从多专区集群配置一个出站 VPN 连接

要在多专区集群中配置 strongSwan VPN 服务，最简单的解决方案是使用可在集群中所有可用性专区的不同工作程序节点之间切换的单个出站 VPN 连接。

VPN 连接是来自多专区集群的出站连接时，只需要一个 strongSwan 部署。 如果某个工作程序节点已被除去或发生中断，kubelet 会将 VPN pod 重新安排到新的工作程序节点上。 如果某个可用性专区发生中断，kubelet 会将 VPN pod 重新安排到其他专区中的新工作程序节点上。

1. 配置一个 strongSwan VPN Helm chart。 按照该部分的步骤操作时，请确保指定以下设置。

   • ipsec.auto：更改为 start。 连接是来自集群的出站连接。
   • loadBalancerIP：不要指定 IP 地址。 请将此设置保留为空。
   • zoneLoadBalancer：为工作程序节点所在的每个专区指定一个公共负载均衡器 IP 地址。 可以检查以确定可用的公共 IP 地址或释放使用的 IP 地址。 由于可以将 strongSwan VPN pod 安排到任何专区中的工作程序节点，因此该 IP 列表可确保在其中安排了 VPN pod 的任何专区中都可以使用负载均衡器 IP。
   • connectUsingLoadBalancerIP：设置为 true。 将 strongSwan VPN pod 安排到工作程序节点上时，strongSwan 服务会选择同一专区中的负载均衡器 IP 地址，并使用此 IP 来建立出站连接。
   • local.id：指定远程 VPN 端点支持的固定值。 如果远程 VPN 端点要求您将 local.id 选项 ( ipsec.conf 中的 leftid 值) 设置为 VPN IPSec 隧道的公共 IP 地址，请将 local.id 设置为 %loadBalancerIP。 此值会自动将 ipsec.conf 中的 leftid 值配置为用于连接的负载均衡器 IP 地址。
   • 可选：通过将 enableSingleSourceIP 设置为 true，将所有群集 IP 地址隐藏在每个区域的单个 IP 地址后面。 此选项为 VPN 连接提供了其中一种最安全的配置，因为不允许远程网络向后连接到集群。 您还必须将 local.subnet 设置为 %zoneSubnet 变量，并使用 local.zoneSubnet 为集群中每个专区指定一个 IP 地址作为 /32 子网。

2. 在远程网络防火墙中，允许来自 zoneLoadBalancer 设置中列出的公共 IP 地址的入局 IPSec VPN 连接。

3. 配置远程 VPN 端点，以允许来自 zoneLoadBalancer 设置中列出的每个可能的负载均衡器 IP 的入局 VPN 连接。

配置与多专区集群的一个入站 VPN 连接

如果需要入局 VPN 连接，并且远程 VPN 端点可以在检测到故障时自动与其他 IP 重新建立 VPN 连接，那么可以使用可在集群中所有可用性专区的不同工作程序节点之间切换的单个入站 VPN 连接。

远程 VPN 端点可以与任何专区中的任何 strongSwan 负载均衡器建立 VPN 连接。 无论 VPN pod 位于哪个专区中，都会将入局请求发送到该 VPN pod。 来自 VPN pod 的响应会通过原始负载均衡器发送回远程 VPN 端点。 此选项可确保高可用性，因为如果某个工作程序节点已被除去或发生中断，kubelet 会将 VPN pod 重新安排到新的工作程序节点上。 此外，如果某个可用性专区发生中断，那么远程 VPN 端点可以与其他专区中的负载均衡器 IP 地址重新建立 VPN 连接，以便仍能访问 VPN pod。

1. 配置一个 strongSwan VPN Helm chart。 按照该部分的步骤操作时，请确保指定以下设置。

   • ipsec.auto：更改为 add。 连接是集群的入站连接。
   • loadBalancerIP：不要指定 IP 地址。 请将此设置保留为空。
   • zoneLoadBalancer：为工作程序节点所在的每个专区指定一个公共负载均衡器 IP 地址。 可以检查以确定可用的公共 IP 地址或释放使用的 IP 地址。
   • local.id: 如果远程 VPN 端点要求您将 local.id 选项 ( ipsec.conf 中的 leftid 值) 设置为 VPN IPSec 隧道的公共 IP 地址，请将 local.id 设置为 %loadBalancerIP。 此值会自动将 ipsec.conf 中的 leftid 值配置为用于连接的负载均衡器 IP 地址。

2. 在远程网络防火墙中，允许连至 zoneLoadBalancer 设置中列出的公共 IP 地址的出局 IPSec VPN 连接。

在多专区集群的每个专区中配置入站 VPN 连接

当您需要传入 VPN 连接，而远程 VPN 端点无法重新建立到不同 IP 的 VPN 连接时，您必须在每个区域部署单独的 strongSwan VPN 服务。

远程 VPN 端点必须更新为与每个专区中的负载均衡器建立单独的 VPN 连接。 此外，必须在远程 VPN 端点上配置特定于专区的设置，以便其中每个 VPN 连接都是唯一的。 确保这些多个传入的 VPN 连接保持激活状态。

部署每个 Helm chart 后，每个 strongSwan VPN 部署会作为正确专区中的 Kubernetes Load Balancer 服务启动。 对该公共 IP 的入局请求会转发到也在同一专区中分配的 VPN pod。 如果该专区遇到中断，不会影响其他专区中建立的 VPN 连接。

1. 针对每个专区配置 strongSwan VPN Helm chart。 执行该部分中的步骤时，请确保指定以下设置：

   • loadBalancerIP：指定在其中部署此 strongSwan 服务的专区中的可用公共负载均衡器 IP 地址。 可以检查以确定可用的公共 IP 地址或释放使用的 IP 地址。
   • zoneSelector：指定要在其中安排 VPN pod 的专区。
   • 可能需要其他设置，例如 zoneSpecificRoutes、remoteSubnetNAT、localSubnetNAT 或 enableSingleSourceIP，具体取决于哪些资源必须可通过 VPN 进行访问。 请参阅下一步以了解更多详细信息。

2. 在 VPN 隧道的两端配置特定于专区的设置，以确保每个 VPN 连接都是唯一的。 根据哪些资源必须可通过 VPN 进行访问，您有两个选项可用于区分连接：

   • 如果群集中的 pod 必须访问远程内部网络上的服务、
     • zoneSpecificRoutes：设置为 true。 此设置将 VPN 连接限制在群集中的单个区域。 特定专区中的 pod 仅使用针对该特定专区设置的 VPN 连接。 此解决方案减少了在多专区集群中支持多个 VPN 所需的 strongSwan pod 数，提高了 VPN 性能（因为 VPN 流量仅流至位于当前专区中的工作程序节点），并可确保每个专区的 VPN 连接不受其他专区中的 VPN 连接、崩溃的 pod 或专区中断的影响。 请注意，您无需配置 remoteSubnetNAT。 使用 zoneSpecificRoutes 设置的多个 VPN 可以具有相同的 remote.subnet，因为路由是按专区设置的。
     • enableSingleSourceIP：设置为 true，并将 local.subnet 设置为单个 /32 IP 地址。 这种设置组合可将所有群集专用 IP 地址隐藏在单个 /32 IP 地址后面。 此唯一的 /32 IP 地址允许远程内部部署网络通过正确的 VPN 连接，将回复发送回集群中启动请求的正确 pod。 请注意，为 local.subnet 选项配置的单个 /32 IP 地址在每个 strongSwan VPN 配置中必须唯一。
   • 如果远程内部网络中的应用程序必须访问群集中的服务、
     • localSubnetNAT：确保内部部署远程网络中的应用程序可以选择特定的 VPN 连接来发送和接收流至集群的流量。 在每个 strongSwan Helm 配置中，使用 localSubnetNAT 来唯一地标识可由远程内部部署应用程序访问的集群资源。 由于从远程内部网络到群集要建立多个 VPN，因此必须在内部网络的应用程序中添加逻辑，以便在访问群集中的服务时选择使用哪个 VPN。 请注意，集群中的服务可通过多个不同的子网进行访问，具体取决于在每个 strongSwan VPN 配置中为 localSubnetNAT 配置的内容。
     • remoteSubnetNAT：确保集群中的 pod 使用相同的 VPN 连接将流量返回到远程网络。 在每个 strongSwan 部署文件中，使用 remoteSubnetNAT 设置将远程内部部署子网映射到唯一子网。 集群中的 pod 从特定于 VPN 的 remoteSubnetNAT 收到的流量会发送回特定于 VPN 的这一相同 remoteSubnetNAT，然后通过这一相同 VPN 连接传递。
   • 如果集群中的 pod 必须访问远程本地网络上的服务，而远程本地网络中的应用程序必须访问集群中的服务，请配置第二个项目符号点中列出的 localSubnetNAT 和 remoteSubnetNAT 设置。 请注意，如果集群中的 pod 向远程内部部署网络发起请求，那么必须向 pod 添加逻辑，以便其可以选择要用于访问远程内部部署网络上的服务的 VPN 连接。

3. 配置远程 VPN 端点软件，以与每个专区中的负载均衡器 IP 建立单独的 VPN 连接。

步骤 1：获取 strongSwan Helm chart

安装 Helm 并获取 strongSwan Helm chart 以查看可能的配置。

1. 遵循指示信息 在本地机器上安装 V 3 Helm 客户机。

2. 在本地 YAML 文件中保存 strongSwan Helm chart 的缺省配置设置。

   helm show values iks-charts/strongswan > config.yaml
   

3. 打开 config.yaml 文件。

步骤 2：配置基本 IPSec 设置

要控制 VPN 连接的建立，请修改以下基本 IPSec 设置。

有关每个设置的更多信息，请阅读 Helm chart 的 config.yaml 文件中提供的文档。

1. 如果内部部署 VPN 隧道端点不支持 ikev2 作为初始化连接的协议，请将 ipsec.keyexchange 的值更改为 ikev1。
2. 将 ipsec.esp 设置为内部部署 VPN 隧道端点用于连接的 ESP 加密和认证算法的列表。
   • 如果 ipsec.keyexchange 设置为 ikev1，那么必须指定此设置。
   • 如果 ipsec.keyexchange 设置为 ikev2，那么此设置是可选的。
   • 如果将此设置保留为空，那么会将缺省 strongSwan 算法 aes128-sha1,3des-sha1 用于连接。
3. 将 ipsec.ike 设置为内部部署 VPN 隧道端点用于连接的 IKE/ISAKMP SA 加密和认证算法的列表。 算法必须明确采用格式 encryption-integrity[-prf]-dhgroup。
   • 如果 ipsec.keyexchange 设置为 ikev1，那么必须指定此设置。
   • 如果 ipsec.keyexchange 设置为 ikev2，那么此设置是可选的。
   • 如果将此设置保留为空，那么会将缺省 strongSwan 算法 aes128-sha1-modp2048,3des-sha1-modp1536 用于连接。
4. 将 local.id 的值更改为任何字符串，以便用来标识 VPN 隧道端点使用的本地 Red Hat OpenShift 集群端。 缺省值为 ibm-cloud。 某些 VPN 实现需要使用本地端点的公共 IP 地址。
5. 将 remote.id 的值更改为要用于标识 VPN 隧道端点使用的远程内部部署端的任何字符串。 缺省值为 on-prem。 某些 VPN 实现需要使用远程端点的公共 IP 地址。
6. 将 preshared.secret 的值更改为内部部署 VPN 隧道端点网关用于连接的预共享私钥。 此值存储在 ipsec.secrets 中。
7. 可选：将 remote.privateIPtoPing 设置为远程子网中作为 Helm 连接验证测试的一部分对其执行 ping 操作的任何专用 IP 地址。

步骤 3：选择入站或出站 VPN 连接

配置 strongSwan VPN 连接时，请选择 VPN 连接是入站到集群还是从集群出站。

入站

远程网络中的内部部署 VPN 端点启动 VPN 连接，集群侦听连接。

出站

集群启动 VPN 连接，远程网络中的内部部署 VPN 端点侦听连接。

要建立入站 VPN 连接，请修改以下设置。

1. 验证 ipsec.auto 是否设置为 add。
2. 可选：将 loadBalancerIP 设置为 strongSwan VPN 服务的可移植公共 IP 地址。 需要稳定的 IP 地址时（例如，必须指定允许哪些 IP 地址通过内部部署防火墙时），指定 IP 地址很有用。 该集群必须至少具有一个可用的公共负载均衡器 IP 地址。 可以检查以确定可用的公共 IP 地址或 释放使用的 IP 地址。
   • 如果将此设置保留为空，那么将使用其中一个可用的可移植公共 IP 地址。
   • 还必须配置为内部部署 VPN 端点上的集群 VPN 端点选择或分配给该端点的公共 IP 地址。

要建立出站 VPN 连接，请修改以下设置。

1. 将 ipsec.auto 更改为 start。
2. 将 remote.gateway 设置为远程网络中内部部署 VPN 端点的公共 IP 地址。
3. 对于集群 VPN 端点的 IP 地址，选择下列其中一个选项：

   • 群集专用网关的公共 IP 地址：如果您的工作节点只连接到专用 VLAN，那么出站 VPN 请求将通过专用网关路由到达互联网。 专用网关的公共 IP 地址用于 VPN 连接。

   • 运行 strongSwan pod 的工作程序节点的公共 IP 地址：如果运行 strongSwan pod 的工作程序节点连接到公用 VLAN，那么该工作程序节点的公共 IP 地址将用于 VPN 连接。

     • 如果删除了 strongSwan pod 并将其重新安排到集群中的其他工作程序节点上，那么 VPN 的公共 IP 地址会更改。 远程网络的内部部署 VPN 端点必须允许从任何集群工作程序节点的公共 IP 地址建立 VPN 连接。
     • 如果远程 VPN 端点无法处理来自多个公共 IP 地址的 VPN 连接，请限制 strongSwan VPN pod 部署到的节点。 将 nodeSelector 设置为特定工作程序节点的 IP 地址或工作程序节点标签。 例如，值 kubernetes.io/hostname: 10.232.xx.xx 允许将 VPN pod 仅部署到该工作程序节点。 值 strongswan: vpn 将 VPN pod 限制为在具有该标签的任何工作程序节点上运行。 可以使用任何工作程序节点标签。 要让不同的工作节点与不同的 helm 图表部署配合使用，请使用 strongswan: <release_name>。 为实现高可用性，请至少选择两个工作程序节点。

   • strongSwan 服务的公共 IP 地址：要使用 strongSwan VPN 服务的 IP 地址来建立连接，请将 connectUsingLoadBalancerIP 设置为 true。 strongSwan 服务 IP 地址是可以在 loadBalancerIP 设置中指定的可移植公共 IP 地址，也可以是自动分配给服务的可用可移植公共 IP 地址。

     • 如果选择使用 loadBalancerIP 设置来选择 IP 地址，那么集群必须至少具有一个可用的公共负载均衡器 IP 地址。 可以检查以确定可用的公共 IP 地址或释放使用的 IP 地址。
     • 所有群集工作节点必须位于同一个公共 VLAN 上。 否则，必须使用 nodeSelector 设置来确保 VPN pod 部署到 loadBalancerIP 所在的公用 VLAN 上的工作程序节点。
     • 如果 connectUsingLoadBalancerIP 设置为 true，并且 ipsec.keyexchange 设置为 ikev1，那么必须将 enableServiceSourceIP 设置为 true。

