|
仅在 Google Cloud Platform (GCP) 上支持 NMState Operator 用于配置 IPsec。 |
- 文档
- OpenShift Container Platform
- 网络
- 网络安全
- 配置 IPsec 加密 history bug_report picture_as_pdf
OpenShift 文档正在迁移,不久后将仅在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上使用自定义设置安装集群
- 在 GCP 上使用网络自定义设置安装集群
- 在 GCP 的受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC 中
- 将集群安装到 GCP 中的共享 VPC 中
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC 中
- 在受限网络中使用用户自备基础设施在 GCP 上安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序安装本地集群
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序预配的集群
- 在 IBM Cloud(经典版)上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 在 OpenStack 上安装具有自定义设置的集群
- 在您自己的基础设施上在 OpenStack 上安装集群
- 在受限网络中在 OpenStack 上安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用 rootVolume 和本地磁盘上的 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础设施卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机的集群
- 在 Azure 上创建具有多架构计算机的集群
- 在 AWS 上创建具有多架构计算机的集群
- 在 GCP 上创建具有多架构计算机的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 LPAR 中在 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 IBM Power 上创建具有多架构计算机的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整算子管理多架构集群上的工作负载
- 多架构调整算子发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户做准备
- 更改云提供商凭据配置
- 配置警报通知
- 将已连接集群转换为断开连接集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全与合规性
- 安全与合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性运算符
- 文件完整性运算符
- 安全配置文件运算符
- NBDE Tang 服务器运算符
- Red Hat OpenShift 的 cert-manager Operator
- Red Hat OpenShift 的 cert-manager Operator 概述
- Red Hat OpenShift 的 cert-manager Operator 发行说明
- 安装 Red Hat OpenShift 的 cert-manager Operator
- 配置出站代理
- 使用 cert-manager Operator API 字段自定义 cert-manager
- 验证 Red Hat OpenShift 的 cert-manager Operator
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用 Red Hat OpenShift 的 cert-manager Operator 保护路由
- 监控 Red Hat OpenShift 的 cert-manager Operator
- 配置 cert-manager 和 Red Hat OpenShift 的 cert-manager Operator 的日志级别
- 卸载 Red Hat OpenShift 的 cert-manager Operator
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 基于网络的磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 理解网络
- 零信任网络
- 访问主机
- 网络仪表板
- 网络 Operator
- Kubernetes NMState Operator
- AWS 负载均衡器 Operator
- eBPF 管理器 Operator
- 外部 DNS Operator
- MetalLB Operator
- OpenShift Container Platform 中的集群网络 Operator
- OpenShift Container Platform 中的 DNS Operator
- OpenShift Container Platform 中的 Ingress Operator
- OpenShift Container Platform 中的 Ingress 节点防火墙 Operator
- SR-IOV Operator
- 网络安全
- 配置 Ingress Controller 以进行手动 DNS 管理
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义PKI
- OpenStack上的负载均衡
- 使用MetalLB进行负载均衡
- 将辅助接口指标关联到网络附件
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置CSI卷
- CSI内联临时卷
- 共享资源CSI驱动程序操作符
- CSI卷快照
- CSI卷克隆
- 管理默认存储类
- CSI自动迁移
- 非优雅节点关闭后分离CSI卷
- AWS Elastic Block Store CSI驱动程序操作符
- AWS Elastic File Service CSI驱动程序操作符
- Azure磁盘CSI驱动程序操作符
- Azure文件CSI驱动程序操作符
- Azure Stack Hub CSI驱动程序操作符
- GCP PD CSI驱动程序操作符
- GCP Filestore CSI驱动程序操作符
- IBM Cloud块存储 (VPC) CSI驱动程序操作符
- IBM Power虚拟服务器块存储CSI驱动程序操作符
- OpenStack Cinder CSI驱动程序操作符
- OpenStack Manila CSI驱动程序操作符
- Secrets Store CSI驱动程序操作符
- CIFS/SMB CSI驱动程序操作符
- VMware vSphere CSI驱动程序操作符
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作符
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器操作器自动缩放 Pod
- 控制 Pod 到节点的放置(调度)
- 使用作业和守护程序集
- 使用节点
- 使用容器
- 集群操作
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表盘
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观测性
- 可扩展性和性能
- 边缘计算
- 网络远边缘的挑战
- 准备用于 ZTP 的中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- 推荐用于 vDU 应用程序工作负载的单节点 OpenShift 集群配置
- 验证用于 vDU 应用程序工作负载的集群调整
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的第 2 天运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和还原
- 从版本 3 迁移到版本 4
- 容器迁移工具包
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动伸缩 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器 API
- 关于机器 API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- NetworkPolicy [networking.k8s.io/v1]
- OverlappingRangeIPReservation [whereabouts.cni.cncf.io/v1alpha1]
- PodNetworkConnectivityCheck [controlplane.operator.openshift.io/v1alpha1]
- Route [route.openshift.io/v1]
- Service [undefined/v1]
- 节点 API
- OAuth API
- 操作符 API
- 关于操作符 API
- Authentication [operator.openshift.io/v1]
- CloudCredential [operator.openshift.io/v1]
- ClusterCSIDriver [operator.openshift.io/v1]
- Console [operator.openshift.io/v1]
- Config [operator.openshift.io/v1]
- Config [imageregistry.operator.openshift.io/v1]
- Config [samples.operator.openshift.io/v1]
- CSISnapshotController [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNSRecord [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- ImageContentSourcePolicy [operator.openshift.io/v1alpha1]
- ImagePruner [imageregistry.operator.openshift.io/v1]
- IngressController [operator.openshift.io/v1]
- InsightsOperator [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersionMigrator [operator.openshift.io/v1]
- MachineConfiguration [operator.openshift.io/v1]
- Network [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- OperatorPKI [network.operator.openshift.io/v1]
- ServiceCA [operator.openshift.io/v1]
- Storage [operator.openshift.io/v1]
- OperatorHub APIs
- 关于 OperatorHub APIs
- CatalogSource [operators.coreos.com/v1alpha1]
- ClusterServiceVersion [operators.coreos.com/v1alpha1]
- InstallPlan [operators.coreos.com/v1alpha1]
- OLMConfig [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- OperatorCondition [operators.coreos.com/v2]
- OperatorGroup [operators.coreos.com/v1]
- PackageManifest [packages.operators.coreos.com/v1]
- Subscription [operators.coreos.com/v1alpha1]
- 策略 APIs
- 项目 APIs
- 供应 APIs
- 关于供应 APIs
- BMCEventSubscription [metal3.io/v1alpha1]
- BareMetalHost [metal3.io/v1alpha1]
- DataImage [metal3.io/v1alpha1]
- FirmwareSchema [metal3.io/v1alpha1]
- HardwareData [metal3.io/v1alpha1]
- HostFirmwareComponents [metal3.io/v1alpha1]
- HostFirmwareSettings [metal3.io/v1alpha1]
- Metal3Remediation [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3RemediationTemplate [infrastructure.cluster.x-k8s.io/v1beta1]
- PreprovisioningImage [metal3.io/v1alpha1]
- Provisioning [metal3.io/v1alpha1]
- RBAC APIs
- 角色 APIs
- 调度和配额 APIs
- 关于调度和配额 APIs
- AppliedClusterResourceQuota [quota.openshift.io/v1]
- ClusterResourceQuota [quota.openshift.io/v1]
- FlowSchema [flowcontrol.apiserver.k8s.io/v1]
- LimitRange [undefined/v1]
- PriorityClass [scheduling.k8s.io/v1]
- PriorityLevelConfiguration [flowcontrol.apiserver.k8s.io/v1]
- ResourceQuota [undefined/v1]
- 安全 APIs
- 关于安全 APIs
- CertificateSigningRequest [certificates.k8s.io/v1]
- CredentialsRequest [cloudcredential.openshift.io/v1]
- PodSecurityPolicyReview [security.openshift.io/v1]
- PodSecurityPolicySelfSubjectReview [security.openshift.io/v1]
- PodSecurityPolicySubjectReview [security.openshift.io/v1]
- RangeAllocation [security.openshift.io/v1]
- Secret [undefined/v1]
- SecurityContextConstraints [security.openshift.io/v1]
- ServiceAccount [undefined/v1]
- 存储 APIs
- 关于存储 APIs
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSIStorageCapacity [storage.k8s.io/v1]
- PersistentVolume [undefined/v1]
- PersistentVolumeClaim [undefined/v1]
- StorageClass [storage.k8s.io/v1]
- StorageState [migration.k8s.io/v1alpha1]
- StorageVersionMigration [migration.k8s.io/v1alpha1]
- VolumeAttachment [storage.k8s.io/v1]
- VolumeSnapshot [snapshot.storage.k8s.io/v1]
- VolumeSnapshotClass [snapshot.storage.k8s.io/v1]
- VolumeSnapshotContent [snapshot.storage.k8s.io/v1]
- 模板 APIs
- 用户和组 APIs
- 工作负载 APIs
- 关于工作负载 APIs
- BuildConfig [build.openshift.io/v1]
- Build [build.openshift.io/v1]
- BuildLog [build.openshift.io/v1]
- BuildRequest [build.openshift.io/v1]
- CronJob [batch/v1]
- DaemonSet [apps/v1]
- Deployment [apps/v1]
- DeploymentConfig [apps.openshift.io/v1]
- DeploymentConfigRollback [apps.openshift.io/v1]
- DeploymentLog [apps.openshift.io/v1]
- DeploymentRequest [apps.openshift.io/v1]
- Job [batch/v1]
- Pod [undefined/v1]
- ReplicationController [undefined/v1]
- ReplicaSet [apps/v1]
- StatefulSet [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 理解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operators
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联邦
- 扩展
- OpenShift 服务网格控制台插件
- 2.1 版的 3scale WebAssembly
- 2.0 版的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
×
配置 IPsec 加密
通过启用 IPsec,您可以加密节点之间内部 Pod 到 Pod 的集群流量以及 Pod 与集群外部的 IPsec 端点之间的外部流量。OVN-Kubernetes 集群网络上节点之间所有 Pod 到 Pod 的网络流量都以传输模式使用 IPsec 加密。
默认情况下禁用 IPsec。您可以在安装集群期间或之后启用 IPsec。有关集群安装的信息,请参阅OpenShift Container Platform 安装概述。
OpenShift Container Platform 集群上的 IPsec 存在以下支持限制
-
您必须在更新到 OpenShift Container Platform 4.15 之前禁用 IPsec。已知问题可能会导致在未禁用 IPsec 的情况下更新时 Pod 到 Pod 通信中断。(OCPBUGS-43323)
-
在 IBM Cloud® 上,IPsec 仅支持 NAT-T。此平台不支持封装安全有效负载 (ESP)。
-
如果您的集群使用托管控制平面 用于 Red Hat OpenShift Container Platform,则不支持用于 Pod 到 Pod 或到外部主机的流量的 IPsec 加密。
-
如果一个或多个接口连接到 Open vSwitch (OVS),则不支持在任何网络接口上使用 ESP 硬件卸载。为您的集群启用 IPsec 将触发使用连接到 OVS 的接口的 IPsec。默认情况下,OpenShift Container Platform 将禁用连接到 OVS 的任何接口上的 ESP 硬件卸载。
-
如果您为未连接到 OVS 的网络接口启用了 IPsec,则集群管理员必须手动禁用未连接到 OVS 的每个接口上的 ESP 硬件卸载。
以下列表概述了 IPsec 文档中的关键任务
-
在集群安装后启用和禁用 IPsec。
-
为集群和外部主机之间的流量配置 IPsec 加密。
-
验证 IPsec 是否加密不同节点上的 Pod 之间的流量。
操作模式
在 OpenShift Container Platform 集群上使用 IPsec 时,您可以选择以下操作模式
| 模式 | 描述 | 默认值 |
|---|---|---|
|
没有流量被加密。这是集群默认值。 |
是 |
|
Pod 到 Pod 的流量将按照“Pod 到 Pod IPsec 加密类型的网络流量”中所述进行加密。完成 IPsec 的必要配置步骤后,可能会加密到外部节点的流量。 |
否 |
|
完成 IPsec 的必要配置步骤后,可能会加密到外部节点的流量。 |
否 |
先决条件
要支持使用 IPsec 对外部主机的流量进行加密,请确保满足以下前提条件。
-
OVN-Kubernetes 网络插件必须配置为本地网关模式,其中
ovnKubernetesConfig.gatewayConfig.routingViaHost=true。 -
已安装 NMState Operator。此 Operator 对于指定 IPsec 配置是必需的。有关更多信息,请参阅 Kubernetes NMState Operator。
-
已安装 Butane 工具 (
butane)。要安装 Butane,请参阅 安装 Butane。
这些前提条件是将证书添加到主机 NSS 数据库以及配置 IPsec 以与外部主机通信所必需的。
启用 IPsec 时的网络连接要求
必须配置机器之间的网络连接,以允许 OpenShift Container Platform 集群组件进行通信。每台机器必须能够解析集群中所有其他机器的主机名。
| 协议 | 端口 | 描述 |
|---|---|---|
UDP |
|
IPsec IKE 数据包 |
|
IPsec NAT-T 数据包 |
|
ESP |
N/A |
IPsec 封装安全有效负载 (ESP) |
Pod 到 Pod 流量的 IPsec 加密
对于 Pod 到 Pod 流量的 IPsec 加密,以下部分描述了哪些特定的 Pod 到 Pod 流量被加密,使用了哪种加密协议,以及如何处理 X.509 证书。这些部分不适用于集群和外部主机之间的 IPsec 加密,您必须为您的特定外部网络基础设施手动配置这些加密。
Pod 到 Pod IPsec 加密的网络流量类型
启用 IPsec 后,只有以下 Pod 之间的网络流量流会被加密:
-
集群网络上不同节点上的 Pod 之间的流量
-
来自主机网络上的 Pod 到集群网络上的 Pod 的流量
以下流量流不会被加密:
-
集群网络上同一节点上的 Pod 之间的流量
-
主机网络上的 Pod 之间的流量
-
来自集群网络上的 Pod 到主机网络上的 Pod 的流量
加密和未加密的流量如下图所示
外部流量的 IPsec 加密
OpenShift Container Platform 支持对外部主机的流量进行 IPsec 加密,您必须提供 TLS 证书。
启用 IPsec 加密
作为集群管理员,您可以启用 Pod 到 Pod IPsec 加密以及集群和外部 IPsec 端点之间的 IPsec 加密。
您可以通过以下任一模式配置 IPsec:
-
Full:对 Pod 到 Pod 和外部流量进行加密 -
External:对外部流量进行加密
如果您需要除了 Pod 到 Pod 流量之外还要配置对外部流量的加密,则还必须完成“配置外部流量的 IPsec 加密”过程。
先决条件
-
安装 OpenShift CLI (
oc)。 -
您已以具有
cluster-admin权限的用户身份登录到集群。 -
您已将集群 MTU 大小减小了
46字节,以允许 IPsec ESP 报头的开销。
步骤
-
要启用 IPsec 加密,请输入以下命令:
$ oc patch networks.operator.openshift.io cluster --type=merge \ -p '{ "spec":{ "defaultNetwork":{ "ovnKubernetesConfig":{ "ipsecConfig":{ "mode":<mode> }}}}}'其中
模式-
指定
External仅加密到外部主机的流量,或指定Full加密 Pod 到 Pod 流量以及可选的到外部主机的流量。默认情况下,IPsec 已禁用。
-
可选:如果您需要加密到外部主机的流量,请完成“配置外部流量的 IPsec 加密”过程。
验证
-
要查找 OVN-Kubernetes 数据平面 Pod 的名称,请输入以下命令:
$ oc get pods -n openshift-ovn-kubernetes -l=app=ovnkube-node示例输出ovnkube-node-5xqbf 8/8 Running 0 28m ovnkube-node-6mwcx 8/8 Running 0 29m ovnkube-node-ck5fr 8/8 Running 0 31m ovnkube-node-fr4ld 8/8 Running 0 26m ovnkube-node-wgs4l 8/8 Running 0 33m ovnkube-node-zfvcl 8/8 Running 0 34m -
通过运行以下命令来验证您的集群上是否已启用 IPsec:
作为集群管理员,当 IPsec 配置为
Full模式时,您可以验证集群上的 Pod 之间是否启用了 IPsec。此步骤不会验证您的集群和外部主机之间 IPsec 是否正常工作。$ oc -n openshift-ovn-kubernetes rsh ovnkube-node-<XXXXX> ovn-nbctl --no-leader-only get nb_global . ipsec其中
<XXXXX>-
指定上一步中 Pod 的随机字母序列。
示例输出true
配置外部流量的 IPsec 加密
作为集群管理员,要使用 IPsec 加密外部流量,您必须为您的网络基础设施配置 IPsec,包括提供 PKCS#12 证书。由于此过程使用 Butane 创建机器配置,因此您必须安装butane 命令。
|
应用机器配置后,机器配置操作符将重新启动集群中受影响的节点以推出新的机器配置。 |
先决条件
-
安装 OpenShift CLI (
oc)。 -
您已在本地计算机上安装了
butane实用程序。 -
您已在集群上安装了 NMState 操作符。
-
您已以具有
cluster-admin权限的用户身份登录到集群。 -
您拥有 IPsec 端点的现有 PKCS#12 证书和 PEM 格式的 CA 证书。
-
您已在集群上启用
Full或External模式下的 IPsec。 -
OVN-Kubernetes 网络插件必须配置为本地网关模式,其中
ovnKubernetesConfig.gatewayConfig.routingViaHost=true。
步骤
-
使用 NMState 操作符节点网络配置策略创建 IPsec 配置。更多信息,请参见 Libreswan 作为 IPsec VPN 实现。
-
要识别充当 IPsec 端点的集群节点的 IP 地址,请输入以下命令
$ oc get nodes
-
创建一个名为
ipsec-config.yaml的文件,其中包含 NMState 操作符的节点网络配置策略,例如以下示例。有关NodeNetworkConfigurationPolicy对象的概述,请参见 Kubernetes NMState 项目。NMState IPsec 传输配置示例apiVersion: nmstate.io/v1 kind: NodeNetworkConfigurationPolicy metadata: name: ipsec-config spec: nodeSelector: kubernetes.io/hostname: "<hostname>" (1) desiredState: interfaces: - name: <interface_name> (2) type: ipsec libreswan: left: <cluster_node> (3) leftid: '%fromcert' leftrsasigkey: '%cert' leftcert: left_server leftmodecfgclient: false right: <external_host> (4) rightid: '%fromcert' rightrsasigkey: '%cert' rightsubnet: <external_address>/32 (5) ikev2: insist type: transport1 指定要应用策略的主机名。此主机在 IPsec 配置中充当左侧主机。 2 指定要在主机上创建的接口的名称。 3 指定在集群端终止 IPsec 隧道的主机名。此名称应与您提供的 PKCS#12 证书中的 SAN(主题替代名称)匹配。 4 指定外部主机名,例如 host.example.com。此名称应与您提供的 PKCS#12 证书中的 SAN(主题替代名称)匹配。5 指定外部主机的 IP 地址,例如 10.1.2.3/32。NMState IPsec 隧道配置示例apiVersion: nmstate.io/v1 kind: NodeNetworkConfigurationPolicy metadata: name: ipsec-config spec: nodeSelector: kubernetes.io/hostname: "<hostname>" (1) desiredState: interfaces: - name: <interface_name> (2) type: ipsec libreswan: left: <cluster_node> (3) leftid: '%fromcert' leftmodecfgclient: false leftrsasigkey: '%cert' leftcert: left_server right: <external_host> (4) rightid: '%fromcert' rightrsasigkey: '%cert' rightsubnet: <external_address>/32 (5) ikev2: insist type: tunnel1 指定要应用策略的主机名。此主机在 IPsec 配置中充当左侧主机。 2 指定要在主机上创建的接口的名称。 3 指定在集群端终止 IPsec 隧道的主机名。此名称应与您提供的 PKCS#12 证书中的 SAN(主题替代名称)匹配。 4 指定外部主机名,例如 host.example.com。此名称应与您提供的 PKCS#12 证书中的 SAN(主题替代名称)匹配。5 指定外部主机的 IP 地址,例如 10.1.2.3/32。 -
要配置 IPsec 接口,请输入以下命令
$ oc create -f ipsec-config.yaml
-
-
提供以下证书文件以添加到每个主机上的网络安全服务 (NSS) 数据库中。这些文件作为后续步骤中的 Butane 配置的一部分导入。
-
left_server.p12:IPsec 端点的证书捆绑包 -
ca.pem:您用来签署证书的证书颁发机构
-
-
创建机器配置以将您的证书添加到集群
-
要为控制平面和工作节点创建 Butane 配置文件,请输入以下命令
$ for role in master worker; do cat >> "99-ipsec-${role}-endpoint-config.bu" <<-EOF variant: openshift version: 4.17.0 metadata: name: 99-${role}-import-certs labels: machineconfiguration.openshift.io/role: $role systemd: units: - name: ipsec-import.service enabled: true contents: | [Unit] Description=Import external certs into ipsec NSS Before=ipsec.service [Service] Type=oneshot ExecStart=/usr/local/bin/ipsec-addcert.sh RemainAfterExit=false StandardOutput=journal [Install] WantedBy=multi-user.target storage: files: - path: /etc/pki/certs/ca.pem mode: 0400 overwrite: true contents: local: ca.pem - path: /etc/pki/certs/left_server.p12 mode: 0400 overwrite: true contents: local: left_server.p12 - path: /usr/local/bin/ipsec-addcert.sh mode: 0740 overwrite: true contents: inline: | #!/bin/bash -e echo "importing cert to NSS" certutil -A -n "CA" -t "CT,C,C" -d /var/lib/ipsec/nss/ -i /etc/pki/certs/ca.pem pk12util -W "" -i /etc/pki/certs/left_server.p12 -d /var/lib/ipsec/nss/ certutil -M -n "left_server" -t "u,u,u" -d /var/lib/ipsec/nss/ EOF done -
要将您在上一步中创建的 Butane 文件转换为机器配置,请输入以下命令
$ for role in master worker; do butane -d . 99-ipsec-${role}-endpoint-config.bu -o ./99-ipsec-$role-endpoint-config.yaml done
-
-
要将机器配置应用于您的集群,请输入以下命令
$ for role in master worker; do oc apply -f 99-ipsec-${role}-endpoint-config.yaml done随着机器配置操作符 (MCO) 更新每个机器配置池中的机器,它将逐个重新启动每个节点。您必须等到所有节点都更新完毕后,外部 IPsec 连接才能可用。
-
通过输入以下命令检查机器配置池状态
$ oc get mcp成功更新的节点具有以下状态:
UPDATED=true,UPDATING=false,DEGRADED=false。默认情况下,MCO 每次在一个池中更新一台机器,导致迁移所需的时间随着集群大小的增加而增加。
-
要确认 IPsec 机器配置已成功推出,请输入以下命令
-
确认已创建 IPsec 机器配置
$ oc get mc | grep ipsec示例输出80-ipsec-master-extensions 3.2.0 6d15h 80-ipsec-worker-extensions 3.2.0 6d15h -
确认 IPsec 扩展已应用于控制平面节点
$ oc get mcp master -o yaml | grep 80-ipsec-master-extensions -c预期输出2 -
确认 IPsec 扩展已应用于工作节点
$ oc get mcp worker -o yaml | grep 80-ipsec-worker-extensions -c预期输出2
-
其他资源
-
有关 nmstate IPsec API 的更多信息,请参见 IPsec 加密
禁用外部 IPsec 端点的 IPsec 加密
作为集群管理员,您可以删除到外部主机的现有 IPsec 隧道。
先决条件
-
安装 OpenShift CLI (
oc)。 -
您已以具有
cluster-admin权限的用户身份登录到集群。 -
您已在集群上启用
Full或External模式下的 IPsec。
步骤
-
创建一个名为
remove-ipsec-tunnel.yaml的文件,其中包含以下 YAMLkind: NodeNetworkConfigurationPolicy apiVersion: nmstate.io/v1 metadata: name: <name> spec: nodeSelector: kubernetes.io/hostname: <node_name> desiredState: interfaces: - name: <tunnel_name> type: ipsec state: absent其中
名称-
指定节点网络配置策略的名称。
节点名称-
指定要删除 IPsec 隧道的节点的名称。
隧道名称-
指定现有 IPsec 隧道的接口名称。
-
要删除 IPsec 隧道,请输入以下命令
$ oc apply -f remove-ipsec-tunnel.yaml
禁用 IPsec 加密
作为集群管理员,您可以禁用 IPsec 加密。
先决条件
-
安装 OpenShift CLI (
oc)。 -
使用具有
cluster-admin权限的用户登录到集群。
步骤
-
要禁用 IPsec 加密,请输入以下命令
$ oc patch networks.operator.openshift.io cluster --type=merge \ -p '{ "spec":{ "defaultNetwork":{ "ovnKubernetesConfig":{ "ipsecConfig":{ "mode":"Disabled" }}}}}' -
可选:您可以将集群 MTU 大小增加
46字节,因为 IP 数据包中不再有 IPsec ESP 头的开销。