8.6. IPsec 암호화 구성
IPsec이 활성화되면 OVN-Kubernetes CNI(Container Network Interface) 클러스터 네트워크의 노드 간 모든 네트워크 트래픽이 암호화된 터널을 통해 이동합니다.
IPsec은 기본적으로 비활성화되어 있습니다.
8.6.1. 사전 요구 사항
- 클러스터는 OVN-Kubernetes 클러스터 네트워크 공급자를 사용해야 합니다.
8.6.1.1. IPsec 암호화 활성화
클러스터 관리자는 클러스터 설치 후 IPsec 암호화를 활성화할 수 있습니다.
사전 요구 사항
-
OpenShift CLI(
oc)를 설치합니다. -
cluster-admin권한이 있는 사용자로 클러스터에 로그인합니다. -
IPsec ESP 헤더의 오버헤드를 허용하도록 클러스터 MTU 크기를
46바이트로 줄였습니다.
프로세스
IPsec 암호화를 활성화하려면 다음 명령을 입력합니다.
$ oc patch networks.operator.openshift.io cluster --type=merge \ -p '{"spec":{"defaultNetwork":{"ovnKubernetesConfig":{"ipsecConfig":{ }}}}}'
8.6.1.2. IPsec이 활성화되었는지 확인
클러스터 관리자는 IPsec이 활성화되어 있는지 확인할 수 있습니다.
검증
OVN-Kubernetes 컨트롤 플레인 Pod의 이름을 찾으려면 다음 명령을 입력합니다.
$ oc get pods -n openshift-ovn-kubernetes | grep ovnkube-master
출력 예
ovnkube-master-4496s 1/1 Running 0 6h39m ovnkube-master-d6cht 1/1 Running 0 6h42m ovnkube-master-skblc 1/1 Running 0 6h51m ovnkube-master-vf8rf 1/1 Running 0 6h51m ovnkube-master-w7hjr 1/1 Running 0 6h51m ovnkube-master-zsk7x 1/1 Running 0 6h42m
클러스터에서 IPsec이 활성화되어 있는지 확인합니다.
$ oc -n openshift-ovn-kubernetes -c nbdb rsh ovnkube-master-<XXXXX> \ ovn-nbctl --no-leader-only get nb_global . ipsec
다음과 같습니다.
<XXXXX>- 이전 단계의 Pod에 대한 임의의 문자 시퀀스를 지정합니다.
출력 예
true
