6.6. 启用 IPsec 加密

流程

1. 要启用 IPsec 加密，请输入以下命令：

   $ oc patch networks.operator.openshift.io cluster --type=merge -p \
     '{
     "spec":{
       "defaultNetwork":{
         "ovnKubernetesConfig":{
           "ipsecConfig":{
             "mode":"<mode"> 

   1

   
           }}}}}'

   Copy to Clipboard Toggle word wrap

   1

   指定 External 以加密到外部主机的流量，或者指定 Full 来加密 pod 到 pod 流量，以及可选的到外部主机的流量。默认情况下禁用 IPsec。

2. 完成"为外部流量配置 IPsec 加密"流程，使用 IPsec 加密外部流量。

验证

1. 要查找 OVN-Kubernetes data plane pod 的名称，请输入以下命令：

   $ oc get pods -n openshift-ovn-kubernetes -l=app=ovnkube-node

   Copy to Clipboard Toggle word wrap

   输出示例

   ovnkube-node-5xqbf                       8/8     Running   0              28m
   ovnkube-node-6mwcx                       8/8     Running   0              29m
   ovnkube-node-ck5fr                       8/8     Running   0              31m
   ovnkube-node-fr4ld                       8/8     Running   0              26m
   ovnkube-node-wgs4l                       8/8     Running   0              33m
   ovnkube-node-zfvcl                       8/8     Running   0              34m
   ...

   Copy to Clipboard Toggle word wrap

2. 运行以下命令，验证您在集群中启用了 IPsec：

   注意

   作为集群管理员，当您以 Full 模式配置 IPsec 时，您可以验证您是否在集群中的 pod 之间启用了 IPsec。此步骤不会验证 IPsec 是否在集群和外部主机间工作。

   $ oc -n openshift-ovn-kubernetes rsh ovnkube-node-<XXXXX> ovn-nbctl --no-leader-only get nb_global . ipsec 

   1

   Copy to Clipboard Toggle word wrap

   其中： & lt;XXXXX > 指定上一步中 pod 的随机字符序列。

   命令的成功输出显示状态为 true。