无法更新 openshift 3.11 中节点导出器的 tls-cipher-suites

Unable to update the tls-cipher-suites for node exporter in openshift 3.11

我正在尝试使用 oc edit daemonset.apps/node-exporter -n openshift-monitoring

openshift-monitoring 命名空间的 daemonset.apps/node-exporter 更新 tls-cipher-suites
.
.
.
      - args:
        - --secure-listen-address=:9100
        - --upstream=http://127.0.0.1:9101/
        - --tls-cert-file=/etc/tls/private/tls.crt
        - --tls-private-key-file=/etc/tls/private/tls.key
        - --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
        image: quay.io/coreos/kube-rbac-proxy:v0.3.1
        imagePullPolicy: IfNotPresent
        name: kube-rbac-proxy
        ports:
.
.
.

更新 tls-cipher-suites 后,我看到节点导出器 pods 正在重新部署。但是,当我使用 oc get -o yaml daemonset.apps/node-exporter -n openshift-monitoring 检查 daemonset.apps/node-exporter 时,我发现对 tls-cipher-suites 所做的更新丢失了,并且它已重新设置为旧值。 我怎样才能永久设置这个值?

注意:更新 tls-cipher-suites 的目的是 Nessus 扫描已报告 SWEET32 端口 9100 中等强度密码的漏洞:ECDHE-RSA-DES-CBC3-SHA 和 DES-CBC3-上海

Openshift 3.11 似乎确实在使用 openshift_cluster_monitoring_operator。这就是为什么当您删除或更改任何内容时它会将其恢复为默认值。

它管理 node-exporter 安装,但似乎不允许自定义 node-exporter 安装。看看the cluster-monitoring-operator docs

我的建议是 uninstall openshift monitoring operator and install node-exporter yourself from official node-exporter repository or with helm chart 您实际上可以完全控制部署的地方。