2

我正在尝试tls-cipher-suites使用daemonset.apps/node-exporteropenshift-monitoringoc edit daemonset.apps/node-exporter -n openshift-monitoring

.
.
.
      - args:
        - --secure-listen-address=:9100
        - --upstream=http://127.0.0.1:9101/
        - --tls-cert-file=/etc/tls/private/tls.crt
        - --tls-private-key-file=/etc/tls/private/tls.key
        - --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
        image: quay.io/coreos/kube-rbac-proxy:v0.3.1
        imagePullPolicy: IfNotPresent
        name: kube-rbac-proxy
        ports:
.
.
.

更新后tls-cipher-suites,我看到 node-exporter pod 正在重新部署。但是当我检查daemonset.apps/node-exporter使用时,oc get -o yaml daemonset.apps/node-exporter -n openshift-monitoring我发现完成的更新tls-cipher-suites丢失并且它已重新设置为旧值。如何永久设置此值?

注意:更新的目的tls-cipher-suites是 Nessus 扫描报告SWEET32了针对中等强度密码的端口 9100 的漏洞:ECDHE-RSA-DES-CBC3-SHA 和 DES-CBC3-SHA。

4

1 回答 1

1

Openshift 3.11 似乎确实在使用openshift_cluster_monitoring_operator。这就是为什么当您删除或更改任何内容时,它会将其恢复为默认值。

它管理 node-exporter 安装,并且似乎不允许自定义 node-exporter 安装。查看cluster-monitoring-operator 文档

我的建议是卸载 openshift 监控操作员并自己从官方 node-exporter 存储库或使用helm chart安装 node-exporter ,您实际上可以完全控制部署。

于 2020-10-01T12:45:17.427 回答