Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

4.5.2. GitOps ZTP および SiteConfig リソースを使用したシングルノード OpenShift クラスターの IPsec 暗号化の設定

GitOps ZTP と Red Hat Advanced Cluster Management (RHACM) を使用してインストールするシングルノード OpenShift マネージドクラスターで IPsec 暗号化を有効にできます。マネージドクラスターと、マネージドクラスター外の IPsec エンドポイント間のトラフィックを暗号化できます。OVN-Kubernetes クラスターネットワーク上のノード間のすべてのネットワークトラフィックが、Transport モードの IPsec で暗号化されます。

重要

次の手順に従って、追加のワーカーノードを備えたシングルノード OpenShift クラスターの IPsec 暗号化を設定することもできます。シングルノード OpenShift クラスターおよび追加のワーカーノードを備えたシングルノード OpenShift クラスターの IPsec 暗号化を設定する際には、リソースの可用性が低いため、MachineConfig カスタムリソース (CR) を使用することを推奨します。

前提条件

  • OpenShift CLI (oc) がインストールされている。
  • cluster-admin 権限を持つユーザーとしてハブクラスターにログインしている。
  • マネージドクラスターに必要なインストールおよびポリシーカスタムリソース (CR) を生成するために、RHACM とハブクラスターを設定している。
  • カスタムサイトの設定データを管理する Git リポジトリーを作成している。リポジトリーはハブクラスターからアクセス可能で、Argo CD アプリケーションのソースリポジトリーとして定義されている必要があります。
  • butane ユーティリティーバージョン 0.20.0 以降がインストールされている。
  • IPsec エンドポイント用の PKCS#12 証明書と PEM 形式の CA 証明書がある。

手順

  1. ztp-site-generate コンテナーソースの最新バージョンを抽出し、カスタムサイト設定データを管理するリポジトリーとマージします。

  2. クラスター内の IPsec を設定するために必要な値を使用して、optional-extra-manifest/ipsec/ipsec-endpoint-config.yaml を設定します。以下に例を示します。 

    interfaces:
- name: hosta_conn
  type: ipsec
  libreswan:
    left: '%defaultroute'
    leftid: '%fromcert'
    leftmodecfgclient: false
    leftcert: left_server
    1 
    
    leftrsasigkey: '%cert'
    right: <external_host>
    2 
    
    rightid: '%fromcert'
    rightrsasigkey: '%cert'
    rightsubnet: <external_address>
    3 
    
    ikev2: insist
    4 
    
    type: tunnel
    1
    このフィールドの値は、リモートシステムで使用される証明書の名前と一致する必要があります。
    2
    <external_host> は、外部ホストの IP アドレスまたは DNS ホスト名に置き換えます。
    3
    <external_address> は、IPsec トンネルの反対側にある外部ホストの IP サブネットに置き換えます。
    4
    IKEv2 VPN 暗号化プロトコルのみを使用します。IKEv1 は使用しないでください。これは非推奨となっています。

  3. 次の証明書を optional-extra-manifest/ipsec フォルダーに追加します。

    • left_server.p12: IPsec エンドポイントの証明書バンドル

    • ca.pem: 証明書に署名した認証局

      証明書ファイルは、各ホストのネットワークセキュリティーサービス (NSS) データベースで必要です。これらのファイルは、後の手順で Butane 設定の一部としてインポートされます。

  4. カスタムサイト設定データを保持する Git リポジトリーの optional-extra-manifest/ipsec フォルダーでシェルプロンプトを開きます。

  5. 必要な Butane および MachineConfig CR ファイルを生成するには、optional-extra-manifest/ipsec/build.sh スクリプトを実行します。

    PKCS#12 証明書がパスワードで保護されている場合は、-W 引数を設定します。

    出力例

    out
 └── argocd
      └── example
           └── optional-extra-manifest
                └── ipsec
                     ├── 99-ipsec-master-endpoint-config.bu
    1 
    
                     ├── 99-ipsec-master-endpoint-config.yaml
    2 
    
                     ├── 99-ipsec-worker-endpoint-config.bu
    3 
    
                     ├── 99-ipsec-worker-endpoint-config.yaml
    4 
    
                     ├── build.sh
                     ├── ca.pem
    5 
    
                     ├── left_server.p12
    6 
    
                     ├── enable-ipsec.yaml
                     ├── ipsec-endpoint-config.yml
                     └── README.md

    1 2 3 4
    ipsec/build.sh スクリプトは、Butane およびエンドポイント設定 CR を生成します。
    5 6
    ネットワークに関連する ca.pem および left_server.p12 証明書ファイルを提供します。

  6. カスタムサイト設定データを管理するリポジトリーに custom-manifest/ フォルダーを作成します。enable-ipsec.yaml および 99-ipsec-* YAML ファイルをディレクトリーに追加します。以下に例を示します。 

    siteconfig
  ├── site1-sno-du.yaml
  ├── extra-manifest/
  └── custom-manifest
        ├── enable-ipsec.yaml
        ├── 99-ipsec-worker-endpoint-config.yaml
        └── 99-ipsec-master-endpoint-config.yaml

  7. SiteConfig CR で、extraManifests.searchPaths フィールドに custom-manifest/ ディレクトリーを追加します。以下に例を示します。 

    clusters:
- clusterName: "site1-sno-du"
  networkType: "OVNKubernetes"
  extraManifests:
    searchPaths:
      - extra-manifest/
      - custom-manifest/

  8. SiteConfig CR の変更と更新されたファイルを Git リポジトリーにコミットし、変更をプッシュしてマネージドクラスターをプロビジョニングし、IPsec 暗号化を設定します。

    Argo CD パイプラインが変更を検出し、マネージドクラスターのデプロイを開始します。

    クラスターのプロビジョニング中に、GitOps ZTP パイプラインが、custom-manifest/ ディレクトリー内の CR を、extra-manifest/ ディレクトリーに保存されているデフォルトの追加マニフェストのセットに追加します。

検証

IPsec 暗号化の検証は、「IPsec 暗号化の検証」を参照してください。

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る