provide better scalability and simplify the installation to support any etcd support - Introduction of IPsec and use of ESP or utilization of the traffic class field in the IPv6 header will allow to use more (beta) This guide explains how to configure Cilium to use IPsec based transparent encryption using Kubernetes secrets to distribute the IPsec keys. After this configuration is complete all traffic between between Cilium managed endpoints, as well as Cilium managed host traffic, will be encrypted using IPsec. This guide uses Kubernetes secrets to distribute keys. Alternatively, keys may be manually distributed

such as: Layer 7 Policy (see GitHub issue 12454 [https://github.com/cilium/cilium/issues/12454]) IPsec Transparent Encryption (see GitHub issue 15596 [https://github.com/cilium/cilium/issues/15596]) Important such as: Layer 7 Policy (see GitHub issue 12454 [https://github.com/cilium/cilium/issues/12454]) IPsec Transparent Encryption (see GitHub issue 15596 [https://github.com/cilium/cilium/issues/15596]) This such as: Layer 7 Policy (see GitHub issue 12454 [https://github.com/cilium/cilium/issues/12454]) IPsec Transparent Encryption (see GitHub issue 15596 [https://github.com/cilium/cilium/issues/15596]) Create

as: • Layer 7 Policy (see GitHub issue 12454 [https://github.com/cilium/cilium/issues/12454]) • IPsec Transparent Encryption (see GitHub issue 15596 [https://github.com/cilium/cilium/issues/15596]) ## as: • Layer 7 Policy (see GitHub issue 12454 [https://github.com/cilium/cilium/issues/12454]) • IPsec Transparent Encryption (see GitHub issue 15596 [https://github.com/cilium/cilium/issues/15596]) This as: • Layer 7 Policy (see GitHub issue 12454 [https://github.com/cilium/cilium/issues/12454]) • IPsec Transparent Encryption (see GitHub issue 15596 [https://github.com/cilium/cilium/issues/15596]) ##

则必须将此值设置为1400。集群安装后无法更改这个值。| |genevePort|整数|用于所有Geneve数据包的端口。默认值为6081。集群安装后无法更改这个值。| |ipsecConfig|对象|指定一个空对象来启用IPsec加密。集群安装后无法更改这个值。| ## OVN-Kubernetes 配置示例 defaultNetwork: type: OVNKubernetes ovnKubernetesConfig: spec: defaultNetwork: openshiftSDNConfig: vxlanPort: 4800 为OVN-Kubernetes网络供应商启用IPsec apiVersion: operator.openshift.io/v1 kind: Network metadata: name: cluster spec: defaultNetwork: |MasterIngressIpseclke|IPsec IKE数据包|udp|500| |MasterIngress WorkerIpseclke|IPsec IKE数据包|udp|500| |MasterIngressIpsecNat|IPsec NAT-T数据包|udp|4500| |MasterIngress WorkerIpsecNat|IPsec NAT-T数据包|udp|4500| |M

|OpenShift CLI (OC) 插件|支持|支持| |Operator API|支持|支持| |OpenShift Virtualization|不支持|不支持| |OVN-Kubernetes，包括 IPsec 加密|支持|支持| |PodDisruptionBudget|支持|支持| |精度时间协议 (PTP) 硬件|不支持|不支持| |Red Hat OpenShift Local|不支持|不支持| IBM Cloud 上的 IPsec 现在，在使用 OVN-Kubernetes 网络插件的 IBM Cloud Platform 上支持 IPsec，这是 OpenShift Container Platform 4.14 中的默认设置。如需更多信息，请参阅配置 IPsec 加密。 ###### 1.3.9.11. OVN-Kubernetes 网络插件支持外部流量的 IPsec 加密（技术预览） 现在支持加密外部流量，也称为南北流量。IPsec 已支持加密 pod 间的网络流量，称为东西流量。您可以组合使用这两个功能来为 OpenShift Container Platform 集群提供完整的转换加密。这作为技术预览功能提供。 要使用这个功能，您需要为网络基础架构定义一个 IPsec 配置。如需更多信息，请参阅为外部 IPsec 端点启用 IPsec 加密。 ###### 1.3.9.12

provide better scalability and simplify the installation to support any etcd support Introduction of IPSec and use of ESP or utilization of the traffic class field in the IPv6 header will allow to use more (beta) This guide explains how to configure Cilium to use IPSec based transparent encryption using Kubernetes secrets to distribute the IPSec keys. After this configuration is complete all traffic between between Cilium managed endpoints, as well as Cilium managed host traffic, will be encrypted using IPSec. This guide uses Kubernetes secrets to distribute keys. Alternatively, keys may be manually distributed

TRANSIT 中的加密 您需要启用 IPsec，以便 OVN-Kubernetes Container Network Interface (CNI) 集群网络中的节点之间的所有网络流量都通过加密的隧道进行传输。 默认情况下禁用 IPsec。您可以在安装集群前或安装集群之后启用它。如果您需要在集群安装后启用 IPsec，您必须首先将集群 MTU 大小调整为考虑 IPsec ESP IP 标头的开销。 有关如何配置 IPsec 加密的更多信息，请参阅 OpenShift Container Platform 文档中的配置网络指南的 IPsec 加密。 ## 第6章 订阅 #### 6.1. 订阅服务 Red Hat OpenShift Data Foundation 订阅基于"内核对"，与 Red Hat OpenShift Container Platform 类似的。Red

400。| |genevePort|integer|用于所有Geneve数据包的端口。默认值为6081。此值在集群安装后无法更改。| |ipsecConfig|object|指定一个空对象来启用IPsec加密。此值在集群安装后无法更改。| |policyAuditConfig|object|指定用于自定义网络策略审计日志的配置对象。如果未设置，则使用默认的审计日志设置。| |gatewayConf Open vSwitch 硬件卸载功能有交互。如果将此字段设置为 true，则不会获得卸载的性能优势，因为主机网络堆栈会处理出口流量。 ## 启用 IPSec 的 OVN-Kubernetes 配置示例 defaultNetwork: type: OVNKubernetes ovnKubernetesConfig: mtu: 1400 genevePort: cluster spec: defaultNetwork: openshiftSDNConfig: vxlanPort: 4800 为 OVN-Kubernetes 网络供应商启用 IPsec apiVersion: operator.openshift.io/v1 kind: Network metadata: name: cluster spec: defaultNetwork:

网络插件 ..... 426 27.8. 转换为IPv4/IPv6双栈网络 ..... 437 27.9. 出口防火墙和网络策略规则的日志记录 ..... 439 27.10. 配置IPSEC加密 ..... 448 27.11. 为项目配置出口防火墙 ..... 451 27.12. 查看项目的出口防火墙 ..... 457 27.13. 为项目编辑出口防火墙 ..... 传输单元（MTU）。这个值通常是自动配置的。| |genevePort|整数|Geneve 覆盖网络的 UDP 端口。| |ipsecConfig|object|如果存在该字段，则会为集群启用 IPsec。| |policyAuditConfig|object|指定用于自定义网络策略审计日志的配置对象。如果未设置，则使用默认的审计日志设置。| |gatewayConfig|object|可选：指定 79fc21e63b8a5dd/p25_1.jpg) 注意 您只能在集群安装过程中更改集群网络插件的配置，但 gatewayConfig 字段可作为安装后活动在运行时更改。 ## 启用 IPSec 的 OVN-Kubernetes 配置示例 defaultNetwork: type: OVNKubernetes ovnKubernetesConfig: mtu: 1400 genevePort:

Geneve 数据包的端口。默认值为 6081。集群安装后无法更改这个值。ipsecConfig对象指定一个空对象来启用 IPsec 加密。集群安装后无法更改这个值。policyAuditConfig对象指定用于自定义网络策略审计日志的配置对象。如果未设置 name: cluster spec: defaultNetwork: openshiftSDNConfig: vxlanPort: 4800 为 OVN-Kubernetes 网络供应商启用 IPsec apiVersion: operator.openshift.io/v1 kind: Network metadata: name: cluster spec: defaultNetwork: IpsecIkeIPsec IKE 数据包udp500MasterIngress WorkerIpsecIkeIPsec IKE 数据包udp500MasterIngress IpsecNatIPsec NAT-T 数据