8.6. 配置 IPsec 加密
启用 IPsec,则 OVN-Kubernetes Container Network Interface(CNI)集群网络中的所有节点之间的网络流量都可以通过加密的隧道进行。
默认禁用 IPsec。
8.6.1. 先决条件
- 集群必须使用 OVN-Kubernetes 集群网络供应商。
8.6.1.1. 启用 IPsec 加密
作为集群管理员,您可以在集群安装后启用 IPsec 加密。
先决条件
-
安装 OpenShift CLI(
oc
)。 -
使用具有
cluster-admin
权限的用户登陆到集群。 -
您已将集群 MTU 的大小减少为
46
字节,以允许 IPsec ESP 标头的开销。
流程
要启用 IPsec 加密,请输入以下命令:
$ oc patch networks.operator.openshift.io cluster --type=merge \ -p '{"spec":{"defaultNetwork":{"ovnKubernetesConfig":{"ipsecConfig":{ }}}}}'
8.6.1.2. 验证是否启用了 IPsec
作为集群管理员,您可以验证 IPsec 是否已启用。
验证
要查找 OVN-Kubernetes control plane pod 的名称,请输入以下命令:
$ oc get pods -n openshift-ovn-kubernetes | grep ovnkube-master
输出示例
ovnkube-master-4496s 1/1 Running 0 6h39m ovnkube-master-d6cht 1/1 Running 0 6h42m ovnkube-master-skblc 1/1 Running 0 6h51m ovnkube-master-vf8rf 1/1 Running 0 6h51m ovnkube-master-w7hjr 1/1 Running 0 6h51m ovnkube-master-zsk7x 1/1 Running 0 6h42m
验证在集群中启用了 IPsec:
$ oc -n openshift-ovn-kubernetes -c nbdb rsh ovnkube-master-<XXXXX> \ ovn-nbctl --no-leader-only get nb_global . ipsec
其中:
<XXXXX>
- 指定上一步中 pod 的随机字符序列。
输出示例
true