OVN IPsec指南

最新推荐文章于 2022-11-12 00:00:00 发布
原创 最新推荐文章于 2022-11-12 00:00:00 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#OVN #IPSec

本文档提供了在OpenVirtualNetwork(OVN)中使用IPSec加密隧道流量的步骤指南。详细介绍了如何生成证书和密钥,配置及使能OVNIPSec,以及故障排查方法。适用于希望保护OVN隧道流量免受监控和操纵的系统管理员。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文档提供了一个步骤指南,描述在Open Virtual Network (OVN)中使用IPSec加密隧道流量。OVN隧道流量由物理路由器和交换机传输。这些物理设备可能不受信任(公共网络中的设备)或可能受到危害。为隧道流量启用IPSec加密可以阻止流量数据被监控和操纵。有关OVN IPsec设计的更多详细信息,请参见ovn-architecture(7)手册页。

本文档假设OVN安装在你的系统中并且运行正常。并且,你需要在每个机框中安装OVS IPsec软件包(请参阅:install-ovs-ipsec)。

生成证书和密钥

在创建IPSec隧道时,OVN机框使用CA签名证书对对等机框进行身份验证。如果在OVN中启用了基于角色的访问控制(RBAC),你可以使用RBAC SSL的证书和密钥来设置OVN IPsec。或者你可以使用ovs-pki生成单独的证书和密钥(请参阅:gen certs keys)。

注意:

OVN IPsec需要x.509 version 3格式的证书,并且subjectAltname DNS字段设置与公用名(CN)字段要使用相同的字符串。CN应设置为机框名称。Open vSwitch 2.10.90或之后版本中的ovs-pki可生成此类证书。如果你使用其它的PKI工具或旧版本的ovs-pki,确保生成兼容的证书。

配置OVN IPSec

你需要在每个机框中安装CA证书、机框证书和私钥。使用以下命令:

$ ovs-vsctl set Open_vSwitch . \
        other_config:certificate=/path/to/chassis-cert.pem \
        other_config:private_key=/path/to/chassis-privkey.pem \
        other_config:ca_cert=/path/to/cacert.pem

使能 OVN IPsec

要使能OVN IPSec,设置北向数据库中的NB_Global表的ipsec列为true:

$ ovn-nbctl set nb_global . ipsec=true

OVN IPSec使能以后,OVN中的所有隧道流量都将使用IPSec加密。禁用的话,设置北向数据库中的NB_Global表的ipsec列为false:

$ ovn-nbctl set nb_global . ipsec=false

排错

每个机框上的守护进程ovs-monitor-ipsec管理和监控IPSec隧道的状态。使用以下的ovs-appctl命令,查看ovs-monitor-ipsec进程内部展示的隧道配置:

$ ovs-appctl -t ovs-monitor-ipsec tunnels/show

如果有配置不当,ovs-appctl应显示原因,例如:

   Interface name: ovn-host_2-0 v1 (CONFIGURED) <--- 应设置为 CONFIGURED. 否则, 将显示错误信息
   Tunnel Type:    geneve
   Remote IP:      2.2.2.2
   SKB mark:       None
   Local cert:     /path/to/chassis-cert.pem
   Local name:     host_1
   Local key:      /path/to/chassis-privkey.pem
   Remote cert:    None
   Remote name:    host_2
   CA cert:        /path/to/cacert.pem
   PSK:            None
   Ofport:         2          <--- ovs-vswitchd进程是否分配了Ofport数字到此Tunnel Port
   CFM state:      Disabled     <--- CFM表明此隧道是否健康
   Kernel policies installed:
   ...                          <--- Strongswan安装到Linux Kernel中的OVS隧道使用的IPsec策略
   Kernel security associations installed:
   ...                          <--- Strongswan安装到Linux Kernel中的OVS隧道相关的IPsec安全关联security associations
   IPsec connections that are active:
   ...                          <--- IPsec "connections" for this OVS tunnel

如果以上显示中没有任何活动的connection,尝试一下的命令刷新ovs-monitor-ipsec进程:

$ ovs-appctl -t ovs-monitor-ipsec refresh

你也可检查ovs-monitor-ipsec进程和IKE进程的日志信息,以发现问题。ovs-monitor-ipsec的日志信息写入文件/var/log/openvswitch/ovs-monitor-ipsec.log.

