Red Hat Summit6.5. 외부 트래픽에 대한 IPsec 암호화
OpenShift Container Platform에서는 IPsec을 사용하여 외부 호스트로 향하는 트래픽을 암호화하여 전송 중 데이터의 기밀성과 무결성을 보장합니다. 이 기능은 제공해야 하는 X.509 인증서를 사용합니다.
6.5.1. 지원되는 플랫폼
링크 복사링크가 클립보드에 복사되었습니다!
이 기능은 다음 플랫폼에서 지원됩니다.
- 베어 메탈
- GCP(Google Cloud Platform)
- Red Hat OpenStack Platform (RHOSP)
- VMware vSphere
중요
RHEL(Red Hat Enterprise Linux) 컴퓨팅 노드가 있는 경우 외부 트래픽에 대해 IPsec 암호화를 지원하지 않습니다.
클러스터에서 Red Hat OpenShift Container Platform에 호스팅된 컨트롤 플레인을 사용하는 경우 외부 호스트에 대한 트래픽을 암호화하기 위해 IPsec을 구성하는 것은 지원되지 않습니다.
6.5.2. 제한
링크 복사링크가 클립보드에 복사되었습니다!
다음과 같은 금지 사항이 있는지 확인합니다.
- IPv6 구성은 현재 외부 트래픽에 대해 IPsec을 구성할 때 NMState Operator에서 지원되지 않습니다.
-
제공된 인증서 번들에 있는 인증서 공통 이름(CN)은
ovs_접두사로 시작해야 합니다. 이 이름은 각 노드의 NSS(Network Security Services) 데이터베이스의 pod-to-pod IPsec CN 이름과 충돌할 수 있기 때문입니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}