步骤 4：通过 VPN 连接访问集群资源

确定哪些集群资源必须可由远程网络通过 VPN 连接进行访问。

1. 将一个或多个集群子网的 CIDR 添加到 local.subnet 设置。 必须在内部部署 VPN 端点上配置本地子网 CIDR。 该列表可包括以下子网。

   • Kubernetes pod 子网 CIDR：172.30.0.0/16。 将启用所有集群 pod 与 remote.subnet 设置中列出的远程网络子网中的任何主机之间的双向通信。 如果出于安全原因必须防止任何 remote.subnet 主机访问群集 pod，请不要将 Kubernetes pod 子网添加到 local.subnet 设置中。
   • Kubernetes 服务子网 CIDR：172.21.0.0/16。 服务 IP 地址提供了一种方法，用于公开在单个 IP 后面的多个工作程序节点上部署的多个应用程序 pod。
   • 如果应用程序由专用网络上的 NodePort 服务或专用 Ingress ALB 公开，请添加工作程序节点的专用子网 CIDR。 运行 ibmcloud oc worker <cluster_name>，读取工作站私有 IP 地址的前三个八位位组。 例如，如果检索到的是 10.176.48.xx，请记下 10.176.48。 接下来，运行以下命令获取工人专用子网 CIDR，将 <xxx.yyy.zz> 替换为之前获取的八位位组：ibmcloud sl subnet list | grep <xxx.yyy.zzz>。 注：如果在新的专用子网上添加了工作程序节点，那么必须将新的专用子网 CIDR 添加到 local.subnet 设置和内部部署 VPN 端点。 然后，必须重新启动 VPN 连接。
   • 如果应用程序由专用网络上的 LoadBalancer 服务公开，请添加集群的由用户管理的专用子网 CIDR。 要查找这些值，请运行 ibmcloud oc cluster get --cluster <cluster_name> --show-resources。 在 VLANs 部分中，查找 Public 值为 false 的 CIDR。 注：如果 ipsec.keyexchange 设置为 ikev1，那么只能指定一个子网。 但是，可以使用 localSubnetNAT 设置将多个集群子网组合成单个子网。

2. 可选：使用 localSubnetNAT 设置重新映射集群子网。 子网的网络地址转换 (NAT) 提供了针对集群网络与内部部署远程网络之间子网冲突的变通方法。 可以使用 NAT 将集群的专用本地 IP 子网、pod 子网 (172.30.0.0/16) 或 pod 服务子网 (172.21.0.0/16) 重新映射到其他专用子网。 VPN 隧道看到的是重新映射的 IP 子网，而不是原始子网。 在通过 VPN 隧道发送包之前以及来自 VPN 隧道的包到达之后，会发生重新映射。 可以通过 VPN 来同时公开重新映射和未重新映射的子网。 要启用 NAT，可以添加整个子网，也可以添加单个 IP 地址。

   • 如果以 10.171.42.0/24=10.10.10.0/24 的格式添加整个子网，则 1-to-1: 内部网络子网中的所有 IP 地址都会映射到外部网络子网，反之亦然。
   • 如果是添加单个 IP 地址（格式为 10.171.42.17/32=10.10.10.2/32,10.171.42.29/32=10.10.10.3/32），那么只有这些内部 IP 地址会映射到指定的外部 IP 地址。

3. 2.2.0 及更高版本可选 strongSwan Helm 图表：通过将 enableSingleSourceIP 设置为 true，将所有群集 IP 地址隐藏在单个 IP 地址后面。 此选项为 VPN 连接提供了其中一种最安全的配置，因为不允许远程网络向后连接到集群。

   • 此设置要求不管 VPN 连接是从集群还是从远程网络建立的，通过 VPN 连接传递的所有数据流都必须为出站。
   • 如果将 strongSwan 安装到单专区集群中，那么必须将 local.subnet 设置为唯一 IP 地址作为 /32 子网。 如果将 strongSwan 安装在多专区集群中，那么可以将 local.subnet 设置为 %zoneSubnet 变量，并使用 local.zoneSubnet 为集群的每个专区指定一个 IP 地址作为 /32 子网。

4. 对于 V2.2.0 和更高版本的 strongSwan Helm chart 为可选：通过使用 localNonClusterSubnet 设置，允许 strongSwan 服务将来自远程网络的入局请求路由到存在于集群外部的服务。

   • 非集群服务必须存在于同一专用网络上，或存在于工作程序节点可访问的专用网络上。
   • 非集群工作节点不能通过 VPN 连接向远程网络发起流量，但非集群节点可以成为远程网络传入请求的目标。
   • 必须在 local.subnet 设置中列出非集群子网的 CIDR。

步骤 5：通过 VPN 连接访问远程网络资源

确定哪些远程网络资源必须可由集群通过 VPN 连接进行访问。

1. 将一个或多个内部部署专用子网的 CIDR 添加到 remote.subnet 设置。 注：如果 ipsec.keyexchange 设置为 ikev1，那么只能指定一个子网。
2. 对于 V2.2.0 和更高版本的 strongSwan Helm chart 为可选：使用 remoteSubnetNAT 设置重新映射远程网络子网。 子网的网络地址转换 (NAT) 提供了针对集群网络与内部部署远程网络之间子网冲突的变通方法。 可以使用 NAT 将远程网络的 IP 子网重新映射到其他专用子网。 在通过 VPN 隧道发送包之前，会发生重新映射。 集群中的 pod 看到的是重新映射的 IP 子网，而不是原始子网。 在 pod 通过 VPN 隧道发送数据之前，重新映射的 IP 子网将切换回远程网络正在使用的实际子网。 可以通过 VPN 来同时公开重新映射和未重新映射的子网。

步骤 6（可选）：通过 Slack Webhook 集成启用监视

要监视 strongSwan VPN 的状态，您可以设置 Webhook 以自动向 Slack 通道发布 VPN 连接消息。

1. 登录到 Slack 工作空间。

2. 转到 " Incoming WebHooks "应用程序页面。

3. 单击请求安装。 如果此应用程序未列在 Slack 设置中，请联系 Slack 工作空间所有者。

4. 安装请求得到核准后，请单击添加配置。

5. 选择 Slack 通道或创建新通道来接收 VPN 消息。

6. 复制生成的 Webhook URL。 URL 格式类似于以下内容：

   https://hooks.slack.com/services/A1AA11A1A/AAA1AAA1A/a1aaaaAAAaAaAAAaaaaaAaAA
   

7. 要验证是否已安装 Slack Webhook，请通过运行以下命令向 Webhook URL 发送测试消息：

   curl -X POST -H 'Content-type: application/json' -d '{"text":"VPN test message"}' <webhook_URL>
   

8. 转至选择的 Slack 通道来验证测试消息是否成功。

9. 在 Helm chart 的 config.yaml 文件中，配置 Webhook 以监视 VPN 连接。

   1. 将 monitoring.enable 更改为 true。
   2. 将专用 IP 地址或要确保可通过 VPN 连接访问的远程子网中的 HTTP 端点添加到 monitoring.privateIPs 或 monitoring.httpEndpoints。 例如，可以将 remote.privateIPtoPing 设置中的 IP 添加到 monitoring.privateIPs。
   3. 将 Webhook URL 添加到 monitoring.slackWebhook。
   4. 根据需要更改其他可选 monitoring 设置。

步骤 7：部署 Helm chart

使用您先前选择的配置在集群中部署 strongSwan Helm chart。

1. 如果需要配置更高级的设置，请遵循为 Helm chart 中的每个设置提供的文档。

2. 保存更新的 config.yaml 文件。

3. 使用更新的 config.yaml 文件将 Helm chart 安装到集群。

   如果在单个集群中有多个 VPN 部署，那么可以通过选择比 vpn 描述性更强的发行版名称，以避免命名冲突并区分部署。 为了避免截断发行版名称，请将发行版名称限制为不超过 35 个字符。

   helm install vpn iks-charts/strongswan -f config.yaml
   

4. 检查 chart 部署状态。 当图表准备就绪时，输出附近的 STATUS 字段的值为 DEPLOYED。

   helm status vpn
   

5. 部署图表后，验证是否使用了 config.yaml 文件中更新的设置。

   helm get values vpn
   

仅支持过去 6 个月发布的 strongSwan Helm Chart 版本。 确保持续 升级 strongSwan Helm chart 以获取最新功能和安全修订。

