Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

35.2.2. 创建 libreswan IPsec 策略

确保将必要的证书导入到 libreswan 证书数据库后,创建一个策略来使用它们来保护集群中的不同主机之间的通信。

如果您使用 libreswan 3.19 或更高版本,则建议使用 opportunistic 组配置。否则,需要明确的连接。

35.2.2.1. 配置 opportunistic 组
复制链接

以下配置创建两个 libreswan 连接。第一个使用 OpenShift Container Platform 证书加密流量,第二个则使用 cluster-external 流量创建异常。

  1. 将以下内容放在 /etc/ipsec.d/openshift-cluster.conf 文件中: 

    conn private
	left=%defaultroute
	leftid=%fromcert
	# our certificate
	leftcert="NSS Certificate DB:<cert_nickname>"
    1 
    
	right=%opportunisticgroup
	rightid=%fromcert
	# their certificate transmitted via IKE
	rightca=%same
	ikev2=insist
	authby=rsasig
	failureshunt=drop
	negotiationshunt=hold
	auto=ondemand
	encapsulation=yes
    2 
    

conn clear
	left=%defaultroute
	right=%group
	authby=never
	type=passthrough
	auto=route
	priority=100
    Copy to Clipboard Toggle word wrap
    1
    将 <cert_nickname> 替换为步骤中的 certificate nickname。
    2
    如果不使用 NAT,则必须在配置中包含 encapsulation=yes 来强制封装。AmazonAzure 内部云网络没有路由 IPsec ESPAH 数据包。这些数据包必须封装在 UDP 中,如果配置了,则 NAT 检测会在 UDP 封装中配置 ESP。如果使用 NAT 或您没有在 Network/Cloud-Provider 的限制下,如前所述,请省略此参数和值。

  2. 告诉 libreswan 使用 /etc/ipsec.d/policies/ 中的策略文件应用每个策略,其中每个配置的连接都有对应的策略文件。因此,在上面的示例中,两个连接是 私有清除 的,每个连接在 /etc/ipsec.d/policies/ 中都有一个文件。

    /etc/ipsec.d/policies/private 必须包含集群的 IP 子网,主机从中接收 IP 地址。默认情况下,如果远程主机的客户端证书针对本地主机的证书颁发机构证书进行身份验证,则会导致集群子网中主机间的所有通信都会被加密。如果远程主机的证书没有身份验证,则这两个主机间的所有流量都会被阻断。

    例如,如果所有主机都配置为使用 172.16.0.0/16 地址空间中的地址,您的私有策略文件将包含 172.16.0.0/16。要加密的任何其他子网数量可能添加到该文件中,这样会导致使用 IPsec 对这些子网的所有流量。

  3. 在所有主机和子网网关之间取消加密通信,以确保流量进入并退出集群。在 /etc/ipsec.d/policies/clear 文件中添加网关: 

    172.16.0.1/32
    Copy to Clipboard Toggle word wrap

    可以在此文件中添加其他主机和子网,这将导致对这些主机和子网的所有流量都未加密。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat