Построение IPsec между vCloudDirector и Containerum Kubernetes
Для построения IPsec необходимо обратиться в техподдержку — она поможет настроить связанность между кластером K8s и вашим виртуальным дата-центром. Для этого понадобятся данные, перечисленные ниже.
Примечание
При планировании сетевой архитектуры обратите на возможное пересечение адресации подов и сервисов с внешней (относительно кластера) инфраструктурой.
По умолчанию кластеры создаются со следующими сетевыми настройками:
192.168.0.0/16- подсеть для подов10.96.0.0/16- подсеть для сервисов в кластере
Изменить вы их можете при создании кластера в блоке Дополнительные настройки сети. Подробнее...
Сбор данных и отправка их в техподдержку
Для того, чтобы помочь настроить IPsec, техподдержке потребуется от вас следующая информация:
Из Containerum:
- Идентификатор кластера K8s
- IP адрес, куда будет поступать трафик
Из vCloudDirector:
- Подсеть, из которой нужен доступ (Networking > Networks > Gateway CIDR).
- IP адрес (Networking > Edge Gateways (относящийся к подсети из пункта 1) > Gateway Interfaces > Primary IP).
Получение параметров для настройки
После того как вы отправите данные, техподдержка пришлет информацию для настройки IPsec на стороне vCloudDirector, а именно:
- Peer Id
- Peer Endpoint
- Peer Subnets
- Pre-Shared Key
Настройте IPsec на стороне vCloudDirector
Используйте полученные от техподдержки данные для настройки IPsec на стороне vCloudDirector. Для этого используйте данную инструкцию, указав следующие параметры:
| Поле | Значение |
|---|---|
| Local Id | {Primary IP} адрес |
| Local Endpoint | {Primary IP} адрес |
| Local Subnets | {Gateway CIDR} xxx.xxx.xxx.0/24 |
| Peer Id | {...} (присланный поддержкой адрес) |
| Peer Endpoint | {...} (присланный поддержкой адрес) |
| Peer Subnets | {...} (присланный поддержкой адрес) |
| Encryption Algorithm | AES256 |
| Authentication | PSK |
| Pre-Shared Key | {...} (присланный поддержкой адрес) |
| Diffie-Hellman Group | DH14 |
| Digest Algorithm | SHA-256 |
| IKE Option | IKEv2 |
| Session Type | Policy based session |
По завершении данной настройки поднимется туннель между инсталляциями.