35.2. 호스트 암호화
사전 요구 사항
- libreswan 3.15 이상이 클러스터 호스트에 설치되어 있는지 확인합니다. opportunistic 그룹 기능이 필요한 경우 libreswan 버전 3.19 이상이 필요합니다.
이 주제에서는
62바이트가 필요한 IPsec 구성에 대해 설명합니다. 클러스터가 최대 전송 단위(MTU) 값이1500바이트인 이더넷 네트워크에서 작동하는 경우 IPsec 및 SDN 캡슐화의 오버헤드를 허용하도록 SDN MTU 값을1388바이트로 변경해야 합니다. 클러스터의 노드의 MTU를 변경하려면 다음 절차를 완료합니다.각 ConfigMaps(node
-config-master, node-config-infra,)를 편집합니다.node-config-compute다음 명령을 실행하여 ConfigMap을 편집합니다.
<config_map>을 편집할 ConfigMap의 이름으로 바꿉니다.# oc edit cm <config_map> -n openshift-node
다음과 같이 IPsec 오버헤드에 맞게 the
mtu매개변수를 MTU 크기로 업데이트합니다(예:1388바이트).networkConfig: mtu: 1388
다음 명령을 실행하여 SDN 인터페이스를 제거합니다.
<ovs_pod_name>을 OVS Pod 이름으로 바꿉니다.# oc exec <ovs_pod_name> -- ovs-vsctl del-br br0
클러스터의 각 노드에 대해 다음 작업을 완료합니다.
-
업데이트된 MTU 값이
/etc/origin/node/node-config.yaml파일에 저장되었는지 확인합니다. 다음 명령을 실행하여 SDN 및 OVS Pod를 다시 시작합니다.
# oc delete pod -n openshift-sdn -l=app=ovs # oc delete pod -n openshift-sdn -l=app=sdn
-
업데이트된 MTU 값이
35.2.1. IPsec의 인증서 구성
OpenShift Container Platform 내부 인증 기관(CA)을 사용하여 IPsec에 적합한 RSA 키를 생성할 수 있습니다. 내부 CA에는 openshift-signer 로 설정된 CN(일반 이름) 값이 있습니다.
다음 명령을 실행하여 마스터 노드에서 RSA 인증서를 생성합니다.
# export CA=/etc/origin/master # oc adm ca create-server-cert \ --signer-cert=$CA/ca.crt --signer-key=$CA/ca.key \ --signer-serial=$CA/ca.serial.txt \ --hostnames='<hostname>' \ 1 --cert=<hostname>.crt \ 2 --key=<hostname>.key 3
openssl 을 사용하여 클라이언트 인증서, CA 인증서 및 개인 키 파일을 여러 인증서 및 키의 일반적인 파일 형식인 PKCS#12 파일로 결합합니다.
# openssl pkcs12 -export \ -in <hostname>.crt \ 1 -inkey <hostname>.key \ 2 -certfile /etc/origin/master/ca.crt \ -passout pass: \ -out <hostname>.p12 3
클러스터의 각 노드에서 이전 단계에서 호스트에 대해 생성한 파일을 안전하게 전송한 다음 PKCS#12 파일을 libreswan 인증서 데이터베이스로 가져옵니다.
일시적인 암호는 PKCS#12 파일에 할당되지 않으므로
-W옵션은 비워 둡니다.# ipsec initnss # pk12util -i <hostname>.p12 -d sql:/etc/ipsec.d -W "" # rm <hostname>.p12
