无法更新 openshift 3.11 中节点导出器的 tls-cipher-suites
Unable to update the tls-cipher-suites for node exporter in openshift 3.11
我正在尝试使用 oc edit daemonset.apps/node-exporter -n openshift-monitoring
为 openshift-monitoring 命名空间的 daemonset.apps/node-exporter 更新 tls-cipher-suites
.
.
.
- args:
- --secure-listen-address=:9100
- --upstream=http://127.0.0.1:9101/
- --tls-cert-file=/etc/tls/private/tls.crt
- --tls-private-key-file=/etc/tls/private/tls.key
- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
image: quay.io/coreos/kube-rbac-proxy:v0.3.1
imagePullPolicy: IfNotPresent
name: kube-rbac-proxy
ports:
.
.
.
更新 tls-cipher-suites 后,我看到节点导出器 pods 正在重新部署。但是,当我使用 oc get -o yaml daemonset.apps/node-exporter -n openshift-monitoring 检查 daemonset.apps/node-exporter 时,我发现对 tls-cipher-suites 所做的更新丢失了,并且它已重新设置为旧值。
我怎样才能永久设置这个值?
注意:更新 tls-cipher-suites 的目的是 Nessus 扫描已报告 SWEET32 端口 9100 中等强度密码的漏洞:ECDHE-RSA-DES-CBC3-SHA 和 DES-CBC3-上海
Openshift 3.11 似乎确实在使用 openshift_cluster_monitoring_operator。这就是为什么当您删除或更改任何内容时它会将其恢复为默认值。
它管理 node-exporter 安装,但似乎不允许自定义 node-exporter 安装。看看the cluster-monitoring-operator docs
我的建议是 uninstall openshift monitoring operator and install node-exporter yourself from official node-exporter repository or with helm chart 您实际上可以完全控制部署的地方。
我正在尝试使用 oc edit daemonset.apps/node-exporter -n openshift-monitoring
openshift-monitoring 命名空间的 daemonset.apps/node-exporter 更新 tls-cipher-suites
.
.
.
- args:
- --secure-listen-address=:9100
- --upstream=http://127.0.0.1:9101/
- --tls-cert-file=/etc/tls/private/tls.crt
- --tls-private-key-file=/etc/tls/private/tls.key
- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
image: quay.io/coreos/kube-rbac-proxy:v0.3.1
imagePullPolicy: IfNotPresent
name: kube-rbac-proxy
ports:
.
.
.
更新 tls-cipher-suites 后,我看到节点导出器 pods 正在重新部署。但是,当我使用 oc get -o yaml daemonset.apps/node-exporter -n openshift-monitoring 检查 daemonset.apps/node-exporter 时,我发现对 tls-cipher-suites 所做的更新丢失了,并且它已重新设置为旧值。
我怎样才能永久设置这个值?
注意:更新 tls-cipher-suites 的目的是 Nessus 扫描已报告 SWEET32 端口 9100 中等强度密码的漏洞:ECDHE-RSA-DES-CBC3-SHA 和 DES-CBC3-上海
Openshift 3.11 似乎确实在使用 openshift_cluster_monitoring_operator。这就是为什么当您删除或更改任何内容时它会将其恢复为默认值。
它管理 node-exporter 安装,但似乎不允许自定义 node-exporter 安装。看看the cluster-monitoring-operator docs
我的建议是 uninstall openshift monitoring operator and install node-exporter yourself from official node-exporter repository or with helm chart 您实际上可以完全控制部署的地方。