Im正在尝试使用oc edit daemonset.apps/node-exporter -n openshift-monitoring为openshift-monitoring命名空间的daemonset.apps/node-exporter更新tls-cipher-suites
.
.
.
- args:
- --secure-listen-address=:9100
- --upstream=http://127.0.0.1:9101/
- --tls-cert-file=/etc/tls/private/tls.crt
- --tls-private-key-file=/etc/tls/private/tls.key
- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
image: quay.io/coreos/kube-rbac-proxy:v0.3.1
imagePullPolicy: IfNotPresent
name: kube-rbac-proxy
ports:
.
.
.
tls-cipher-suites更新后,我看到节点导出器pod正在重新部署。但当我使用oc get -o yaml daemonset.apps/node-exporter -n openshift-monitoring检查daemonset.apps/node-exporter时,我发现对tls-cipher-suites所做的更新丢失了,并且它被重新设置为旧值。如何永久设置此值?
注意:更新tls-cipher-suites的目的是Nessus扫描报告了中等强度密码ECDHE-RSA-DES-CBC3-SHA和DES-CBC3-SHA的端口9100的SWEET32漏洞。
Openshift 3.11似乎确实在使用Openshift_cluster_monitoring_operator。这就是为什么当你删除或更改任何内容时,它会将其恢复为默认值。
它管理节点导出器的安装,并且似乎不允许自定义节点导出器安装。查看集群监控操作员文档
我的建议是卸载openshift监控操作员,并从官方节点导出器存储库或使用helm chart自行安装节点导出器,在那里您实际上可以完全控制部署。