使用 WireGuard 加密工作者節點對工作者節點的資料流量
標準基礎架構 Virtual Private Cloud
您可以使用 WireGuard來加密在叢集裡工作者節點之間流動的資料。
- 請注意,此特性只會加密相同叢集上工作者節點之間的資料流量,而不會加密相同工作者節點上不同 Pod 之間的資料流量。
- 具有執行 Ubuntu 20 或更新版本 的工作者節點的 Kubernetes Service 叢集上支援使用 WireGuard 的工作者節點至工作者節點加密。
- 在其上具有使用者安裝加密模組的工作者節點上不支援 WireGuard。
- WireGuard 不符合 FIPS 或 FedRamp 標準。
- 在啟用 WireGuard 配置之後,您無法變更它。 不過,您可以停用它。
如需此配置設定的相關資訊,請參閱 Calico 文件中的 啟用叢集的 WireGuard。
啟用 WireGuard 加密
-
執行下列指令,以針對工作者節點至工作者節點資料流量啟用 WireGuard。
kubectl patch felixconfiguration default --type='merge' -p '{"spec":{"wireguardEnabled":true}}'
輸出範例
felixconfiguration.crd.projectcalico.org/default patched
-
檢閱
felixconfiguration
,以驗證您的設定。 在輸出中,尋找 WireGuard 區段並驗證該wireguardEnabled: true
。kubectl get felixconfiguration default -o yaml
輸出範例
apiVersion: crd.projectcalico.org/v1 kind: FelixConfiguration metadata: annotations: created-by: IBMCloudKubernetesService projectcalico.org/metadata: '{"uid":"8a21b69b-9ffb-451d-9619-0dd1605810dc","creationTimestamp":"2023-09-13T14:00:15Z"}' creationTimestamp: "2023-09-13T14:00:15Z" generation: 2 name: default resourceVersion: "24839234" uid: ff0c79f3-5548-4db4-a22f-2f367282631d spec: bpfLogLevel: "" floatingIPs: Disabled logSeverityScreen: Info natPortRange: 32768:65535 reportingInterval: 0s wireguardEnabled: true
停用 WireGuard 加密
如果您在叢集裡不再需要工作者節點至工作者節點加密,則可以停用 WireGuard。
-
運行以下命令來禁用WireGuard。
kubectl patch felixconfiguration default --type='merge' -p '{"spec":{"wireguardEnabled":false}}'
輸出範例
felixconfiguration.crd.projectcalico.org/default patched
-
驗證 WireGuard 已停用。
kubectl get felixconfiguration default -o yaml
輸出範例
apiVersion: crd.projectcalico.org/v1 kind: FelixConfiguration metadata: annotations: created-by: IBMCloudKubernetesService projectcalico.org/metadata: '{"uid":"8a21b69b-9ffb-451d-9619-0dd1605810dc","creationTimestamp":"2023-09-13T14:00:15Z"}' creationTimestamp: "2023-09-13T14:00:15Z" generation: 3 name: default resourceVersion: "24839453" uid: ff0c79f3-5548-4db4-a22f-2f367282631d spec: bpfLogLevel: "" floatingIPs: Disabled logSeverityScreen: Info natPortRange: 32768:65535 reportingInterval: 0s wireguardEnabled: false