通过名称空间限制 strongSwan VPN 流量

您有单租户或多租户集群时，可以将 VPN 流量限制为仅特定名称空间中的 pod。

例如，假设您希望仅特定名称空间 my-secure-namespace 中的 pod 可通过 VPN 发送和接收数据。 您不希望其他命名空间（如 kube-system、ibm-system 或 default ）中的 pod 访问您的内部网络。 要将 VPN 流量限制为仅 my-secure-namespace，可以创建 Calico 全局网络策略。

使用此解决方案之前，请查看以下注意事项和限制。

• 您无需将 strongSwan Helm 图表部署到指定的命名空间。 strongSwan VPN pod 和路径守护程序集可以部署到 kube-system 或其他任何名称空间中。 如果 strongSwan VPN 未部署到指定的名称空间中，那么 vpn-strongswan-ping-remote-ip-1 Helm 测试会失败。 这是预期故障，可以接受。 测试会通过不位于对远程子网具有直接访问权的名称空间中的 pod，对内部部署 VPN 网关的 remote.privateIPtoPing 专用 IP 地址执行 ping 操作。 但是，VPN pod 仍能够将流量转发到具有到远程子网的路径的名称空间中的 pod，并且流量仍可正常流动。 VPN 状态仍为 ESTABLISHED，并且指定名称空间中的 pod 可以通过 VPN 进行连接。

• 以下步骤中的 Calico 全局网络策略不会阻止使用主机网络的 Kubernetes pod 通过 VPN 发送和接收数据。 pod 配置为使用主机联网，在该 pod 中运行的应用程序可以侦听其所在的工作程序节点的网络接口。 这些主机联网 pod 可以在任何名称空间中存在。 要确定哪些 pod 具有主机联网功能，请运行 oc get pods --all-namespaces -o wide 并查找任何没有 172.30.0.0/16 pod IP 地址的 pod。 如果要阻止主机联网 pod 通过 VPN 发送和接收数据，那么可以在 values.yaml 部署文件中设置以下选项：local.subnet: 172.30.0.0/16 和 enablePodSNAT: false。 这些配置设置可让所有 Kubernetes pod 通过 VPN 连接访问远程网络。 但是，只有位于指定安全名称空间中的 pod 可通过 VPN 进行访问。

准备工作

• 部署 strongSwan Helm chart，并确保 VPN 连接正常工作。
• 安装和配置 Calico CLI。

将 VPN 流量限制在特定命名空间内、

1. 创建名为 allow-non-vpn-outbound.yaml 的 Calico 全局网络策略。 此策略允许所有名称空间继续将出站流量发送到所有目标，但 strongSwan VPN 访问的远程子网除外。 将 <remote.subnet> 替换为在 Helm values.yaml 配置文件中指定的 remote.subnet。 要指定多个远程子网，请参阅 Calico 文档。

   apiVersion: projectcalico.org/v3
   kind: GlobalNetworkPolicy
   metadata:
     name: allow-non-vpn-outbound
   spec:
     selector: has(projectcalico.org/namespace)
     egress:
     - action: Allow
       destination:
         notNets:
         - <remote.subnet>
     order: 900
     types:
     - Egress
   

2. 应用该策略。

   calicoctl apply -f allow-non-vpn-outbound.yaml --config=filepath/calicoctl.cfg
   

3. 创建另一个名为 allow-vpn-from-namespace.yaml 的 Calico 全局网络策略。 此策略仅允许指定名称空间将出站流量发送到 strongSwan VPN访问的远程子网。 将 <namespace> 替换为可访问 VPN 的命名空间，将 <remote.subnet> 替换为在 Helm values.yaml 配置文件中指定的 remote.subnet。 要指定多个命名空间或远程子网，请参阅 Calico 文档。

   apiVersion: projectcalico.org/v3
   kind: GlobalNetworkPolicy
   metadata:
     name: allow-vpn-from-namespace
   spec:
     selector: projectcalico.org/namespace == "<namespace>"
     egress:
     - action: Allow
       destination:
         nets:
         - <remote.subnet>
   order: 900
   types:
     - Egress
   

