WireGuard を使用したワーカー間トラフィックの暗号化
クラシック・インフラストラクチャー 仮想プライベート・クラウド
WireGuardを使用して、クラスター内のワーカー・ノード間を流れるデータを暗号化できます。
- この機能は、同じクラスター上のワーカー・ノード間のトラフィックのみを暗号化し、同じワーカー・ノード上の異なるポッド間のトラフィックは暗号化しないことに注意してください。
- WireGuard を使用したワーカー間の暗号化は、 Ubuntu 20 以降 を実行するワーカーを使用する Kubernetes Service クラスターでサポートされます。
- WireGuard は、ユーザーが暗号化モジュールをインストールしたワーカーではサポートされません。
- WireGuard は、FIPS または FedRamp に準拠していません。
- WireGuard 構成は、有効にした後で変更することはできません。 ただし、これを使用不可にすることはできます。
この構成設定について詳しくは、 Calico 資料の Enable WireGuard for a cluster を参照してください。
WireGuard 暗号化の有効化
-
以下のコマンドを実行して、ワーカー間トラフィックに対して WireGuard を有効にします。
kubectl patch felixconfiguration default --type='merge' -p '{"spec":{"wireguardEnabled":true}}'
出力例
felixconfiguration.crd.projectcalico.org/default patched
-
felixconfiguration
を確認して、セットアップを検証します。 出力で、 WireGuard セクションを見つけ、wireguardEnabled: true
であることを確認します。kubectl get felixconfiguration default -o yaml
出力例
apiVersion: crd.projectcalico.org/v1 kind: FelixConfiguration metadata: annotations: created-by: IBMCloudKubernetesService projectcalico.org/metadata: '{"uid":"8a21b69b-9ffb-451d-9619-0dd1605810dc","creationTimestamp":"2023-09-13T14:00:15Z"}' creationTimestamp: "2023-09-13T14:00:15Z" generation: 2 name: default resourceVersion: "24839234" uid: ff0c79f3-5548-4db4-a22f-2f367282631d spec: bpfLogLevel: "" floatingIPs: Disabled logSeverityScreen: Info natPortRange: 32768:65535 reportingInterval: 0s wireguardEnabled: true
WireGuard 暗号化の無効化
クラスター内でワーカー間の暗号化が不要になった場合は、 WireGuardを無効にすることができます。
-
無効にするには次のコマンドを実行しますWireGuard。
kubectl patch felixconfiguration default --type='merge' -p '{"spec":{"wireguardEnabled":false}}'
出力例
felixconfiguration.crd.projectcalico.org/default patched
-
WireGuard が無効になっていることを確認します。
kubectl get felixconfiguration default -o yaml
出力例
apiVersion: crd.projectcalico.org/v1 kind: FelixConfiguration metadata: annotations: created-by: IBMCloudKubernetesService projectcalico.org/metadata: '{"uid":"8a21b69b-9ffb-451d-9619-0dd1605810dc","creationTimestamp":"2023-09-13T14:00:15Z"}' creationTimestamp: "2023-09-13T14:00:15Z" generation: 3 name: default resourceVersion: "24839453" uid: ff0c79f3-5548-4db4-a22f-2f367282631d spec: bpfLogLevel: "" floatingIPs: Disabled logSeverityScreen: Info natPortRange: 32768:65535 reportingInterval: 0s wireguardEnabled: false