漏洞/安全功能概述 该页面主要介绍 Antrea 项目中的 流量加密(Traffic Encryption) 功能,而非特定的安全漏洞修复。该功能允许在 Linux 节点之间使用 IPsec ESP 或 WireGuard 对流量进行加密,以增强网络通信的安全性。 影响范围 操作系统支持:仅支持 Linux Nodes,Windows Nodes 暂不支持流量加密。 IPsec 限制: - 支持 OVS 支持的隧道类型(Geneve, GRE, VXLAN, STT)。 - 不支持 IPv6 集群(IPv6-only 或 dual-stack),此类集群需选择其他隧道类型(如 Geneve 或 VXLAN)。 WireGuard 限制: - 仅加密 Pod 之间的流量。 - 当启用 参数时,仅影响其他流量类型(如 Egress)。 Egress 流量限制:流量加密不适用于 Egress 流量(即源节点到出口节点之间的流量),该跳段的流量是未加密的。 修复/实施方案 (配置指南) 1. IPsec 加密配置 先决条件:需加载特定的 Linux 内核模块(参考 strongSwan 文档)。 - Ubuntu 18.04 内核版本需至少 。 - Ubuntu 20.04 内核版本需至少 。 配置步骤: 1. 创建 Kubernetes Secret ( ) 存储 PSK (预共享密钥)。 2. 修改 Antrea IPsec deployment yaml 中的 字段。 3. 默认使用 GRE 隧道,若集群支持 IPv6 需更改隧道类型。 相关代码块 (Secret 配置示例): 2. WireGuard 加密配置 先决条件:内核需包含 模块(Linux 5.6+ 或自行编译)。 配置步骤: 1. 下载 Antrea deployment yaml。 2. 在 中设置 。 相关代码块 (ConfigMap 配置示例):