Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

8.6. 配置 IPsec 加密

启用 IPsec,则 OVN-Kubernetes Container Network Interface(CNI)集群网络中的所有节点之间的网络流量都可以通过加密的隧道进行。

默认禁用 IPsec。

8.6.1. 先决条件
复制链接

  • 集群必须使用 OVN-Kubernetes 集群网络供应商。

8.6.1.1. 启用 IPsec 加密
复制链接

作为集群管理员,您可以在集群安装后启用 IPsec 加密。

先决条件

  • 安装 OpenShift CLI(oc)。
  • 使用具有 cluster-admin 权限的用户登陆到集群。
  • 您已将集群 MTU 的大小减少为 46 字节,以允许 IPsec ESP 标头的开销。

流程

  • 要启用 IPsec 加密,请输入以下命令: 

    $ oc patch networks.operator.openshift.io cluster --type=merge \
-p '{"spec":{"defaultNetwork":{"ovnKubernetesConfig":{"ipsecConfig":{ }}}}}'
    Copy to Clipboard Toggle word wrap

8.6.1.2. 验证是否启用了 IPsec
复制链接

作为集群管理员,您可以验证 IPsec 是否已启用。

验证

  1. 要查找 OVN-Kubernetes control plane pod 的名称,请输入以下命令: 

    $ oc get pods -n openshift-ovn-kubernetes | grep ovnkube-master
    Copy to Clipboard Toggle word wrap

    输出示例

    ovnkube-master-4496s        1/1     Running   0          6h39m
ovnkube-master-d6cht        1/1     Running   0          6h42m
ovnkube-master-skblc        1/1     Running   0          6h51m
ovnkube-master-vf8rf        1/1     Running   0          6h51m
ovnkube-master-w7hjr        1/1     Running   0          6h51m
ovnkube-master-zsk7x        1/1     Running   0          6h42m
    Copy to Clipboard Toggle word wrap

  2. 验证在集群中启用了 IPsec: 

    $ oc -n openshift-ovn-kubernetes -c nbdb rsh ovnkube-master-<XXXXX> \
  ovn-nbctl --no-leader-only get nb_global . ipsec
    Copy to Clipboard Toggle word wrap

    其中:

    <XXXXX>
    指定上一步中 pod 的随机字符序列。

    输出示例

    true
    Copy to Clipboard Toggle word wrap

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat