最新消息:时间抓起来说是金子,抓不住就是流水。

K8S TLS 安全风险修复

Kubernetes 老子黑牵翻 913浏览 0评论

K8S集群中,不管是master(2379、2380、6443、10250)还是worker(10250)都存在SWEET32(远程服务支持使用中等强度的 SSL 密码)风险。
因为不同的端口,实际上是运行的不同的服务,所以修复中需要修改的地方会有多处。

etcd(2379、2380)
修改K8S配置文件/etc/kubernetes/manifests/etcd.yaml 添加如下内容

- --cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

kube-apiserver(6443)
修改K8S配置文件/etc/kubernetes/manifests/kube-apiserver.yaml 添加如下内容

- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

kubelet(10250)
修改K8S配置文件/var/lib/kubelet/config.yaml 添加如下内容

tlsCipherSuites:
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

修改以上内容完毕后,重启下Kublet服务

systemctl restart kubelet

转载请注明:LINUX服务器运维架构技术分享 » K8S TLS 安全风险修复

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址