Kubernetes ELB 服务:如何禁用 TLS 1.0 和 1.1?
Kubernetes ELB service: How to disable TLS 1.0 and 1.1?
我是 AWS 上的 运行 Kubernetes,并使用 Service 和 type: LoadBalancer 公开服务,它提供了一个 ELB。有什么方法可以通过此服务的注释来控制 ELB 密码配置?我需要禁用 TLS 1.0 和 1.1。
我知道我可以手动执行此操作,但我希望 Kubernetes 为我执行此操作,否则我将不得不记得在下次提供新的 ELB 时再次执行此操作(Kubernetes 升级、配置更改等)。
编辑负载均衡器上 HTTPS 侦听器的安全策略。
如果我没理解错的话,您想直接从 Service.yml 文件调整安全策略。
据我所知,here 您可以找到目前支持的所有注释的列表。
有一个叫做"aws-load-balancer-ssl-negotiation-policy"。对我来说,它看起来和你要找的一模一样。
// ServiceAnnotationLoadBalancerSSLNegotiationPolicy is the annotation used on
// the service to specify a SSL negotiation settings for the HTTPS/SSL listeners
// of your load balancer. Defaults to AWS's default
const ServiceAnnotationLoadBalancerSSLNegotiationPolicy = "service.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy"
该文件的 link 列在 official documentation on K8s 下。
此外,还有一个预定义策略 ELBSecurityPolicy-TLS-1-2-2017-01 仅使用 TLS v1.2(禁用了 1.0 和 1.1)。
希望对您有所帮助。
您可以使用例如这样的注释:
alb.ingress.kubernetes.io/ssl-policy: ELBSecurityPolicy-TLS-1-1-2017-01
我是 AWS 上的 运行 Kubernetes,并使用 Service 和 type: LoadBalancer 公开服务,它提供了一个 ELB。有什么方法可以通过此服务的注释来控制 ELB 密码配置?我需要禁用 TLS 1.0 和 1.1。
我知道我可以手动执行此操作,但我希望 Kubernetes 为我执行此操作,否则我将不得不记得在下次提供新的 ELB 时再次执行此操作(Kubernetes 升级、配置更改等)。
编辑负载均衡器上 HTTPS 侦听器的安全策略。
如果我没理解错的话,您想直接从 Service.yml 文件调整安全策略。
据我所知,here 您可以找到目前支持的所有注释的列表。
有一个叫做"aws-load-balancer-ssl-negotiation-policy"。对我来说,它看起来和你要找的一模一样。
// ServiceAnnotationLoadBalancerSSLNegotiationPolicy is the annotation used on
// the service to specify a SSL negotiation settings for the HTTPS/SSL listeners
// of your load balancer. Defaults to AWS's default
const ServiceAnnotationLoadBalancerSSLNegotiationPolicy = "service.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy"
该文件的 link 列在 official documentation on K8s 下。
此外,还有一个预定义策略 ELBSecurityPolicy-TLS-1-2-2017-01 仅使用 TLS v1.2(禁用了 1.0 和 1.1)。
希望对您有所帮助。
您可以使用例如这样的注释:
alb.ingress.kubernetes.io/ssl-policy: ELBSecurityPolicy-TLS-1-1-2017-01