4. 应用该策略。

   calicoctl apply -f allow-vpn-from-namespace.yaml --config=filepath/calicoctl.cfg
   

5. 验证是否在集群中创建了全局网络策略。

   calicoctl get GlobalNetworkPolicy -o wide --config=filepath/calicoctl.cfg
   

通过工作程序节点限制 strongSwan VPN 流量

在多租户集群中具有多个 strongSwan VPN 部署时，可以将每个部署的 VPN 流量限制为专用于每个租户的特定工作程序节点。

部署 strongSwan Helm chart 时，会创建 strongSwan VPN 部署。 strongSwan VPN pod 会部署到任何无污点工作程序节点。 此外，还会创建 Kubernetes 守护程序集。 此守护程序集会将集群中所有无污点工作程序节点上的路径自动配置为连接到每个远程子网。 在内部部署网络中，strongSwan VPN pod 使用工作程序节点上的路径将请求转发到远程子网。

除非在 tolerations 文件的 value.yaml 设置中指定了污点，否则不会在有污点的节点上配置路径。 通过污染工作程序节点，可以防止在这些工作程序上配置任何 VPN 路径。 然后，可以仅针对确实希望在有污点工作程序上允许的 VPN 部署，在 tolerations 设置中指定污点。 这样，用于一个租户的 Helm chart 部署的 strongSwan VPN 将仅使用该租户的工作程序节点上的路径来通过 VPN 连接将流量转发到远程子网。

使用此解决方案之前，请查看以下注意事项和限制。

• 缺省情况下，Kubernetes 会将应用程序 pod 置于可用的任何无污点工作程序节点上。 要确保此解决方案正常工作，每个租户必须首先确保仅将其应用程序 pod 部署到正确租户的有污点工作程序。 此外，每个有污点工作程序节点还必须具有容忍度，以允许将应用程序 pod 放置在该节点上。 有关污点和容忍度的更多信息，请参阅 Kubernetes 文档。
• 由于任一租户均无法将应用程序 pod 置于共享的无污点节点上，因此集群资源可能未以最佳方式进行利用。

以下用于通过工作程序节点限制 strongSwan VPN 流量的步骤使用此示例方案：假设您有一个多租户 Red Hat OpenShift on IBM Cloud 集群，该集群有六个工作程序节点。 集群支持租户 A 和租户 B。 您可以通过以下方式感染工作程序节点。

• 污染了两个工作程序节点，以便仅将租户 A pod 安排在这两个工作程序上。
• 污染了两个工作程序节点，以便仅将租户 B pod 安排在这两个工作程序上。
• 有两个工作程序节点未污染，因为至少需要 2 个工作程序节点来运行 strongSwan VPN pod 和负载均衡器 IP。

限制 VPN 流量到每个租户的污点节点。

1. 在此示例中，要限制 VPN 流量只能用于租户 A 的工人，可在租户 A 的 values.yaml 文件中指定以下 toleration strongSwan Helm 图表。

   tolerations:
       - key: dedicated
   operator: "Equal"
   value: "tenantA"
   effect: "NoSchedule"
   

   这种容忍度允许路由守护进程集在两个有 dedicated="tenantA" 污点的工作节点和两个未受污染的工作节点上运行。 此部署的 strongSwan VPN 会在两个无污点工作程序节点上运行。

2. 在此示例中，要限制 VPN 流量仅用于租户 B 的工人，可在 values.yaml 文件中为租户 B 指定以下 toleration strongSwan Helm 图表。

   tolerations:
       - key: dedicated
   operator: "Equal"
   value: "tenantB"
   effect: "NoSchedule"
   

   这种容忍度允许路由守护进程集在两个有 dedicated="tenantB" 污点的工作节点和两个未受污染的工作节点上运行。 此部署的 strongSwan VPN 同样会在两个无污点工作程序节点上运行。