
spec:
  namespaceSelector:
    include: ["default"]
    exclude: []
    matchExpressions: []
    matchLabels: {}
  remediationAction: inform
  severity: low
  evaluationInterval:
    compliant:
    noncompliant:
  object-templates-raw: |
    {{- range (lookup "v1" "Node" "" "").items }}
    - complianceType: musthave
      objectDefinition:
        kind: NodeNetworkConfigurationPolicy
        apiVersion: nmstate.io/v1
        metadata:
          name: {{ .metadata.name }}-ipsec-policy
        spec:
          nodeSelector:
            kubernetes.io/hostname: {{ .metadata.name }}
          desiredState:
            interfaces:
            - name: hosta_conn
              type: ipsec
              libreswan:
                left: '%defaultroute'
                leftid: '%fromcert'
                leftmodecfgclient: false
                leftcert: left_server
    1 
    
                leftrsasigkey: '%cert'
                right: <external_host>
    2 
    
                rightid: '%fromcert'
                rightrsasigkey: '%cert'
                rightsubnet: <external_address>
    3 
    
                ikev2: insist
    4 
    
                type: tunnel

    1
    このフィールドの値は、リモートシステムで使用される証明書の名前と一致する必要があります。
    2
    <external_host> は、外部ホストの IP アドレスまたは DNS ホスト名に置き換えます。
    3
    <external_address> は、IPsec トンネルの反対側にある外部ホストの IP サブネットに置き換えます。
    4
    IKEv2 VPN 暗号化プロトコルのみを使用します。IKEv1 は使用しないでください。これは非推奨となっています。

  3. 次の証明書を optional-extra-manifest/ipsec フォルダーに追加します。

    • left_server.p12: IPsec エンドポイントの証明書バンドル

    • ca.pem: 証明書に署名した認証局

      証明書ファイルは、各ホストのネットワークセキュリティーサービス (NSS) データベースで必要です。これらのファイルは、後の手順で Butane 設定の一部としてインポートされます。

  4. カスタムサイト設定データを保持する Git リポジトリーの optional-extra-manifest/ipsec フォルダーでシェルプロンプトを開きます。

  5. optional-extra-manifest/ipsec/import-certs.sh スクリプトを実行して、外部証明書をインポートするために必要な Butane および MachineConfig CR を生成します。

    PKCS#12 証明書がパスワードで保護されている場合は、-W 引数を設定します。

    出力例

    out
 └── argocd
      └── example
           └── optional-extra-manifest
                └── ipsec
                     ├── 99-ipsec-master-import-certs.bu
    1 
    
                     ├── 99-ipsec-master-import-certs.yaml
    2 
    
                     ├── 99-ipsec-worker-import-certs.bu
    3 
    
                     ├── 99-ipsec-worker-import-certs.yaml
    4 
    
                     ├── import-certs.sh
                     ├── ca.pem
    5 
    
                     ├── left_server.p12
    6 
    
                     ├── enable-ipsec.yaml
                     ├── ipsec-config-policy.yaml
                     └── README.md

    1 2 3 4
    ipsec/import-certs.sh スクリプトは、Butane およびエンドポイント設定 CR を生成します。
    5 6
    ネットワークに関連する ca.pem および left_server.p12 証明書ファイルを追加します。

  6. カスタムのサイト設定データを管理するリポジトリーに custom-manifest/ フォルダーを作成し、enable-ipsec.yaml および 99-ipsec-* YAML ファイルをディレクトリーに追加します。

    siteconfig ディレクトリーの例

    siteconfig
  ├── site1-mno-du.yaml
  ├── extra-manifest/
  └── custom-manifest
        ├── enable-ipsec.yaml
        ├── 99-ipsec-master-import-certs.yaml
        └── 99-ipsec-worker-import-certs.yaml

  7. SiteConfig CR で、次の例のように、extraManifests.searchPaths フィールドに custom-manifest/ ディレクトリーを追加します。 

    clusters:
- clusterName: "site1-mno-du"
  networkType: "OVNKubernetes"
  extraManifests:
    searchPaths:
      - extra-manifest/
      - custom-manifest/
  8. GitOps の source-crs ディレクトリーに ipsec-config-policy.yaml 設定ポリシーファイルを格納し、PolicyGenerator CR の 1 つでそのファイルを参照します。

  9. SiteConfig CR の変更と更新されたファイルを Git リポジトリーにコミットし、変更をプッシュしてマネージドクラスターをプロビジョニングし、IPsec 暗号化を設定します。

    Argo CD パイプラインが変更を検出し、マネージドクラスターのデプロイを開始します。

    クラスターのプロビジョニング中に、GitOps ZTP パイプラインが、custom-manifest/ ディレクトリー内の CR を、extra-manifest/ ディレクトリーに保存されているデフォルトの追加マニフェストのセットに追加します。

検証

IPsec 暗号化の検証は、「IPsec 暗号化の検証」を参照してください。

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る