Slide 20
Slide 20 text
| © 2023 Cloud Ace, Inc
Cilium の特徴 - IPSecによる透過的暗号化
● IPSec によって Pod 間の通信
を透過的に暗号化。
● 異なるノードへの通信時には
暗号化されない。
● PSK(Pre-Shared Key) は
Secret として作成しておく必要
あり。
Node
Pod
Node
Pod
Cilium Cilium
🔑 🔑
PSK PSK
暗号化
平文 平文
復号化
root@master-cilium-sec:/home/cilium# tcpdump -l -n -i cilium_vxlan esp
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on cilium_vxlan, link-type EN10MB (Ethernet), snapshot length 262144 bytes
15:53:15.792945 IP 10.0.2.174 > 10.0.0.84: ESP(spi=0x00000003,seq=0x95), length 88
15:53:15.793154 IP 10.0.0.84 > 10.0.2.174: ESP(spi=0x00000003,seq=0x93), length 88
ESP: Encapsulated Security Payload
ペイロード部の暗号化を行う IPSec のプロトコル
※今回割愛しますが、 WireGuard による透過的暗号化にも対応しています。