Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

6.6. IPsec 암호화 활성화

클러스터 관리자는 클러스터와 외부 IPsec 엔드포인트 간에 Pod 간 IPsec 암호화를 활성화할 수 있습니다.

다음 모드 중 하나로 IPsec을 구성할 수 있습니다.

  • 전체 : Pod 간 및 외부 트래픽 암호화
  • 외부 : 외부 트래픽 암호화
참고

전체 모드로 IPsec을 구성하는 경우 "외부 트래픽에 대한 IPsec 암호화 구성" 절차도 완료해야 합니다.

전체 모드에서 IPsec을 활성화한 경우 클러스터 관리자는 networks.operator.openshift.io전체 스키마를 추가하여 모드에 대한 옵션을 구성할 수 있습니다. 전체 스키마는 캡슐화 매개변수를 지원합니다. 이 매개변수를 사용하여 IPsec 트래픽에 대한 NAT-T(네트워크 주소 변환-트래버설) 캡슐화를 구성할 수 있습니다. 캡슐화 매개변수는 다음 값을 지원합니다.

  • '자동' 은 기본값이며 libreswan이 노드 내 트래픽에서 NAT(네트워크 주소 변환) 패킷을 감지하면 UDP 캡슐화를 활성화합니다.
  • 노드에서 사용 가능한 모든 트래픽 유형에 대해 UDP 캡슐화를 항상 활성화합니다. 이 옵션은 노드에서 NAT 패킷을 감지하기 위해 libreswan 에 의존하지 않습니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 클러스터에 로그인합니다.
  • IPsec ESP 헤더의 오버헤드를 허용하기 위해 클러스터 MTU 크기를 46 바이트로 줄였습니다.

프로세스

  1. IPsec 암호화를 활성화하려면 다음 명령을 입력하세요. 

    $ oc patch networks.operator.openshift.io cluster --type=merge -p \
  '{
  "spec":{
    "defaultNetwork":{
      "ovnKubernetesConfig":{
        "ipsecConfig":{
          "mode":"<mode">
    1 
    
        }}}}}'
    Copy to Clipboard Toggle word wrap
    1 1
    외부 호스트로의 트래픽을 암호화하려면 '외부'를 지정하고, 포드 간 트래픽과 선택적으로 외부 호스트로의 트래픽을 암호화하려면 '전체'를 지정합니다. 기본적으로 IPsec은 비활성화되어 있습니다.

    IPsec이 전체 모드에서 활성화되고 캡슐화가 항상 으로 설정된 구성 예

    $ oc patch networks.operator.openshift.io cluster --type=merge -p \
  '{
  "spec":{
    "defaultNetwork":{
      "ovnKubernetesConfig":{
        "ipsecConfig":{
          "mode":"Full",
          "full":{
            "encapsulation": "Always"
          }}}}}}'
    Copy to Clipboard Toggle word wrap

  2. "외부 트래픽에 대한 IPsec 암호화 구성" 절차를 완료하여 IPsec을 사용하여 외부 트래픽을 암호화합니다.

검증

  1. OVN-Kubernetes 데이터 플레인 포드의 이름을 찾으려면 다음 명령을 입력하세요. 

    $ oc get pods -n openshift-ovn-kubernetes -l=app=ovnkube-node
    Copy to Clipboard Toggle word wrap

    출력 예

    ovnkube-node-5xqbf                       8/8     Running   0              28m
ovnkube-node-6mwcx                       8/8     Running   0              29m
ovnkube-node-ck5fr                       8/8     Running   0              31m
ovnkube-node-fr4ld                       8/8     Running   0              26m
ovnkube-node-wgs4l                       8/8     Running   0              33m
ovnkube-node-zfvcl                       8/8     Running   0              34m
...
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 클러스터에서 IPsec을 활성화했는지 확인하세요.

    참고

    클러스터 관리자는 전체 모드에서 IPsec을 구성할 때 클러스터의 포드 간에 IPsec을 활성화했는지 확인할 수 있습니다. 이 단계에서는 클러스터와 외부 호스트 간에 IPsec이 작동하는지 확인하지 않습니다. 

    $ oc -n openshift-ovn-kubernetes rsh ovnkube-node-<XXXXX> ovn-nbctl --no-leader-only get nb_global . ipsec
    1
    Copy to Clipboard Toggle word wrap

    여기서: <XXXXX>는 이전 단계의 포드에 대한 무작위 문자 시퀀스를 지정합니다.

    명령이 성공적으로 실행되면 상태가 true 로 표시됩니다.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat