我试着去更新tls-cipher-suites了对daemonset.apps/node-exporter的openshift-monitoring命名空间使用oc edit daemonset.apps/node-exporter -n openshift-monitoring
.
.
.
- args:
- --secure-listen-address=:9100
- --upstream=http://127.0.0.1:9101/
- --tls-cert-file=/etc/tls/private/tls.crt
- --tls-private-key-file=/etc/tls/private/tls.key
- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
image: quay.io/coreos/kube-rbac-proxy:v0.3.1
imagePullPolicy: IfNotPresent
name: kube-rbac-proxy
ports:
.
.
.
一旦tls-cipher-suites更新,我看到节点导出器窗格将被重新部署。但是,当我检查daemonset.apps/node-exporter使用情况时,oc get -o yaml daemonset.apps/node-exporter -n openshift-monitoring我发现所做的更新tls-cipher-suites丢失了,并且已重新设置为旧值。如何永久设置此值?
注意:更新的目的tls-cipher-suites是Nessus扫描报告SWEET32了端口9100的中等强度密码的漏洞:ECDHE-RSA-DES-CBC3-SHA和DES-CBC3-SHA。
Openshift 3.11似乎确实在使用openshift_cluster_monitoring_operator。这就是为什么当您删除或更改任何内容时,它将恢复为默认值的原因。
它管理节点导出器的安装,并且似乎不允许自定义节点导出器的安装。看一下cluster-monitoring-operator文档
我的建议是从官方的node-exporter存储库中卸载openopen监控操作程序,并自己安装node-exporter,或者使用helm chart在其中实际上完全控制部署。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句