35.2.2.2. 명시적 연결 구성
이 구성에서 각 IPsec 노드 구성은 클러스터에 있는 다른 모든 노드의 구성을 명시적으로 나열해야 합니다. Ansible과 같은 구성 관리 툴을 사용하여 각 호스트에서 이 파일을 생성하는 것이 좋습니다.
참고
node-config.yaml 파일을 수동으로 편집하지 마십시오. 클러스터에서 노드를 수정하려면 필요에 따라 노드 구성 맵을 업데이트합니다.
이 구성에서는 각 노드의 전체 인증서 제목도 다른 모든 노드의 구성에 배치해야 합니다.
openssl 을 사용하여 노드 인증서에서 이 제목을 읽습니다.
# openssl x509 \ -in /path/to/client-certificate -text | \ grep "Subject:" | \ sed 's/[[:blank:]]*Subject: //'
클러스터의 다른 모든 노드에 대해 각 노드의 /etc/ipsec.d/openshift-cluster.conf 파일에 다음 행을 배치합니다.
conn <other_node_hostname> left=<this_node_ip> 1 leftid="CN=<this_node_cert_nickname>" 2 leftrsasigkey=%cert leftcert=<this_node_cert_nickname> 3 right=<other_node_ip> 4 rightid="<other_node_cert_full_subject>" 5 rightrsasigkey=%cert auto=start keyingtries=%forever encapsulation=yes 6- 1
- <this_node_ip>를 이 노드의 클러스터 IP 주소로 바꿉니다.
- 2 3
- <this_node_cert_nickname>을 1단계에서 노드 인증서 닉네임으로 바꿉니다.
- 4
- <other_node_ip>를 다른 노드의 클러스터 IP 주소로 바꿉니다.
- 5
- <other_node_cert_full_subject>를 위의 다른 노드의 인증서 제목으로 바꿉니다. 예를 들면 다음과 같습니다. "O=system:nodes,CN=openshift-node-45.example.com".
- 6
- NAT를 사용하지 않는 경우 캡슐화를 강제하려면 구성에
캡슐화=yes를 포함해야 합니다. Amazon 및 Azure 내부 클라우드 네트워크는 IPsecESP또는AH패킷을 라우팅하지 않습니다. 이러한 패킷은UDP에 캡슐화해야 하며 이 패킷이 구성된 경우 NAT 탐지는UDP캡슐화에서ESP를 구성합니다. NAT를 사용하거나 이전에 설명한 대로 Network/Cloud-Provider 제한사항에 있지 않은 경우 이 매개변수와 값을 생략합니다.
각 노드의 /etc/ipsec.d/openshift-cluster.secrets 파일에 다음을 추가합니다.
: RSA "<this_node_cert_nickname>" 1- 1
- <this_node_cert_nickname>을 1단계에서 노드 인증서 닉네임으로 바꿉니다.
