16.5. IPsec 암호화 구성

IPsec을 활성화하면 포드 간 다음 네트워크 트래픽 흐름만 암호화됩니다.

다음 트래픽 흐름은 암호화되지 않습니다.

암호화되거나 암호화되지 않은 흐름은 다음 다이어그램에 설명되어 있습니다.

View larger image

사용된 암호화 암호는 AES-GCM-16-256입니다. 무결성 검사 값(ICV)은 16바이트입니다. 키 길이는 256비트입니다.

사용된 IPsec 터널 모드는 전송 모드로, 이는 엔드 투 엔드 통신을 암호화하는 모드입니다.

CNO(Cluster Network Operator)는 암호화에 IPsec에서 사용하는 자체 서명된 X.509 인증 기관(CA)을 생성합니다. 각 노드의 CSR(인증서 서명 요청)은 CNO에서 자동으로 충족됩니다.

CA는 10년 동안 유효합니다. 개별 노드 인증서는 5년간 유효하며 4년 6개월 경과 후 자동으로 교체됩니다.