Menu Close

Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

35.2.2.2. 配置显式连接

在此配置中,每个 IPsec 节点配置必须明确列出集群中所有其他节点的配置。建议使用 Ansible 等配置管理工具在每个主机上生成此文件。

注意

不要手动编辑 node-config.yaml 文件。要修改集群中的节点,请根据 需要更新节点配置映射

此配置还需要将每个节点的完整证书主题放入每个其他节点的配置中。

  1. Use openssl 从节点证书中读取此主题:

    # openssl x509 \
      -in /path/to/client-certificate -text | \
      grep "Subject:" | \
      sed 's/[[:blank:]]*Subject: //'
  2. 为集群中的每个其他节点将以下行放在每个节点上的 /etc/ipsec.d/openshift-cluster.conf 文件中:

    conn <other_node_hostname>
            left=<this_node_ip> 1
            leftid="CN=<this_node_cert_nickname>" 2
            leftrsasigkey=%cert
            leftcert=<this_node_cert_nickname> 3
            right=<other_node_ip> 4
            rightid="<other_node_cert_full_subject>" 5
            rightrsasigkey=%cert
            auto=start
            keyingtries=%forever
    	encapsulation=yes 6
    1
    将 <this_node_ip> 替换为此节点的集群 IP 地址。
    2 3
    将 <this_node_cert_nickname> 替换为第 1 步中的节点证书 nickname。
    4
    将 <other_node_ip> 替换为另一节点的集群 IP 地址。
    5
    将 <other_node_cert_full_subject> 替换为来自上方的另一个节点证书主题。例如:"O=system:nodes,CN=openshift-node-45.example.com".
    6
    如果不使用 NAT,您必须在配置中包含 封装=yes,以强制封装。AmazonAzure 内部云网络不会路由 IPsec ESPAH 数据包。这些数据包必须封装在 UDP 中,如果配置了这些数据包,NAT 检测将在 UDP 封装中配置 ESP。如果您使用 NAT,或者您不在如前所述的 Network/Cloud-Provider 限制下,请省略此参数和值。
  3. 将以下内容放在每个节点的 /etc/ipsec.d/openshift-cluster.secrets 文件中:

    : RSA "<this_node_cert_nickname>" 1
    1
    将 <this_node_cert_nickname> 替换为第 1 步中的节点证书 nickname。