9.6. 配置 IPsec 加密
启用 IPsec 后,OVN-Kubernetes 网络插件的节点之间的所有网络流量都通过加密的隧道传输。
默认禁用 IPsec。
9.6.1. 先决条件
- 集群必须使用 OVN-Kubernetes 网络插件。
9.6.1.1. 启用 IPsec 加密
作为集群管理员,您可以在集群安装后启用 IPsec 加密。
先决条件
-
安装 OpenShift CLI(
oc)。 -
使用具有
cluster-admin权限的用户登陆到集群。 -
您已将集群 MTU 的大小减少为
46字节,以允许 IPsec ESP 标头的开销。
流程
要启用 IPsec 加密,请输入以下命令:
$ oc patch networks.operator.openshift.io cluster --type=merge \ -p '{"spec":{"defaultNetwork":{"ovnKubernetesConfig":{"ipsecConfig":{ }}}}}'
9.6.1.2. 验证是否启用了 IPsec
作为集群管理员,您可以验证 IPsec 是否已启用。
验证
要查找 OVN-Kubernetes control plane pod 的名称,请输入以下命令:
$ oc get pods -n openshift-ovn-kubernetes | grep ovnkube-master
输出示例
ovnkube-master-4496s 1/1 Running 0 6h39m ovnkube-master-d6cht 1/1 Running 0 6h42m ovnkube-master-skblc 1/1 Running 0 6h51m ovnkube-master-vf8rf 1/1 Running 0 6h51m ovnkube-master-w7hjr 1/1 Running 0 6h51m ovnkube-master-zsk7x 1/1 Running 0 6h42m
验证在集群中启用了 IPsec:
$ oc -n openshift-ovn-kubernetes -c nbdb rsh ovnkube-master-<XXXXX> \ ovn-nbctl --no-leader-only get nb_global . ipsec
其中:
<XXXXX>- 指定上一步中 pod 的随机字符序列。
输出示例
true