我们有一个应用程序和API,运行在Azure上的kubernetes上,使用nginx-ingress和证书管理器自动创建letsencrypt证书。与应用程序/API的连接使用TLS1.3进行加密。
从一个运行在Win 2012服务器上的旧应用程序中,我们希望从API(在k8s上(检索数据。这并不成功,因为该服务器不支持TLS1.3。
我想在kubernetes上将TLS的最低版本设置为1.2。我怎样才能做到这一点?
我读过,使用kubelet,可以配置tls-min版本,但我不知道如何应用它。
注意:我们使用az aks create来创建k8s集群。
当您的win服务器连接到K8s上的应用程序时,您必须在Nginx入口级别上设置TLS的版本。
Nginx入口&cert-manager是服务器连接和访问API的点,所以您只需要更新Nginx的TLS版本。
您可以通过更改Nginx入口控制器的配置映射来完成此操作。此外,您可能还需要更新证书,默认情况下可能会有机会让我们加密(CA(提供默认的TLS 1.3。
因此,在为Nginx启用TLS 1.2后,您可能需要重新生成证书管理器密钥(证书(。
Configmap Nginx入口控制器
kind: ConfigMap
apiVersion: v1
metadata:
name: nginx-config
namespace: ingress-nginx
data:
ssl-ciphers: "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384"
ssl-protocols: "TLSv1.2 TLSv1.3"
上面的configmap将为Nginx入口控制器启动两个TLS版本。