35.2.2. libreswan IPsec 정책 생성
필요한 인증서를 libreswan 인증서 데이터베이스로 가져온 후 클러스터의 호스트 간 통신을 보호하는 정책을 생성합니다.
libreswan 3.19 이상을 사용하는 경우 opportunistic 그룹 구성을 사용하는 것이 좋습니다. 그렇지 않으면 명시적인 연결이 필요합니다.
35.2.2.1. opportunistic 그룹 구성
다음 구성은 두 개의 libreswan 연결을 생성합니다. 첫 번째는 OpenShift Container Platform 인증서를 사용하여 트래픽을 암호화하는 반면, 두 번째는 클러스터 외부 트래픽의 암호화에 예외를 생성합니다.
/etc/ipsec.d/openshift-cluster.conf 파일에 다음을 추가합니다.
conn private left=%defaultroute leftid=%fromcert # our certificate leftcert="NSS Certificate DB:<cert_nickname>" 1 right=%opportunisticgroup rightid=%fromcert # their certificate transmitted via IKE rightca=%same ikev2=insist authby=rsasig failureshunt=drop negotiationshunt=hold auto=ondemand encapsulation=yes 2 conn clear left=%defaultroute right=%group authby=never type=passthrough auto=route priority=100
구성된 각 연결에 해당 정책 파일이 있는 /etc/ipsec.d/policies/ 의 정책 파일을 사용하여 각 정책을 적용할 IP 서브넷과 호스트를 libreswan 에 알려줍니다. 따라서 위의 예에서 두 개의 연결
private및clear에는 각각 /etc/ipsec.d/policies/ 에 파일이 있습니다./etc/ipsec.d/policies/private 에는 호스트가 IP 주소를 수신하는 클러스터의 IP 서브넷이 포함되어야 합니다. 기본적으로 원격 호스트의 클라이언트 인증서가 로컬 호스트의 인증 기관 인증서에 대해 인증되면 클러스터 서브넷의 호스트 간의 모든 통신이 암호화됩니다. 원격 호스트의 인증서가 인증되지 않으면 두 호스트 간의 모든 트래픽이 차단됩니다.
예를 들어 모든 호스트가
172.16.0.0/16주소 공간의 주소를 사용하도록 구성된 경우개인정책 파일에는172.16.0.0/16이 포함됩니다. 암호화할 서브넷 수가 이 파일에 추가될 수 있으므로 IPsec을 사용하여 해당 서브넷에 대한 모든 트래픽도 발생할 수 있습니다.트래픽이 들어올 수 있는지 확인하기 위해 모든 호스트와 서브넷 게이트웨이 간의 통신을 암호화 해제하고 클러스터에 종료할 수 있는지 확인합니다. 게이트웨이를 /etc/ipsec.d/policies/ clear 파일에 추가합니다.
172.16.0.1/32
추가 호스트 및 서브넷을 이 파일에 추가하면 이러한 호스트 및 서브넷에 대한 모든 트래픽이 암호화되지 않습니다.
