gpt4 book ai didi

kubernetes - 无法在 openshift 3.11 中更新节点导出器的 tls-cipher-suites

转载 作者:行者123 更新时间:2023-12-02 11:41:56 34 4
gpt4 key购买 nike

我正在尝试更新 tls-cipher-suites对于daemonset.apps/node-exporteropenshift-monitoring命名空间使用 oc edit daemonset.apps/node-exporter -n openshift-monitoring

.
.
.
- args:
- --secure-listen-address=:9100
- --upstream=http://127.0.0.1:9101/
- --tls-cert-file=/etc/tls/private/tls.crt
- --tls-private-key-file=/etc/tls/private/tls.key
- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
image: quay.io/coreos/kube-rbac-proxy:v0.3.1
imagePullPolicy: IfNotPresent
name: kube-rbac-proxy
ports:
.
.
.
一旦 tls-cipher-suites已更新,我看到 node-exporter pod 正在重新部署。但是当我检查 daemonset.apps/node-exporter使用 oc get -o yaml daemonset.apps/node-exporter -n openshift-monitoring我看到对 tls-cipher-suites 的更新已完成丢失并且已重新设置为旧值。
如何永久设置此值?
注:更新目的 tls-cipher-suites是 Nessus 扫描报告 SWEET32中等强度密码的端口 9100 的漏洞:ECDHE-RSA-DES-CBC3-SHA 和 DES-CBC3-SHA。

最佳答案

Openshift 3.11 似乎确实在使用 openshift_cluster_monitoring_operator .这就是为什么当您删除或更改任何内容时,它会将其恢复为默认值。
它管理 node-exporter 安装,并且似乎不允许自定义 node-exporter 安装。看看the cluster-monitoring-operator docs
我的建议是 uninstall openshift monitoring operator并自己从 official node-exporter repository 安装 node-exporter或与 helm chart您实际上可以完全控制部署。

关于kubernetes - 无法在 openshift 3.11 中更新节点导出器的 tls-cipher-suites,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64148357/

34 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com