ovn-controller源码分析
fengcai_ke的博客
07-10 1529
ovn-controller源码分析
ovn 配置逻辑路由器实现三层转发
fengcai_ke的博客
07-09 1784
ovn 逻辑路由器 三层转发
ovn-nbctl手册.pdf
03-22
针对ovn v2.12.0版本,根据man ovn-nbctl整理的ovn-nbctl中文使用手册,详细介绍了各命令的使用方法及限制条件。
OVS IPsec 指南
redwingz的博客
07-12 2152
本文档提供了在Open vSwitch下运行IPsec隧道的步骤指南。更详细的关于OVS IPsec隧道及其配置模式的信息可在OVS官方工程的文件:/howto/ipsec中找到。 要求 Requirements OVS IPsec隧道要求Linux内核(>= v3.10.0)和 非内核基础的OVS模块。合适的IKE守护进程为 LibreSwan (>= v3.23) 和 Strong...
ovs命令行手册
11-19
ovs的命令行手册详细说明,内容很全,解释很详细,推荐。
基于OpenDaylight和OVSDB搭建ipsec_gre 隧道
枝叶淡的博客
04-10 1629
基于OpenDaylight子项目OVSDB中的southbound组件来搭建ipsec_gre隧道的建立,包括初始环境搭建和southbound RestConf API调用等。
Kube-OVN 0.6.0 发布,支持 IPv6、流量镜像及更多功能
alauda_andy的博客
07-24 283
Kube-OVN 是一个基于 OVN 的 Kubernetes 开源网络系统。 本次更新主要包含了以下内容: 1. 支持流量镜像 在安装 Kube-OVN 时可以开启 mirror 选项,会自动在每个节点创建 mirror0 网卡,该网卡复制了该节点上所有的容器网络流量。可以通过监控 mirror0 网卡来获取该节点所有容器网络流量信息,便于之后审计,流量回放等功能实现。 2. IP...
kube-ovn项目详细介绍,物超所值
最新发布
11-07
Kube-OVN 项目详细介绍,物超所值 Kube-OVN 是一个 CNCF 沙盒项目,将 SDN 连接到 Cloud Native。它为企业提供了一种功能最多、性能最高、操作最简单的先进容器网络结构。 丰富的功能 Kube-OVN 为云原生空间带来...
homelab-ovn:使用OVN替换第3层交换机
02-04
homelab-ovn:使用OVN替换第3层交换机
探索Go语言编写的OVN模型实验指南
资源摘要信息:"ovnmodel:试验本机OVN模型" 在当今的云原生计算环境中,网络虚拟化扮演着至关重要的角色。Open Virtual Network (OVN) 是一个较新的开源项目,它为虚拟化网络提供了支持。它允许数据中心构建和管理...
ovn-fun:OVN的乐趣
03-26
OVN乐趣 使用情况(CentOS 8) 安装podman sudo dnf install --refresh podman -y 加载openvswitch内核模块 sudo modprobe openvswitch 以特权身份运行容器 sudo podman run -it --rm --privileged quay.io/dcbw...
Open vSwitch(简称ovs)是什么?
weixin_60043341的博客
08-10 1627
Open vSwitch设计目标是替换传统的LINUX桥,是一款开源的产品,ovs支持通过标准的网络协议和物理交换机通讯,使网络管理员能够看到宿主机内部的网络情况,并可以控制管理宿主机内部的虚拟化网络,将虚拟机的网络管理权限从系统工程师交到了网络工程师手中,ovs支持标准的管理接口和协议(如NetFlow, sFlow, SPAN, RSPAN, CLI, LACP, 802.1ag)。16 支持转发层抽象以容易的定向到新的软件或者硬件平台;8 支持每虚拟机网卡的流量的流量控制策略;...
SDN控制器之OVN实验五:配置OVN网络安全功能(ACL)
筋斗云计算
07-19 3278
本文通过使用OVN访问控制列表(ACL)来实现基本的网络安全功能。 OVN访问控制列表和地址集介绍 OVN中的ACL规则存储于北向数据库的ACL表中,并且可以使用ovn-nbctl的acl命令进行配置。目前,ACL只能应用于逻辑交换机,但是未来将支持应用到逻辑路由器。 在出站和入站方向都支持使用ACL: 入站:从工作负载(t
OVN学习(二)
dcldz5007的博客
10-14 394
部署OVN实验环境 同OVN学习(一) L3网络 创建逻辑交换机和路由 ### Central节点 ### 创建逻辑交换机和路由器 # ovn-nbctl ls-add inside # ovn-nbctl ls-add dmz # ovn-nbctl lr-add tenant1 创建路由端口 ### Central节点 ### 创建路由器端口用于连接dmz交换机 # ovn-nbc...
ipsec主模式加密身份信息有什么意义?
lingshengxiyou的博客
11-12 392
作者:红莲弓矢链接:https://www.zhihu.com/question/48994349/answer/2454109468来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
open vswitch研究:ovs的安装和使用
热门推荐
majieyue的专栏
08-28 4万+
通过 git clone git://openvswitch.org/openvswitch 下载ovs代码到本地,运行boot.sh,如果遇到提示autoconf版本过低,可以去找最新的autoconf m4等rpm包安装或者通过yum update更新,也可以去下一个较新的包自己装下,e.g. http://ftp.gnu.org/gnu/autoconf/autoconf-2.69.
ovs virtio vhost通信流程
kklvsports的专栏
06-18 5193
转自:点击打开链接 版本说明 qemu version:2.6.0 kernel version:3.10.102 简而言之 vhost模块需要提前加载,注册一个misc的设备,供虚拟机启动时候使用。虚拟机创建的时候,会初始化一个tap设备,然后启动一个vhost_$(qemu-kvm_pid)的线程,配置vring等承载数据的队列。guest和hos
OVS
weixin_30276935的博客
07-17 1万+
  docker的网络中OVS是一个重要概念,使用软件实现了交换机功能。再加上vxlan(overlay)隧道技术,实现了跨主机通信。 OVS是一个虚拟交换机,利用软件的方式实现交换功能,所以也叫软件交换机,跟传统的物理交换机相比,虚拟交换机同要具备很多有点:1.配置灵活,因为是软件实现的,一台物理服务器上可以配置数十太或者数百台虚拟交换机,而且端口数目可以灵活选择 2....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值