我正在尝试tls-cipher-suites
使用daemonset.apps/node-exporter
openshift-monitoring
oc edit daemonset.apps/node-exporter -n openshift-monitoring
.
.
.
- args:
- --secure-listen-address=:9100
- --upstream=http://127.0.0.1:9101/
- --tls-cert-file=/etc/tls/private/tls.crt
- --tls-private-key-file=/etc/tls/private/tls.key
- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
image: quay.io/coreos/kube-rbac-proxy:v0.3.1
imagePullPolicy: IfNotPresent
name: kube-rbac-proxy
ports:
.
.
.
更新后tls-cipher-suites
,我看到 node-exporter pod 正在重新部署。但是当我检查daemonset.apps/node-exporter
使用时,oc get -o yaml daemonset.apps/node-exporter -n openshift-monitoring
我发现完成的更新tls-cipher-suites
丢失并且它已重新设置为旧值。如何永久设置此值?
注意:更新的目的tls-cipher-suites
是 Nessus 扫描报告SWEET32
了针对中等强度密码的端口 9100 的漏洞:ECDHE-RSA-DES-CBC3-SHA 和 DES-CBC3-SHA。